Test

Wie sicher ist Google Chrome?

13.02.2009
Von 
Roger Grimes ist freier Redakteur unserer US-Schwesterpublikation CSO Online.

Ungewöhnliche Standardeinstellungen

Die Standardeinstellungen in Googles Chrome sind erstaunlich. Das beispielsweise alle Cookies zugelassen werden, ist ungewöhnlich.
Die Standardeinstellungen in Googles Chrome sind erstaunlich. Das beispielsweise alle Cookies zugelassen werden, ist ungewöhnlich.

Die meisten der vom Nutzer einstellbaren Security-Funktionen lassen sich im Menüpunkt "Optionen" unter dem Reiter "Details" erreichen. Wer erstmals dort vorbeischaut wird sich darüber wundern, wie wenig detailliert die Sicherheitseinstellungen Chrome veränderbar sind. Die Auswahl ist dürftig und die Voreinstellungen offenbaren Sicherheitslücken. Beispielsweise lässt Chrome standardmäßig alle Cookie-Typen zu, wenngleich dies von einem Anbieter, der sein Geld mit Online-Werbung verdient, nicht anders zu erwarten ist. Doch selbst der eingeschränkte Modus zur Verwendung von Cookies von Drittanbietern erlaubt es, sie zu lesen. Das ist fast so bedenklich wie freigiebige Modifikation.

Ein weiteres Beispiel für eine dürftige Voreinstellung ist die Erlaubnis, gemischten Content auf sicheren SSL-Seiten zuzulassen. Zudem integriert Chrome keine Funktion, verschiedene Web-Seiten in separaten Sicherheits-Zonen oder Domains abzulegen. Die meisten Browser bieten wenigstens zwei Zonen (der Internet Explorer hat sogar fünf Auswahlmöglichkeiten) oder können per Auswahl eine weiße oder schwarze Liste pflegen.

Für Unternehmen ungeeignet?

Chrome mangelt es zudem an Verwaltungsfunktionen für den Einsatz im Unternehmen. Zwar prüft der Browser die Widerrufliste der SSL/TLS-Server (Secure Sockets Layer/Transport Layer Security), doch das deutlich effizientere Online Certificate Status Protocol (OCSP), das die Gültigkeit von Zertifkaten prüft, und das alle Wettbewerber implementiert haben, gibt es beim Chrome nicht.

Zudem fühlt sich Google offenbar nicht zuständig für die Sicherheit der Add-ons. Selbstverständlich lassen sich die Browser-Hersteller kaum in die Pflicht für sämtliche Sicherheitslücken in den Zusatz-Tools nehmen, doch Chrome bietet keine Kontrollfunktionen für Add-ons. Anwender können weder kontrollieren, was die Zusatzdienste bewirken, noch können sie diese verwalten.

Wenige Mausklicks offenbaren Passwörter

Viele Anwender haben angesichts der Fülle von Passwörtern den Überblick verloren. Ihnen bietet Chrome eine nette Erinnerungsbrücke. Die gespeicherten Kennwörter lassen sich im Browser mit wenigen Mausklicks im Klartext darstellen. Das ist ein schönes Feature für alle vergesslichen Nutzer, und ein dankenswertes Angriffsziel für alle Kollegen, die einen unbeaufsichtigten Rechner vorfinden. Zum Vergleich: Der Internet-Explorer bietet kein entsprechendes Feature. Um im Firefox- und Opera-Browser die Kennwörter im Klartext einsehen zu können, ist ein Master-Passwort erforderlich.

Im Test wurde zudem die Passwort-Stärke mit Hilfe des Password Manager Evaluator geprüft. Hier fuhr Chrome das schlechteste aller Browser-Ergebnisse ein. Lediglich vier von 21 absolvierte die Google-Lösung ohne Beanstandungen.

Chrome verfügt über einen sehr begrenzten Umfang an Funktionen und ist nicht besonders komplex. Das hilft, Sicherheit auf Dauer recht einfach zu gewährleisten, doch Google hat dieses Ziel verfehlt. Seit Erscheinen im September 2008 wurden zehn Lücken veröffentlicht (zu beobachten auf Milw0rm.com). Die meisten stellten sich als einfache Denial-of-sService-Exploits heraus, doch zumindest eine Lücke gefährdet das komplette System, bei einer weiteren bestand die Gefahr, dass schadhafte Software eindringt. Die Schwachstellen wurden bereits behoben.