Das 2020 gegründete US-Startup Island hat den Stealth-Modus verlassen und einen Browser gleichen Namens angekündigt, der allen Enterprise-Anforderungen in Sachen Sicherheit genügen soll. "Island gibt Unternehmen die vollständige Kontrolle über den Browser zurück und bietet ein Maß an Governance, Transparenz und Produktivität, das vorher nicht möglich war", wirbt die Website des in Dallas, Texas, ansässigen Unternehmens.

Der Island-Browser basiert auf der weit verbreiteten Open-Source-Plattform Chromium. Island regelt, welche Websites Nutzerinnen und Nutzer besuchen dürfen, welche Informationen sie angezeigt bekommen und welche Dateien sie herunter- oder hochladen können. Die Regeln lassen sich individuell auf einzelne Rollen der User im Unternehmen abstimmen.

Dabei fungiert Island als eine Art zentrale Kontrollinstanz für alle auf einem Rechner verfügbaren Browser. Unternehmensweite Sicherheitsmechanismen lassen sich demnach nicht dadurch aushebeln, dass Anwenderinnen und Anwender einfach auf einen anderen Browser ausweichen.

Wenn User beispielsweise mit den Standardbrowsern Chrome, Edge oder Safari im Internet surfen und versuchen, auf eine Website zuzugreifen, die gemäß den Island-Einstellungen nicht zulässig ist, wird dieser Zugriff blockiert. Sie werden aufgefordert, ihren sicheren Island-Browser zu verwenden. Dieser Browser kann laut Hersteller sogar verhindern, dass Screenshots von sensiblen Daten angefertigt werden.

Kontrolle über die letzte Meile

"Wir geben den Unternehmen die Kontrolle über die letzte Meile zurück", sagt Mike Fey, Mitbegründer und CEO von Island. Da sich kritische Daten und Anwendungen zunehmend in Richtung Software as a Service (SaaS) und Webanwendungen verlagerten, spiele der Browser eine immer wichtigere Rolle. Funktional würden die derzeit verfügbaren Lösungen dieser Rolle allerdings nicht gerecht. "Der Browser zeigt nur an", konstatiert Fey.

Der Manager kann auf jede Menge Security-Erfahrung in seiner Laufbahn verweisen. Er arbeitete zunächst über sieben Jahren in verschiedenen leitenden Funktionen bei McAfee. Von 2014 bis 2018 war Fey dann COO bei Blue Coat Systems. Nach der Übernahme des Unternehmens durch Symantec übernahm Fey bei der Mutter die gleiche Rolle.

Der Island-Browser verfügt nach Angaben des Herstellers über eine Reihe granularer Einstellungsmöglichkeiten, mit deren Hilfe Administratoren kontrollieren können, worauf User online zugreifen. So lässt sich beispielsweise prüfen, wo und wann Beschäftigte Daten in oder aus Anwendungen hinein- beziehungsweise herauskopieren oder einfügen. Ferner lassen sich unbefugte Bildschirmaufnahmen verhindern, Berechtigungen verwalten sowie Workflows und Richtlinien-basiertes Speichern durchsetzen.

Volle Transparenz, was im Browser passiert

Island zufolge wird für die Verantwortlichen in den Anwenderunternehmen voll transparent, was innerhalb des Browsers passiert. Sämtliche Aktivitäten und Vorfälle lassen sich nachverfolgen, bis hin zu Benutzer, Gerät, Zeit und Ort. Alle Browserdaten könnten zudem über eine Analyseplattform weiter untersucht werden. Darüber hinaus soll sich Island individuell an unternehmensspezifische Workflows anpassen lassen. Anwender könnten Browser-basierte RPA-Skripte einfügen, um sensible Daten auf der Grundlage spezifischer Governance-Anforderungen zu schützen.

Der Browser funktioniert sowohl mit den gängigen Betriebssystemen Windows und macOS. Mobile Versionen für iOS und Android sowie für Linux seien in Vorbereitung, hieß es von Seiten der Island-Verantwortlichen.

Security-Parameter verschieben sich

Bob Schuetter, Chief Information Security Officer (CISO) bei Ashland Specialty Chemicals, einem Anbieter von Spezialmaterialien und Chemikalien mit etwa 4.200 Mitarbeitern, testet den Island-Browser seit rund einem halben Jahr. Wie die meisten großen Unternehmen verfügt auch Ashland über eine Reihe von Sicherheitstools. Das Unternehmen setzt Werkzeuge wie Cloud Access Security Brokers (CASB) und Secure Access Service Edge (SASE) ein, um Web-Gateways zu sichern. Wie mit einer Art Internet-Firewall lässt sich so überwachen und einschränken, wie Benutzerinnen und Benutzer auf das Web und Cloud-Dienste zugreifen.

