Wer Sicherheitsverantwortliche nach Einstellungen fragt, die die Nutzung des Internet Explorers (IE) sicher machen, erntet meist entweder Gelächter oder erhält die Empfehlung, einen anderen Browser wie Firefox, Opera, Safari oder Google Chrome zu verwenden. Wie emsig Microsoft vor allem bei den IE-Versionen 7 und 8 auch daran gearbeitet hat, die Sicherheit seines Browsers zu verbessern - Security-Profis trauen dem Produkt nach wie vor nicht so recht über den Weg.
Doch gerade im Unternehmensumfeld lässt sich der Microsoft-Browser aufgrund seiner engen Integration mit dem Windows-Betriebssystem kaum umgehen. "So bald werden wir vom IE nicht wegkommen", ist sich Christopher Mendlik, Threat-Analyst bei der US-Bank Wachovia, sicher. Zudem funktionieren manche Geschäftsapplikationen ausschließlich im Zusammenspiel mit dem IE, und auch Programme, mit denen sich Inhalte online stellen lassen, reagieren häufig schlicht allergisch auf andere Browser.
Unternehmen, denen nichts anderes übrig bleibt, als den IE einzusetzen, behelfen sich mit einer Reihe von Sicherheitsmaßnahmen: Machovia-Experte Mendlik beispielsweise sperrt den IE über Group-Policies, spielt die jeweils neusten Patches ein und nutzt Content-Filtering auf einer Proxy-Firewall mit Echtzeit-Blacklists. Darüber hinaus überwacht er interne und ausgehende Verbindungen auf ungewöhnliche Aktivitäten.
Thomas Evans, Netzsicherheitsadministrator in Cleveland, wiederum setzt auf "Sandbox for IE", das es ermöglicht, jedes Programm in einer virtuellen Umgebung (Sandbox) laufen zu lassen und damit potenzielle Schäden auf die Sandbox und die virtuelle Registry zu beschränken. "Sobald die Browsing-Session beendet ist, lässt sich alles, was damit zusammen hängt, sicher löschen", erläutert Evans das Prinzip. Selbst wenn man sich dabei etwas Bösartiges via Drive-by eingefangen habe, könne es keinen Schaden anrichten.
Abgesehen davon gibt es aber eine Reihe grundlegender IE-Einstellungen, die das Surfen mit dem Microsofts-Browser aus Sicht von Jeff Forristal, Senior Security Engineer bei dem Sicherheitsanbieter Zscaler, ungleich sicherer machen:
Deaktivieren Sie XPS-Dokumente
Die XML Paper Specification (XPS) ist ein Dateiformat für Dokumente, das Microsoft mit Vista eingeführt hat. Angreifer haben einen Heidenspaß, Bild- beziehungsweise und Dokumentenformate und Parser für ihre Zwecke zu missbrauchen. Daher gilt laut Forristal: Je weniger Formate der Browser unterstützt, desto besser.
Und so geht's: Extras -> Internetoptionen -> Sicherheit -> Internetzone -> Benutzerdefiniert: Stufe anpassen -> XPS-Dokumente: deaktivieren.
Nachteile: Diese Einstellung kann das Betrachten von XPS-Dokumenten beeinträchtigen. Nach Angaben von Forristal bietet Microsoft einen Standalone-XPS-Viewer, der nicht auf den IE angewiesen ist.
Deaktivieren Sie den Schriftart-Download
Viele Web-Seiten bieten an, sich über den Browser ein entsprechendes Font-File installieren zu lassen, um internationale Schriftzeichen auf der Site korrekt darstellen zu können. Allerdings handelt es sich dabei um ein weiteres Dateiformat - und zugleich um einen weiteren Angriffsvektor, da ersteres noch unentdeckte Schwachstellen beherbergen könnte. Wer in der Regel keine fremdsprachigen Websites besuche, benötige das nicht wirklich, so Forristal.
Und so geht's: Extras -> Internetoptionen -> Sicherheit -> Internetzone -> Benutzerdefiniert: Stufe anpassen -> Schriftartdownload: deaktivieren.
Nachteile: Manche Web-Seiten sind daraufhin möglicherweise etwas weniger hübsch - laut Forristal jedoch nach wie vor brauchbar.
