In die Unternehmen halten immer häufiger Applikationen Einzug, die über den Web-Browser betrieben werden. Zudem sind Browser das Tor zum Internet und zu Geschäftspartnern, Kunden und Zulieferern. Damit residieren sie an der zentralen Schaltstelle zwischen interner und externer IT. Ein genauer Blick auf die Sicherheitsqualitäten der verschiedenen Ausführungen ist also angeraten. Die US-amerikanische CW-Schwesterpublikation "Infoworld" hat sich vier gängige Browser unter IT-Security-Aspekten genauer angesehen: den "Internet Explorer" von Microsoft, den Open-Source-Browser "Mozilla Firefox" sowie den "Opera" vom gleichnamigen norwegischen Hersteller. Last, but not least haben die Tester den "Google Chrome" in ihre Testliste aufgenommen, weil der Browser zum Produktstart im vergangenen Herbst sehr viel Aufmerksamkeit bekommen hat.

Internet Explorer: Stärken im Management

Microsoft bringt bald die nächste Version des hauseigenen Browsers heraus. Der "Internet Explorer 8" wird über erweiterte Sicherheitsfunktionen verfügen, und das ist auch notwendig. Die Microsoft-Ausführung ist der am häufigsten installierte Browser und wird daher auch besonders gern von Hackern und Malware angegriffen. Im vergangenen Jahr wurden nicht weniger als 70 Schwachstellen aufgedeckt. Zum Vergleich: Im Mozilla Firefox, dem zweitplatzierten Browser in der Schwachstellen-Hitliste, wurden 39 Lücken erkannt. Die Infoworld hatte den "Internet Explorer, Version 8, Beta 2" zum Test vorliegen.

Einzelne Rendering-Prozesse betreibt der Internet Explorer unter Windows Vista standardmäßig im Protected Mode. Das hat den Vorteil, dass Browser-Funktionen wie Toolbar, Verlauf (History) und Favoriten nur begrenzte Privilegien erhalten. Zudem integriert der Internet Explorer Features wie Schutz vor Cross-Site-Scripting, Pop-up-Blocker sowie "Inprivate Browsing" (surfen, ohne Daten auf den besuchten Websites zu hinterlassen). Der enthaltene Anti-Phishing-Filter weist Websites ab, die Microsoft als Malware-Schleudern identifiziert hat. Perfekt ist der Filter (ebenso wie bei der Konkurrenz) allerdings nicht.

Lob verdient der Internet Explorer für die Cookie-Verwaltung. Richtlinien für den Umgang mit diesen Profildaten kann der Nutzer je Sicherheitszone und Website vereinbaren. Gleiches gilt für Add-ons. Unter den vier verglichenen Browsern bieten nur der Internet Explorer und Firefox ein Management-Tool zur Verwaltung der Zusatzdienste, wobei die Microsoft-Implementierung eine detailliertere Einstellung zulässt. Anwender können Add-ons nur für eine einzelne Site verwalten.

Besondere Stärke zeigt der Browser in der Implementierung von Sicherheitszonen. Ein fünfstufiges Konzept hat nur Microsoft implementiert. Vor allem in der Unternehmens-IT ist dies ein interessantes Feature. Jeder Zone lässt sich eine von fünf Sicherheitsstufen sowie zahlreiche Einstellungen zuweisen. Sogar Javascript und Active X Control lassen sich je Zone ein- oder ausschalten.

Während sich der Internet Explorer in der Malware-Abwehr gut und im Passwort-Handling mittelprächtig bewährt, deckten die Prüfer im Denial-of-Services-Test (DoS) überraschende Schwächen auf. Nach einer Minute fortwährender Attacken stieg der Internet Explorer aus. Umstritten ist zudem das Feature, Active X auch ohne Administratorrechte ablaufen zu lassen. Damit folgt der Internet-Explorer jedoch lediglich der Windows-Vista-Richtlinie, der sich auch andere Hersteller angeschlossen haben. Das soll die Möglichkeiten, das Betriebssystems zu manipulieren, reduzieren.

Hier finden Sie den ausführlichen Testbereicht.

Firefox: Umfassende Zertifikatsverwaltung

Der Mozilla Firefox spielt seine Stärken als Open-Source-Projekt aus. Die zahlreichen Add-ons erweitern den Browser um interessante Funktionen. So lassen sich mit diesen Zusatzdiensten etwa Java oder Javascript an- und abschalten sowie Active X Controls ausführen. Doch die Vielzahl der Add-ons birgt Verwaltungs- und Security-Probleme. Gegen diese Gefahr enthält Firefox einen Add-on-Manager.

