Die CW-Schwesterpublikation "Infoworld" hat Web-Browser (unter anderem Firefox, Internet Explorer, Google Chrome und Opera) in puncto Sicherheit unter die Lupe genommen. Die einzelnen Berichte veröffentlichen wir nun im Bereich "Sicherheit" auf Computerwoche.de. Dort erschienen sind die Testberichte über Firefox- und Opera-Sicherheitsfunktionen.

Der Microsoft-Browser musste in den letzten Jahren Marktanteile abgeben, führt aber noch immer die Statistik an. Lange Zeit hatte der Softwarekonzern den Web-Client vernachlässigt. Erst mit IE 7 kamen einige Erweiterungen hinzu. Unlängst hat Microsoft den "Release Candidate 1" des Internet Explorer 8 freigegeben, der auch in Sachen Sicherheit einige Neuheiten zu bieten hat.

Das ist auch notwendig, denn der Browser ist das bevorzugte Angriffsziel von Malware beziehungsweise Hackern. Zudem ist er der einzige Web-Client, der nativ die verwundbaren "Active X Controls" unterstützt.

So kommt es, dass allein in den letzten Jahren 70 Schwachstellen aufgedeckt wurden. Damit liegt der Internet Explorer an der Spitze, gefolgt vom Mozilla Firefox. Insgesamt 39 Sicherheitslücken der Version 3 des quelloffenen Browsers wurden allein in den letzten sechs Monaten publik.

Für den Test lag der Internet Explorer 8, Beta 2, vor. Während der Installation sucht eine Routine nach Malware auf dem Rechner - nur dieser Web-Browser verfügt über dieses Feature. Gleichzeitig lädt die Microsoft-Software die aktuellen Updates aus dem Netz. Unter Windows Vista fragt der Browser nach einer Erhöhung der Nutzerberechtigungen (User Account Control Privileges).

Andere Betriebsart unter Windows Vista

Das Programm ("iexplorer.exe") läuft als Parent Process im Modus "Medium Integrity". Mehrere Rendering-Prozesse arbeiten in der Betriebsart "Low Integrity" im Protected Mode. Dies ist eine Neuerung gegenüber IE 7, bei dem der gesamte Browser in Low Integrity im Protected Mode betrieben wird, gemeinsam mit zusätzlichen Broker-Prozessen (ieuser.exe und ieinstal.exe).

Unter Windows Vista laufen alle IE-Prozesse virtualisiert, bei gleichzeitig aktivierter "Data Execution Prevention" (DEP) und "Address Space Layout Randomization" (ASLR) (siehe auch Computerwoche-Wiki-Eintrag zu Windows Vista). Rendering-Prozesse starten standardmäßig im Protected Mode, eine Ausnahme bilden Websites, die der Sicherheitszone (Security Zone) "Trusted Sites" zugeordnet sind.

Der Protected Mode bietet hier den Vorteil, dass Browser-Bestandteile wie Toolbar, Verlauf (History), Favoriten, Temporary Download Areas und Browser Helper Objects nur begrenzte Privilegien erhalten. Somit können sie beispielsweise nicht auf die Befehlseingabe zugreifen oder Systembereiche schreibend verändern. Zwar schafft Google Chrome eine restriktivere Basissicherheit für die Kernkomponente, verfügt aber nicht über die Schutzmechanismen für weitere Bestandteile sowie Add-ons.

Der IE ist mit einigen Sicherheits-Features ausgestattet. Dazu zählen:

• Anti-Phishing-Funktionen;

• ein Pop-up-Blocker;

• privates Surfen, ohne Daten zu hinterlassen ("Inprivate Browsing");

• Cookie-Sicherheit;

• Mime-Content-Type-Sniffing und

• Schutz vor Cross-Site-Scripting (Anti-XSS).

Der Microsoft-Browser verhindert, dass Dateien automatisch heruntergeladen oder Helper-Programme von selbst gestartet werden. Zudem lassen sich Bilder, Tondateien, animierte GIFs und andere Objekte blocken. Bei den Content-Sperrfunktionen wird IE 8 nur von Opera übertroffen.

Anti-Phising mit Smartscreen

Mit "Smartscreen" bringt Microsoft einen überarbeiteten Anti-Phishing-Filter. Er weist Sites ab, die der Softwarekonzern als Malware-Schleudern identifiziert hat, unabhängig davon, ob es sich dabei auch um Phishing-Versuche handelt. Doch auch dieser Filter ist, wie die der Konkurrenz-Browser, nicht perfekt. Nach wie vor benötigen Surfer eine Anti-Malware-Software sowie gesunden Menschenverstand. Phishing bezeichnet das Erschleichen von Benutzerkennungen, Passwörtern oder Bankdaten durch Kriminelle, sei es durch gefälschte E-Mails oder durch Malware.

