Hier werden die wesentlichen Änderungen des aktualisierten Mindeststandards gegenüber der jeweiligen Vorgängerversion aufgeführt. Um die Liste übersichtlich zu halten und einen Abgleich zu erleichtern, werden dabei nur größere inhaltliche Änderungen aufgelistet. Strukturelle und sprachliche Anpassungen sowie kleinere Aktualisierungen (z.B. Versionsänderung bei referenzierten Dokumenten) werden daher nicht oder nur zusammengefasst beschrieben.

Version 3.0 vom 19.02.2024

Allgemein

• Erweiterung des Scopes auf mobile Browser, entsprechende Hinweise im Einleitungskapitel ergänzt
• Neues standardisiertes Mindeststandard-Vorwort auf Basis des IT-SiG 2.0
• Formale Anpassungen
• Erläuterung zur Aufteilung der Sicherheitsanforderungen in "Produkt" (Unterkapitel 2.1) und "Betrieb" (Unterkapitel 2.3) ergänzt

Sicherheitsanforderungen

WB.2.1.01 - Vertrauenswürdige Kommunikation

• b) diverse Konkretisierungen und Ergänzung des Unterpunkts "Jeglichen Zertifikaten MUSS lokal das Vertrauen entzogen werden können."
• c) Konkretisierungen, Ergänzung von gemischten Inhalten, ergänzender Hinweis zu qualifizierten Webseitenzertifikaten (QWACQualified Website Authentication Certificate)

WB.2.1.02 - Updates

• Kürzung und Umformulierung

WB.2.1.03 – Schutz vertrauenswürdiger Daten

• a) "Auslesen" von Cookies ergänzt; Automatisches Löschen von Cookies beim Beenden des Browsers wird nicht mehr gefordert
• Neuer Unterpunkt c): "Es MUSS möglich sein, Zugriffe auf Kamera, Mikrofon und Standort NUR nach expliziter Zustimmung durch die Benutzenden zu erlauben."
• d) Möglichkeit ergänzt, dass Benutzende organisatorisch verpflichtet werden, vorgegebene Konfigurationen nicht zu verändern (falls eine zentrale Administration z. B. bei mobilen Browsern technisch nicht erzwungen werden kann)
• Neuer Unterpunkt e): "Es MUSS möglich sein, eine kontextfreie Browserinstanz auszuführen („Inkognito-“ oder „privater Modus“), die keine zuvor gespeicherten Daten (Cookies, Website-Daten, Cache, Download-Chronik) berücksichtigt sowie während der Sitzung anfallende Daten nach Beenden dieser Browserinstanz wieder löscht."

WB.2.1.04 - Überprüfung auf schädliche Inhalte

• Anforderung geändert zu "Externe Dienste"

WB.2.1.05 – Same-Origin-Policy

• Konkretisierung, Ergänzung von Cross-Origin Resource Sharing (CORS)

WB.2.1.06 - Sichere Konfiguration

• b) Möglichkeit ergänzt, dass die Basiskonfiguration durch entsprechende Standardkonfiguration bei Auslieferung erfüllt ist, statt zentral anwendbar zu sein (falls eine zentrale Administration z. B. bei mobilen Browsern technisch nicht erzwungen werden kann)
• c) Möglichkeit ergänzt, dass Benutzende organisatorisch verpflichtet werden, vorgegebene Konfigurationen nicht zu verändern (falls eine zentrale Administration z. B. bei mobilen Browsern technisch nicht erzwungen werden kann)
• e) (alt) Anforderung an mehrere Browser-Konfigurationen gelöscht
• Neuer Unterpunkt e): "Alternative Protokolle zur Auflösung von DNS-Anfragen (z.B. DNS over HTTPS (DoH) oder DNS over TLS (DoT)) MÜSSEN deaktivierbar sein."
  

WB.2.1.07 - WB.2.1.08

• diverse Konkretisierungen

WB.2.2.01 - Entwicklung

• Konkretisierung

WB.2.2.02 - Aktualisierung

• Ergänzung von Plattform-Updates insb. für mobile Browser
• Anpassung der Update-Zeit bei kritischen Schwachstellen auf 28 Tage
• Neue Anforderung bei kritischen Schwachstellen: "Wird die Schwachstelle bereits öffentlich ausgenutzt, dann MÜSSEN Updates spätestens nach 7 Tagen bereitgestellt werden."