Anders als etwa der Internet Explorer und Google Chrome setzt Firefox Administratorrechte zur Installation voraus. Unter Windows Vista läuft der Browser als einzelner Prozess im "Medium"-Modus. Hier verdienen konkurrierende Produkte bessere Noten. Auch mit der Qualität der Anti-Phishing-Funktionen kann sich der Firefox nicht von der Konkurrenz absetzen, sondern reiht sich in die Liste der verbesserungsdürftigen Implementierungen ein. Die Cookie-Verwaltung ist besser gelöst als im Chrome und im Opera, doch die Qualität der Microsoft-Lösung erreicht der Firefox nicht. Der Mozilla-Browser erlaubt standardmäßig das Lesen von Drittanbieter-Cookies. Ausnahmen lassen sich je Website vereinbaren, eine detaillierte Justierung wie im Internet Explorer bietet Firefox indes nicht. Wie die meisten anderen Browser (mit Ausnahme von Opera) scheiterte auch der Firefox am Denial-of-Service-Test. Als die Prüfer eine für schädlichen Content bekannte Seite ansteuerten, stieg der Browser aus. Für solche Situationen macht sich der "Safe Mode" des Firefox bezahlt. Er gestattet es, den Browser nach einem Crash neu zu starten.

Ein gravierender Nachteil in puncto Sicherheit ist, dass Firefox keine Security-Zones unterstützt. Das ist deshalb schlecht, weil insbesondere Firmen es schätzen, unterschiedliche Sicherheitsdomänen einrichten zu können. Auch hier hat Microsofts Browser die bessere Lösung parat.

Pluspunkte verdient sich die an der Entwicklung beteiligte Open-Source-Gemeinde im Umgang mit Zertifikaten. Keine andere Software informiert so detailliert und umfassend über die digitalen Beglaubigungen und erleichtert deren Installation. Auch in Sachen SSL/TLS-Verschlüsselung hängt Firefox konkurrierende Lösungen ab. Der TLS-Modus verwendet einen 256 Bit langen symmetrischen Schlüsseln.

In seiner Rohfassung ist der Firefox nur bedingt für den Einsatz im Unternehmensumfeld geeignet, dafür mangelt es dem Browser noch an Verwaltungs-Tools. Doch auch hier spielt die Open-Source-Gemeinde ihre Stärken aus. Add-ons wie "Firefox ADM" und Drittanbieter wie etwa Frontmotion liefern die nötigen Management-Funktionen.

Hier finden Sie den ausführlichen Testbereicht.

Opera: Feine Justierungsmöglichkeiten

Kein anderer Browser läuft auf so vielen Plattformen wie Opera. Neben Windows, Mac OS, Linux und Free BSD gibt es Versionen für Solaris, Mobiltelefone, Nintendo-Spielkonsolen und sogar für OS/2. Opera verfügt über einzigartige Sicherheitsmechanismen und erlaubt es, diese feiner abzustimmen als andere Browser, sieht man vom neuen Internet Explorer ab.

Opera gestattet es, jede Website, einzelne Objekttypen oder Objektklassen global oder bezogen auf einzelne Web-Adressen zu sperren. So können Anwender nicht nur Java und Javascript zurückweisen, sondern auch Tondateien, animierte Grafiken, Dateierweiterungen und Protokolle wie etwa FTP. Theoretisch ließe sich der Browser so abschotten, dass keine Datei heruntergeladen, gesichert oder gestartet werden kann.

Auch die Cache-Kontrolle bietet so viele Details wie sonst keiner der getesteten Browser. Der Anwender bestimmt, was (Dokumente und Bilder, etc.) wie lange im Cache verbleiben soll und wie groß dieser ist. Reichhaltig ist auch die Cookie-Verwaltung. Als einziger Browser überstand Opera eine Denial-of-Service-Attacke, ohne abzustürzen. Die Verwaltung von Zertifikaten sowie die Verschlüsselung von Inhalten hat der Opera-Browser besser als der Chrome und der Internet Explorer im Griff. Gute Wahlmöglichkeiten bietet der Browser in der Nutzung von Javascript.