Eine kleine, aber äußerst nützliche Sicherheitserweiterung von IE 8 ist, dass er tatsächliche Domain-Namen im Adressfeld hervorhebt, wenn der bestreffende Name in einer längeren URL erscheint. Phisher bringen bekannte Domain-Namen innerhalb eines gefälschten URL-Strings unter, um ahnungslose Web-Nutzer auf dubiose Websites zu locken. Über die neue Funktion können IE-Nutzer nun auch solche Phishing-Sites leichter identifizieren, die Microsoft noch nicht auf seiner schwarzen Liste führt. Auch Google Chrome verfügt über ein ähnliches Merkmal, doch zusätzlich zum Domain-Namen wird dort auch die Web-Server-Bezeichnung hervorgehoben, die Phisher ebenfalls oft verfälschen. Somit erweist sich der Microsoft-Ansatz als genauer.

Datenschutz und Cookies

Das Microsoft-Produkt war früher schon gut für den Datenschutz und das Cookie-Management gerüstet. Standardmäßig sind direkte Cookies (First-Party-Cookies) zugelassen. Cookies von Dritten (Third-Party-Cookies) werden akzeptiert, wenn ihr Aussteller eine explizite Datenschutzrichtlinie vorweisen kann, was selten der Fall ist. In beiden Fällen schränkt der Browser jedoch die Weitergabe von persönlichen Informationen ein. Cookie-Richtlinien kann der Anwender für jede Sicherheitszone oder sogar für jede Site einzeln festlegen.

Neben der Cookie-Kontrolle soll die neue Funktion "Inprivate" Versuche unterbinden, persönliche Daten abzugreifen. Sobald der Browser feststellt, dass der Anwender von einer dritten Partei über zehn verschiedene Websites verfolgt wird, erhält der Nutzer die Möglichkeit, das Tracking zu blockieren. Mit "Inprivate Subscriptions" können Anwender Blocklisten aktualisieren, um berüchtigte Tracker abzuwehren.

Über einen Add-on-Manager verfügen nur die Browser Firefox und IE, wobei das Microsoft-Werkzeug den Konkurrenten abhängt. Wie bei Firefox kann der Nutzer Add-ons insgesamt aktivieren oder abschalten, hierzu genügt ein einziger Knopfdruck. Darüber hinaus ist der IE-Anwender in der Lage, Add-ons nur für eine einzelne Site zuzulassen. Die Entscheidung trifft der Surfer, wenn der das Add-on installiert, er kann die Konfiguration später noch ändern. Der Add-on-Verwalter informiert über installierte Erweiterungen und teilt mit, welche davon genutzt wurden und welche nicht.

Schon immer konnten IE-Anwender Active X Controls sperren beziehungsweise nur signierte Controls ablaufen lassen. Darüber hinaus ließ sich auch in Vorgängerversionen Java sowie Javascript für bestimmte Sicherheitszonen zulassen oder deaktivieren. Nun gestattet es der Hersteller, den Entwicklern von Active X Controls die Nutzung nur für bestimmte Websites zu erlauben. Mit dieser neuen Funktion "Sitelock ATL" soll es möglich sein, dass selbst dann, wenn ein Control eine Sicherheitslücke aufweist, diese nur über die Website des Erzeugers nutzbar ist und nicht anderen Angreifern. Genau dies war bisher aber der Fall bei Active X.

Ein kontrovers diskutiertes IE-Feature ist, Active X auch ohne Administratorprivilegien ablaufen zu lassen. Bisher waren diese weit reichenden Rechte für den Betrieb der Browser-Erweiterungen erforderlich. Microsoft will Programme fördern, die sich ohne Admin-Rechte installieren lassen, weil diese weniger Möglichkeiten erhalten, das darunter liegende Betriebssystem zu kompromittieren. Dieses Konzept ist zwar neu für Microsoft, für Firefox-Erweiterungen dagegen schon seit Jahren verfügbar. Gleiches gilt für andere Betriebssysteme wie etwa Linux oder BSD Unix.

Umstritten ist der Microsoft-Ansatz, weil viele Verwalter in Unternehmen Active X Controls, die Anwender mit normalen Benutzerrechten betreiben, als Sicherheitsrisiko sehen. Zumindest lässt sich dieses Feature abschalten.