Doch mit den Veränderungen in der IT-Landschaft, verschieben sich auch die Security-Parameter. So hat Ashland in den zurückliegenden Jahren seinen IT-Betrieb massiv verkleinert. Das Rechenzentrum wurde abgeschafft, SaaS-Anwendungen wie Salesforce und Workday eingeführt. "Wir haben das Netzwerk verändert", sagt CISO Schuetter. "Informationen und Daten fließen jetzt ganz anders." Man habe versucht, alles im Blick zu behalten, beispielsweise das Aufbrechen von Verschlüsselungen. Doch das hat nicht funktioniert. Die SaaS-Anbieter nutzen beispielsweise eine Punkt-zu-Punkt-Verschlüsselung. "Das ist für sie großartig, für uns aber schrecklich", konstatiert der Ashland-CISO. "Sie erhalten Sicherheit, aber wir können nichts sehen."

Für Schuetter besteht der größte Vorteil der Browser-basierten Sicherheit darin, den Dateneingangspunkt kontrollieren zu können. "Vorher mussten wir ständig Dinge ausmustern oder anbauen, um die Sicherheit zu gewährleisten", berichtet der CISO. Der neue Browser biete nun die Möglichkeit, Security direkt an der Frontlinie zu etablieren. Ein weiterer Vorteil ist laut Scheuetter, dass die Einführung recht einfach ist. "Wir können den Browser auf dem Desktop installieren, und schon sind die User dabei." Auch wenn Ashland einen gewissen Zwang ausübe, nur diesen sicheren Browser zu verwenden, habe es so gut wie keinen Widerstand von Seiten der Benutzer gegeben, erzählt Schuetter.

Alles, was Sie zum Thema IT-Security wissen müssen, finden Sie auf CSOonline

Investoren wittern gute Geschäfte mit dem Enterprise-Browser

Diese Anfangserfolge könnten das Geschäft von Island durchaus befeuern. Fey hatte sein Startup im August 2020 zusammen mit Dan Amiga gegründet. Amiga hatte bereits in den Jahren zuvor für Symantec an Browser-Isolationstechniken gearbeitet. Fey und Amiga haben ein Team von rund 100 Mitarbeitern zusammengestellt, darunter eine 75-köpfige Entwicklermannschaft mit Sitz in Israel. Das Unternehmen hat zudem fast 100 Millionen Dollar an Early-Stage-Finanzierung eingesammelt - darunter von einigen der größten Investmentfirmen der Branche wie Insight Partners und Sequoia Capital.

Fey berichtet, dass Island mit der Entwicklung der Browsertechnologie schon vor drei Jahren begonnen habe, sich dann aber doch entschied, mit dem Starup noch einige Zeit im Stealth-Modus zu bleiben. Die Software von Island wurde im September 2021 veröffentlicht und ist seither in mehreren Fortune-500-Organisationen im Einsatz, so das Unternehmen. Derzeit sei man noch in der Entwicklung eines tragfähigen Preismodells, sagt der CEO. Daher könne man auch noch nichts Näheres über die Kosten des Enterprise-Browsers verraten.

Der Markt für sichere Enterprise-Browser präsentiert sich momentan noch recht übersichtlich. Neben Island gibt es noch den Browser "TalonWork" von Talon Cyber Security, berichtet Peter Firstbrook, stellvertretender Forschungsleiter bei Gartner Research. Auch Talon werbe mit granularen Sicherheitseinstellungen, einschließlich der Möglichkeit, "alle SaaS-Dienste zu überwachen und Unternehmensdaten über alle Dienste, Geräte, Standorte und Mitarbeiter hinweg zu schützen".

TalonWork wurde im Oktober 2021 vorgestellt. Wie der israelische Anbieter verspricht, kann der Unternehmensbrowser in weniger als einer Stunde zu geringen Kosten und ganz ohne zusätzliche Hardware bereitgestellt werden. Ähnlich wie der Island-Browser basiert auch TalonWork auf Chromium.

CASB und SASE - aufwendig und komplex

Noch ist unklar, wie sich der Markt für unternehmensspezifische Browser weiterentwickeln wird. In Deutschland sind Technologien, die dazu dienen, Arbeitnehmerinnen und Arbeitnehmer zu kontrollieren, und den Datenschutz am Arbeitsplatz potenziell beeinträchtigen könnten, ohnehin schwer durchzusetzen. Hinzu kommt die Frage nach dem technischen Ansatz: Im Zuge der wachsenden Zahl von hybriden Arbeitsplatzumgebungen, in denen ein Großteil der Mitarbeiter aus der Ferne arbeitet, sind auch andere Technologien zur Sicherung des Webzugriffs auf dem Vormarsch.

