In die Unternehmen halten immer häufiger Applikationen Einzug, die über den Web-Browser betrieben werden. Zudem sind Browser das Tor zum Internet und zu Geschäftspartnern, Kunden und Zulieferern. Damit residieren sie an der zentralen Schaltstelle zwischen interner und externer IT. Die US-amerikanische CW-Schwesterpublikation "Infoworld" hat sich aus diesem Grund vier gängige Browser unter IT-Security-Aspekten genauer angesehen.
Internet Explorer: Stärken im Management
Den Testern lag der "Internet Explorer, Version 8, Beta 2" vor. Einzelne Rendering-Prozesse betreibt der Browser unter Windows Vista standardmäßig im Protected Mode. Das hat den Vorteil, dass Browser-Funktionen wie Toolbar, Verlauf (History) und Favoriten nur begrenzte Privilegien erhalten. Zudem integriert der Internet Explorer Features wie Schutz vor Cross-Site-Scripting, Pop-up-Blocker sowie "Inprivate Browsing" (surfen, ohne Daten zu hinterlassen). Der enthaltene Anti-Phishing-Filter ist ebenso wie bei der Konkurrenz verbesserungswürdig.
Lob verdient der Internet Explorer für die Cookie-Verwaltung. Richtlinien für den Umgang mit diesen Profildaten kann der Nutzer je Sicherheitszone und Website vereinbaren. Gleiches gilt für Add-ons.
Besondere Stärke zeigt der Browser in der Implementierung von Sicherheitszonen. Ein fünfstufiges Konzept hat nur Microsoft implementiert. Vor allem in der Unternehmens-IT ist dies ein interessantes Feature. Jeder Zone lässt sich eine von fünf Sicherheitsstufen sowie zahlreiche Einstellungen zuweisen. Sogar Javascript und Active X Control lassen sich je Zone ein- oder ausschalten.
Während sich der Internet Explorer in der Malware-Abwehr gut und im Passwort-Handling mittelprächtig bewährt, deckten die Prüfer im Denial-of-Services-Test (DoS) überraschende Schwächen auf. Nach einer Minute fortwährender Attacken stieg der Internet Explorer aus.
Firefox: Umfassende Zertifikatsverwaltung
Der Mozilla Firefox spielt seine Stärken als Open-Source-Projekt aus. Die zahlreichen Add-ons erweitern den Browser um interessante Funktionen. So lassen sich mit diesen Zusatzdiensten etwa Java oder Javascript an- und abschalten sowie Active X Controls ausführen.
Unter Windows Vista läuft der Browser als einzelner Prozess im "Medium"-Modus. Hier verdienen konkurrierende Produkte bessere Noten. Auch mit der Qualität der Anti-Phishing-Funktionen kann sich der Firefox nicht von der Konkurrenz absetzen. Die Cookie-Verwaltung ist besser gelöst als im Chrome und im Opera, doch die Qualität der Microsoft-Lösung erreicht der Firefox nicht. Der Mozilla-Browser erlaubt standardmäßig das Lesen von Drittanbieter-Cookies. Ausnahmen lassen sich je Website vereinbaren, eine detaillierte Justierung wie im Internet Explorer bietet Firefox indes nicht. Wie die meisten anderen Browser (mit Ausnahme von Opera) scheiterte auch der Firefox am Denial-of-Service-Test.
Ein gravierender Nachteil in puncto Sicherheit ist, dass Firefox keine Security-Zones unterstützt. Das ist deshalb schlecht, weil insbesondere Firmen es schätzen, unterschiedliche Sicherheitsdomänen einrichten zu können. Hier hat Microsofts Browser die bessere Lösung parat.
Pluspunkte verdient sich die an der Entwicklung beteiligte Open-Source-Gemeinde im Umgang mit Zertifikaten. Keine andere Software informiert so detailliert und umfassend über die digitalen Beglaubigungen und erleichtert deren Installation. Auch in Sachen SSL/TLS-Verschlüsselung hängt Firefox konkurrierende Lösungen ab. Der TLS-Modus verwendet einen 256 Bit langen symmetrischen Schlüsseln.
Opera: Feine Justierung möglich
Kein anderer Browser läuft auf so vielen Plattformen wie Opera. Neben Windows, Mac OS, Linux und Free BSD gibt es Versionen für Solaris, Mobiltelefone, Nintendo-Spielkonsolen und sogar für OS/2. Opera verfügt über einzigartige Sicherheitsmechanismen und erlaubt eine feine Abstimmung.
Opera gestattet es, jede Website, einzelne Objekttypen oder Objektklassen global oder bezogen auf einzelne Web-Adressen zu sperren. So können Anwender nicht nur Java und Javascript zurückweisen, sondern auch Tondateien, animierte Grafiken, Dateierweiterungen und Protokolle wie etwa FTP. Theoretisch ließe sich der Browser so abschotten, dass keine Datei heruntergeladen, gesichert oder gestartet werden kann.