WB.2.2.03 - Kontaktmöglichkeit

• Konkretisierung

WB.2.3.02 - Administration

• c) Möglichkeit ergänzt, dass die Basiskonfiguration durch entsprechende Standardkonfiguration bei Auslieferung erfüllt ist, statt zentral anwendbar zu sein (falls eine zentrale Administration z. B. bei mobilen Browsern technisch nicht erzwungen werden kann)

WB.2.3.03 - Erweiterungen

• Ergänzung für mobile Browser: "Da im mobilen Bereich weniger Erweiterungen vorhanden sind und auch keine direkte Installation aus beliebigen Quelle möglich ist, kann die erlaubte Nutzung auch organisatorisch geregelt werden."
• Ergänzender Hinweis zu Sicherheitsanforderungen an Erweiterungen im Allgemeinen: "Darüber hinaus stellt der vorliegende Mindeststandard für Webbrowser keine Anforderungen Erweiterungen auf, da diese wie andere Software auch im Rahmen des Informationssicherheitsmanagements der Einrichtung zu behandeln sind. Insbesondere gelten die Anforderungen des IT-Grundschutz-Bausteins 'APP.6 Allgemeine Software' auch für Webbrowser-Erweiterungen."

WB.2.3.04 - Basiskonfiguration

• diverse Erläuterungen ergänzt
• e) (alt) Anforderung entfernt
• e) (neu) Neue Anforderung: "In den Netzen des Bundes DARF NUR der interne DNS-Resolver der Einrichtung für die DNS-Auflösung des Webbrowsers genutzt werden."
• g) Ausnahme für Passwortmanager ergänzt: "Eine Ausnahme besteht für Passwortmanager, sofern sie die Anforderungen aus WB.2.3.06 erfüllen."
• h) (alt) Anforderung entfernt
• Neuer Unterpunkt i): "Der Zugriff auf Kamera, Mikrofon und Standort DARF NICHT ohne explizite Zustimmung der Benutzenden erfolgen."
• j) (alt) Anforderung entfernt
• k) (alt) Anforderung entfernt
• o) (neu) Neue Anforderung: "Der Zugriff auf Browserfunktionen und Daten durch digitale Sprachassistenzsysteme SOLLTE deaktiviert werden."

WB.2.3.05 - Überprüfung auf schädliche Inhalte

• Änderung zu Warnung vor Aufruf als schädlich eingestufter Webseiten (statt Verhindern des Aufrufs); Hinweis auf lokale Überprüfung

WB.2.3.06 - Passwortmanager

• Konkretisierungen
• b) Verschlüsselung von Passwörtern verallgemeinert zu "Schutz vor Zugriffen außerhalb des Webbrowsers"; Hinweis zu mobilen Browsern ergänzt

WB.2.3.07 - Updates/Patches

• b) Verschärfung der Formulierung, dass Maßnahmen nach spätestens 7 Tagen umgesetzt sein müssen (statt "ergriffen werden")

• c) Konkretisierung, dass vorausschauend geprüft werden muss

Version 2.1 vom 25.06.2020

Allgemein

• Titeländerung zu "Mindeststandard des BSI für Web-Browser"
• Aktualisierung der Browser-Abgleichstabelle - Ergänzung des neuen Microsoft Edge
• Formale Anpassungen und kleinere Umformulierungen

Sicherheitsanforderungen

Vertrauenswürdige Kommunikation – Zertifikate

• Anpassung der Formulierung (statt expliziter Auflistung der Zertifikatstypen wird Unterstützung des X-509-Standards gefordert)

Updates

• Forderung nach Update-Prozessen für eigenständige Programme verschoben zu Anforderung 2.3.07 d)
• Unterpunkt "Updates MÜSSEN zuverlässig angezeigt werden." entfernt

Kennwortmanager

• Die Anforderung an browsereigene Kennwortmanager wurde aus Kaptitel 2.1 gestrichen. In Kapitel 2.3 wird empfohlen, externe Kennwortmanager zu nutzen. Nur, wenn dennoch der Kennwortmanager des Browsers verwendet werden sollte, muss dieser mindestens die entsprechenden Sicherheitsanforderungen erfüllen (diese werden nun an entsprechender Stelle in Kapitel 2.3 aufgelistet).