CASB- und SASE-Technologien verwenden beispielsweise sichere Web-Gateways, das heißt sie überwachen und beschränken den Zugriff der User auf das Web und die Cloud-Dienste wie eine Internet-Firewall. CASB-Produkte von Anbietern wie McAfee und Zscaler ermöglichen Netzwerktransparenz und Bedrohungserkennung für die Cloud-Anwendungen eines Unternehmens. SASE wiederum kombiniert SD-WAN mit einem kompletten Netzwerksicherheits-Stack, der in der Regel über eine Cloud-native virtuelle Appliance bereitgestellt wird.

"Zscaler bringt einige ziemlich große, schwer einzuschätzende Kostenblöcke mit", warnt aber Gartner-Analyst Firstbrook. Anwender müssten für die eingehende und ausgehende Bandbreite bezahlen. Außerdem werde der gesamte Datenverkehr über einen Proxy geleitet, so dass man für die Bandbreite zurück zum Proxy und die Bandbreite zurück zum Kunden bezahlen müsse. "Zscaler ist einer der größten Bandbreitenverbraucher der Welt."

Im Gegensatz dazu wird der Browser von Island ähnlich wie Zoom einfach heruntergeladen, was je nach System Sekunden oder Minuten dauert, wirbt Fey für seinen Security-Ansatz. Auch aus der Kostenperspektive sei Island weniger aufwendig. "Alles, was ich als Kunde tun muss, ist, den Browser zu verteilen", erläutert der Manager.

Auch aus einer anderen Perspektive sei der Browser-basierte Ansatz komfortabler. CASB-Techniken fungierten buchstäblich als Filter für den gesamten Webverkehr aus einem Unternehmen heraus. Wenn jedoch ein Angestellter, ein Auftragnehmer oder ein Berater seinen persönlichen PC benutzt, wird er wahrscheinlich nicht wollen, dass das Unternehmen einen Agenten auf seinem System platziert, sagt Gartner-Mann Firstbrook. Der Browser-Ansatz sei deutlich weniger aufdringlich. Dieser werde nur dann aktiv, wenn man eine bestimmte Website aufrufe, die das Unternehmen nicht akzeptiere.

Ärzte nutzen Browser ohne Nebenwirkungen

Island-Chef Fey berichtet, dass sein Browser beispielsweise von vielen Arztpraxen verwendet werde. Gerade wenn Ärzte in verschiedenen Krankenhäusern arbeiteten, ließen sich separate Profile definieren, die diskrete Zugriffs- und Kontrollrechte für die Systeme der einzelnen Einrichtungen ermöglichten. "Unser Webbrowser erlaubt es, zwischen verschiedenen Profilen zu wechseln", so Fey. Diese Profile ließen sich getrennt halten. Damit sei sichergestellt, dass sensible Patientendaten geschützt blieben.

Aus Sicht von Firstbrook ist die entscheidende Frage, ob Google oder Microsoft Ambitionen verfolgen, vergleichbare Funktionen in ihre eigenen Webbrowser zu implementieren. "Das ist durchaus denkbar", sagt der Gartner-Analyst. "Microsoft verfügt schließlich über keine Netzwerksicherheitstechnologie." Der Browser-Ansatz wäre eine Möglichkeit, die Dinge zu liefern, die Unternehmenskunden erwarten, ohne sich tatsächlich mit der Netzwerkseite beschäftigen zu müssen.

Wie reagieren die großen Browser-Hersteller?

Die Konkurrenz für Island und Talon könnte also von den großen Browser-Anbietern selbst kommen. Allerdings haben die Startups einen Vorsprung. Auch Microsoft und Google müssten Zeit und Aufwand investieren, vergleichbare Tools und Funktionen zu entwickeln. Nicht auszuschließen, dass Island und Talon Übernahmekandidaten sind - gerade wenn sich abzeichnen sollte, dass die Kunden diese Technik schnell annehmen und nachfragen.

"Ich glaube definitiv, dass sowohl Microsoft als auch Google an dieser Technologie interessiert wären, wenn die Kunden sie für relevant hielten", so Firstbrook. (ba)

Dieser Beitrag basiert auf einem Artikel unserer Schwesterpublikation Computerworld.com.