Reichhaltig ist auch die Cookie-Verwaltung. Als einziger Browser überstand Opera eine Denial-of-Service-Attacke, ohne abzustürzen.
Leider schöpft der Browser nicht die Sicherheitsfunktionen aus, die das Betriebssystem Windows Vista bietet. Alle anderen getesteten Browser aktivieren die Windows-Funktionen "Data Execution Prevention" (DEP) und "Address Space Layout Randomization" (ASLR), um das Risiko eines Buffer Overflow zu reduzieren. Opera tut dies nicht.
Der Hersteller hat dies für die kommende Version 10 angekündigt.
Chrome: Noch nicht empfehlenswert
Google Chrome verwendet ein innovatives Security-Modell, das beispielsweise das Hauptprogramm von den Rendering-Prozessen trennt. Zudem greift Chrome die Windows-Sicherheits-Funktionen in vorbildlicher Art und Weise auf. Mit den Privilegien für Browser-Prozesse geht Chrome sehr restriktiv um. Ferner hat das Team sich Gedanken darüber gemacht, wie sich die Manipulationsversuche durch Javascript einschränken lassen, was ein durchaus lobenswertes Unterfangen ist.
Doch diese guten Ansätze macht die fehlende Abschaltmöglichkeit von Javascript zunichte. Während Googles Chrome ansonsten durch Cleverness in Security-Fragen besticht, ist dieser Makel eine ernste Sicherheitslücke.
Fragwürdig sind zudem Standardeinstellungen. So lässt Chrome Cookies von Drittanbietern von Haus aus zu.
Für einen ernsthaften Einsatz im Unternehmen bietet sich Chrome in der ersten Version nicht an. Es fehlt an Management-Funktionen beispielsweise in der Verwaltung von Zertifikaten. Auch bemängelten die Tester Schwachstellen in der Webkit-Engine, die schon seit Monaten behoben sind, deren Patches von Google aber nicht übernommen wurden.
Fazit
Vielversprechende Ansätze bieten der Internet Explorer und der Firefox. Die neueste Microsoft-Ausführung bringt deutliche Fortschritte, etwa in der Implementierung von Sicherheitszonen. Der Firefox bietet in der Gestaltung von Sicherheitszonen weniger Auswahl. Doch die Open-Source-Gemeinde hat viele Add-ons hervorgebracht, die den Einsatz im Unternehmen komfortabler gestalten. Beide Browser bieten sich für den professionellen Einsatz an. Der Opera-Browser ist erst dann eine Option, wenn er Basisfunktionen des Windows-Betriebssystems aufgreift. Chrome ist ein interessanter erster Versuch von Google. Für einen Einsatz des Browsers im Unternehmensnetz ist es noch zu früh.
Internet Explorer
(+) Viele Sicherheitszonen;
(+) guter Datenschutz;
(+) Schutz vor Phishing;
(+) Tools für den Betrieb im Unternehmen;
(+) detaillierte Add-on-Verwaltung;
(+) gute Nutzung der Schutzmechanismen von Windows Vista.
(-)Standard-Verschlüsselung nicht so leistungsstark;
(-) Active X ohne Administratorrechte möglich.
Firefox
(+) Gute Zertifikatsverwaltung;
(+) viele Erweiterungen (Add-ons) verfügbar, die unter anderem die Sicherheit erhöhen können;
(+) guter Schutz der Privatsphäre;
(-) kein Active X.
(-) Keine vom Nutzer definierbaren Sicherheitszonen;
(-) Add-ons können Sicherheitslücken beinhalten;
(-)Browser läuft als ein einzelner Prozess.
Opera
(+) Fein einstellbare Sicherheitsmerkmale;
(+)gute Zertifikatsverwaltung;
(+) gute Cookie-Verwaltung;
(+)Schutz der Privatsphäre;
(+) gute Abwehr von Denial-of-Service-Attacken;
(+) kein Active X.
(-) Nutzt Vista-Features DEP und ASLR nicht;
(-) unterstützt die Verschlüsselungstechnik ECC nicht;
(-) keine vom Nutzer definierbaren Sicherheitszonen.
Chrome
(+) Ein überzeugendes Sicherheitsmodell;
(+) restriktiver Umgang mit Privilegien;
(+) Manipulationsbarrieren für Javascript.
(-) Javascript lässt sich nicht abschalten;
(-) schlechte Verwaltungsmöglichkeiten;
(-) keine Security-Zonen;
(-) Schwächen in der Passwort-Verwaltung;
(-) bedenkliche Grundeinstellungen.