Leider schöpft der Browser nicht die Sicherheitsfunktionen aus, die das Betriebssystem Windows Vista bietet. Alle anderen getesteten Browser aktivieren die Windows-Funktionen "Data Execution Prevention" (DEP) und "Address Space Layout Randomization" (ASLR), um das Risiko eines Buffer Overflow zu reduzieren. Opera tut dies nicht.

Opera ist in seiner Standardausführung nicht für den Betrieb in Firmennetzen geeignet. Die Software enthält jedoch fein justierbare Sicherheitsmerkmale, die der Systemverwalter einstellen und firmenweit ausrollen kann. Empfehlenswert ist der Browser aber erst, wenn er die Windows-Vista-Features DEP und ASLR sowie die Verschlüsselungstechnik ECC unterstützt. Der Hersteller hat dies für die kommende Version 10 angekündigt.

Hier finden Sie den ausführlichen Testbereicht.

Chrome: Noch nicht empfehlenswert

Google hat die Entwicklung des Chrome als Open-Source-Projekt angelegt, die Fäden der Implementierung aber selbst in der Hand behalten. Den großen Vorteil, keine Rücksichten auf Altlasten und Rückwärts-Kompatibilität zu nehmen, hat das Entwicklerteam aufgenommen und in einem bemerkenswerten Security-Modell umgesetzt. So trennt Chrome das Hauptprogramm von den Rendering-Prozessen, so dass einzelne Web-Seiten den Browser nicht vollends zum Absturz bringen. Zudem greift Chrome die Windows-Sicherheits-Funktionen in vorbildlicher Art und Weise auf. Mit den Privilegien für Browser-Prozesse geht Chrome sehr restriktiv um. Ferner hat das Team sich Gedanken darüber gemacht, wie sich die Manipulationsversuche durch Javascript einschränken lassen, was ein durchaus lobenswertes Unterfangen ist.

Doch diese guten Ansätze macht die fehlende Abschaltmöglichkeit von Javascript zunichte. Alle Chrome-Konkurrenten bieten die Möglichkeit, die Ausführung entweder generell oder auf Site- und Zone-Ebene zu unterbinden (der Firefox benötigt dazu allerdings das Add-on "NoScript"). Während Googles Chrome ansonsten durch Cleverness in Security-Fragen besticht, ist dieser Makel eine ernste Sicherheitslücke.

Fragwürdig sind zudem Standardeinstellungen. So lässt Chrome Cookies von Drittanbietern von Haus aus zu, und auch die Grundeinstellung zur Darstellung gemischter Inhalte widerspricht gängigen Sicherheitsanforderungen. Schwächen zeigt Chrome zudem in der Passwort-Verwaltung.

Für einen ernsthaften Einsatz im Unternehmen bietet sich Chrome in der ersten Version nicht an. Es fehlt an Management-Funktionen beispielsweise in der Verwaltung von Zertifikaten. Auch bemängelten die Tester Schwachstellen in der Webkit-Engine, die schon seit Monaten behoben sind, deren Patches von Google aber nicht übernommen wurden.

Hier finden Sie den ausführlichen Testbereicht.

Fazit: Internet Explorer und Firefox machen das Rennen

Vielversprechende Ansätze bieten der Internet Explorer und der Firefox. Die neueste Microsoft-Ausführung bringt deutliche Fortschritte in Sicherheitsfragen. Doch die große Installationsbasis macht den Internet Explorer zum begehrten Angriffsziel, so dass Schwachstellen der Software schnell öffentlich werden. Der Firefox bietet vergleichsweise weniger Security-Funktionen und hat insbesondere in der Gestaltung von Sicherheitszonen weniger Auswahl. Doch die Open-Source-Gemeinde hat viele Add-ons hervorgebracht, die den Einsatz im Unternehmen komfortabler gestalten. Beide Browser bieten sich für den professionellen Einsatz an, wenngleich keiner uneingeschränkt empfehlenswert ist. Der Opera-Browser ist eine ernst zu nehmende Alternative, doch sollten sich Vista-Anwender bis zum Produktstart der kommenden Version 10 gedulden. Sie wird wesentliche Basisfunktionen des Windows-Betriebssystems in puncto Sicherheit aufgreifen. Chrome ist ein interessanter erster Versuch vom Suchmaschinenbetreiber Google. In der Umsetzung gibt es Verbesserungsbedarf. Insbesondere die fehlende Möglichkeit, Javascript auszuschalten, verbietet eigentlich einen Einsatz des Browsers im Unternehmensnetz.