Schutz vertrauenswürdiger Daten - Übertragung von Nutzungsdaten

• Umformulierung von "Nutzungsdaten" zu "Telemetriedaten" und Ergänzung einer Begriffserklärung

Sichere Konfiguration

• Ergänzung Unterpunkt c): "Die Änderung von zentralen Konfigurationen durch Benutzer MUSS verhindert werden können."

Minimale Rechte

• Verkürzung der Anforderung

Sandboxing und Kapselung

• Verkürzung der Anforderung

Content Security Policy (CSP)

• Hinweis zu möglichen Abweichungen ergänzt

Transparenz

• Umbenennung der Anforderung zu "Dokumentation"
• Konkretisierung, welche Anforderungen eine transparente Dokumentation erfüllen muss

Version 2.0 vom 19.09.2019

Allgemein

• Formale Überarbeitung (Auflösen der Tabelle, Anpassung der Nummerierung)
• Zusammenfassung der einleitenden Kapitel, Entfernen von Hintergrundinformationen (u. a. „Bedrohungen“ und „Aufbau Web-Browser“)
• Auflösen des Hilfsdokuments (Übernahme der relevanten Hinweise in Hauptdokument und Abgleichstabelle)
• Aktualisierung der Browser-Abgleichstabelle

Sicherheitsanforderungen

Vertrauenswürdige Kommunikation – Zertifikate

• Explizite Forderung von Domain Validation (DV), Organization Validation (OV) und Extended Validation (EV)
• Ergänzen eigener Wurzelzertifikate

Vertrauenswürdige Kommunikation – Prüfung von Zertifikaten

• Hinweis zum Certification Path Validation Test Tool (CPT) des BSI

Vertrauenswürdige Kommunikation – Darstellung der Kommunikationsform

• Möglichkeit, dem Benutzer Details der Verschlüsselung anzuzeigen, wird nicht länger gefordert
• Forderung, die gesamte Domain aktueller Seiten anzeigen zu lassen

Vertrauenswürdige Kommunikation – HTTP Strict Transport Security (HSTS)

• Anmerkung zu Trackingschutz

Identifikation und Authentisierung – Kennwortmanager

• Die Anforderung ist nur zu beachten, wenn browsereigene Kennwortmanager genutzt werden (wird im Kapitel Betrieb nicht empfohlen)
• "Speicherung der Kennwörter "verschlüsselt" statt "geschützt"

Schutz vertrauenswürdiger Daten - Website-Daten und Cache

• zusätzliche Betrachtung von Website-Daten und Cache

Schutz vertrauenswürdiger Daten – Übertragung von Nutzungsdaten

• Neue Anforderung

Überprüfung auf schädliche Inhalte – Implementierung von Schutzmechanismen

• Die Implementierung wird nicht gefordert. Stattdessen müssen Mechanismen, die mit externen Diensten kommunizieren, abschaltbar sein.

Sichere Konfiguration – Browser-Instanzen

• Hinweis ergänzt

Subresource Integrity

• Neue Anforderung

Datensicherheit

• Anforderung entfernt (ehemals 4.2.2.4)

Transparenz 

• Neue Anforderung (SW.2.2.04)

Netzwerkumgebung

• Anforderung entfernt, da nicht Regelungsbereich dieses Mindeststandards (ehemals 4.3.1)

Erweiterungen

• Neue Anforderung (SW.2.3.03)

Basiskonfiguration

• Diverse Anpassungen und Ergänzungen

Überprüfung auf schädliche Inhalte

• Neue Anforderung (SW.2.3.05)

Passwortsicherheit

• Ersetzen der Anforderung "Passwortqualität" durch Anforderung "Kennwortmanager" (SW.2.3.06)

Updates/Patches

• Hinweis zu nicht mehr unterstützten Browsern