Nur wenige Browser verfügen über eine Inhaltskontrolle, der IE zählt dazu. Ein Rating-System legt die Kategorien fest, wobei die Einstellungen per Passwort geschützt sind. Der Systemverwalter kann festlegen, dass beispielsweise jede Form von Nacktheit nicht erwünscht sein soll. Ausnahmen wie etwa künstlerische Darstellungen sowie Lehrmaterial lassen sich davon ausschließen.

Speziell für Firmen geeignet: Sicherheitszonen

Die Sicherheitszonen des IE zählen zu den leistungsstärksten Browser-Funktionen für die Unternehmens-IT. Unterschieden werden dabei fünf Stufen ("Internet", "Local Intranet", "Trusted Sites", "Restricted Sites" und "Local Computer"). Andere Web-Browser bieten weniger Sicherheitszonen oder unterstützen dieses Konzept erst gar nicht.

Jede Website wird standardmäßig der Zone Internet zugeordnet, wobei der User dies ändern kann. Jeder Sicherheitszone lassen sich Sicherheitsstufen zuweisen ("High", "Medium-High", "Medium", "Medium-Low" und "Custom"), wobei es hier Einschränkungen gibt. Beispielsweise ist es nicht möglich, die Stufe Medium in der Zone Internet zu unterschreiten.

Mit den Zonen lassen sich nicht nur zahlreiche Sicherheitseinstellungen zuweisen, sondern auch verhindern, dass Inhalte aus dem Internet dem Rechner Schaden zufügen. Standardmäßig ist es nicht möglich, ausführbare Dateien, die von einer in der Zone Internet eingruppierten Site geladen wurden, automatisch auf der mit mehr Restriktionen versehenen Zone Local Computer auszuführen. Dies gilt auch für Erweiterungen: Wenn beispielsweise ein Active X Control nur für Local Computer zugelassen ist, kann man es über den Browser nicht starten. Auf diese Weise kann verhindert werden, dass es Malware-Sites gelingt, über fehlerhafte Controls einen Rechner zu attackieren.

In Sachen SSL/TSL-Verschlüsselung verfügt der IE standardmäßig nicht über die Leistungen von Firefox und Opera. Der Browser informiert den Anwender jedoch sehr genau über Fehler bei Zertifikaten. Zudem können Administratoren festlegen, dass Web-Surfer keine Websites mit gültigem Zertifikat ansteuern können. IE 8 unterstützt Extended Validation Certificates (EV), Online Certificate Status Protocol (OCSP) und Elliptical Curve Cryptography (ECC).

Den Web-Browser-Sicherheitstest, dem sich alle Programme unterziehen mussten, bestand auch der Internet Explorer. Beim Passwort-Handling-Test schnitt er mit mittelprächtigen Ergebnissen ab. Ebenso wie Firefox und Opera unterbindet IE 8, dass sich Malware von Websites heimlich installiert, und informiert den Anwender lautstark über solche Versuche.

Keine so gute Figur machte das Microsoft-Programm beim Denial-of-Service-Test (DoS), bei dem DoS-Websites gezielt angesteuert werden. Diese Attacken veranlassen die Software, zahlreiche neue Fenster zu öffnen. Hier setzte der Microsoft-Browser irgendwann aus, auch wenn er sich vergleichsweise lange wacker schlug. Während andere Web-Clients bereits nach 30 Sekunden einfroren, hielt IE 8 über eine Minute aus, bevor der Rechner neu gestartet werden musste. Lediglich Opera überstand diese Attacke.

Browser-Verwaltung fürs Firmennetz

Für keinen anderen Browser gibt es so viele Tools für den Firmeneinsatz. Über den "Internet Explorer 8 Deployment Guide" können Systemverwalter mehr als 1300 Browser-Einstellungen konfigurieren und firmenweit installieren, und zwar über die "Active Directory Group Policy" oder das "Internet Explorer Administration Kit". Zudem verfügt der Microsoft-Browser als einziger in diesem Test über eine Kerberos-gestützte Authentifizierung via Web.

Fazit

Die weite Verbreitung des Browsers sowie die Technik Active X haben das Microsoft-Produkt zu einem beliebten Angriffsziel gemacht und Schwachstellen offenbart, die andere Web-Software nicht aufweist. Mit der ausgereiften und fein abstimmbaren Sicherheitstechnik, Security Zonen und Verwaltungswerkzeuge für Unternehmen will Microsoft die Akzeptanz des Browsers im Firmenumfeld festigen. (fn)