Schließen Sie beim Datei-Upload den lokalen Verzeichnispfad aus
Wann immer Sie eine Datei auf einen Web-Server hoch laden (etwa ein Bild in Ihren Blog oder Flickr-Account), kann der Browser entweder nur den Dateinamen oder den vollständigen Dateipfad senden - selbst wenn die Web-Seite nur den Dateinamen benötigt. Da der Dateipfad identifizierende Informationen wie etwa den Login-Namen eines PCs enthalten kann, kann dies riskant sein. "Sendet der Browser etwa 'c:\benutzer\jforristal\bilder\blog.gif', gibt er meinen Nutzernamen (jforristal) preis", gibt Zscaler-Experte Forristal zu bedenken.
Und so geht's: Extras -> Internetoptionen -> Sicherheit -> Internetzone -> Benutzerdefiniert: Stufe anpassen -> Lokalen Verzeichnispfad beim Hochladen von Dateien mit einbeziehen: deaktivieren.
Nachteile: keine
Deaktivieren Sie die automatische Eingabeaufforderung
Bei vielen Semi-Security-Optionen in der Zone "Sicherheit" ist die automatische Eingabeaufforderung, die fragt, was Sie jeweils tun wollen, bereits voreingestellt. Tendieren Sie grundsätzlich dazu, "ja" anzuklicken, wenn Ihnen ein Popup-Fenster präsentiert wird (übrigens keine gute Angewohnheit!), sollten Sie die Option durchweg deaktivieren. Das ist üblicherweise sicher, wenn Sie ohnehin nicht häufig zur Eingabe aufgefordert werden
Und so geht's: Extras -> Internetoptionen -> Sicherheit -> Internetzone -> Benutzerdefiniert: Stufe anpassen-> Automatische Eingabeaufforderung für ... Anpassen.
Nachteile: keine
Geben Sie stets Nutzernamen und Passwort ein
Für Heimanwender oder PC-Nutzer außerhalb eines Unternehmens, das Active Directory nutzt, ist es kein Vorteil, die Auto-Logon-Funktion aktiviert zu haben. Nach Ansicht von Forristal sollte man sich nirgendwo im Internet automatisiert einloggen. Zwar begrenzt der IE die automatische Anmeldung üblicherweise auf Sites innerhalb der Intranet-Zone - was aber, wenn ein Angreifer den Browser Glauben macht, eine Site befände sich in einer anderen Zone? Für eine Funktion, die man nicht brauche, sei es nicht sinnvoll, dieses Risiko einzugehen, so der Experte.
Und so geht's: Extras -> Internetoptionen -> Sicherheit -> Internetzone -> Anmeldung -> Nach Benutzername und Passwort fragen.
Nachteile: keine
Deaktivieren Sie SSL-2.0-Unterstützung
Das Verschlüsselungsprotokoll SSL2 (Secure Sockets Layer) gilt schon lange als unsicher, so Forristal. Ihm zufolge führt jede Website, die lediglich SSL2 und nichts Neueres (etwa SSL3 oder TLS) unterstützt, entweder Schlechtes im Schilde oder ist so alt, dass sie vor Schwachstellen strotzt und damit für Hacker ein gefundenes Fressen ist.
Und so geht's: Extras -> Internetoptionen -> Erweitert -> SSL 2.0 verwenden: nicht anklicken.
Nachteile: Keine
Aktiveren Sie TLS-Unterstützung
TLS (Transport Layer Security) ist eine Weiterentwicklung von SSL, die mehr Sicherheitserweiterungen bietet als SSL3. Die Funktion sollte daher aktiviert sein.
Und so geht's: Extras -> Internetoptionen -> Erweitert -> TSL 1.0 verwenden: anklicken.
Nachteile: keine
Deaktivieren Sie die Suche in der Adressleiste
Forristal rät davon ab, Informationen in die Adressleiste einzugeben und als Suchbegriffe an Suchmaschinen zu schicken. Dabei könne es passieren, dass Daten unerwünscht preisgegeben werden, warnt der Sicherheitsspezialist.
Und so geht's: Extras -> Internetoptionen -> Erweitert -> Suchen in Adressleiste: Nicht in Adressleiste suchen.
Nachteile: keine
Deaktivieren Sie unnötige Add-Ons
Es gibt jede Menge Tools von Drittanbietern, die sich in Ihren Browser einklinken. Im Prinzip bietet jedes dieser Add-ons eine Möglichkeit für Hacker, Sie anzugreifen. Daher empfiehlt Forristal daher, möglichst viele abzuschalten.
Und so geht's: Extras -> Internetoptionen -> Programme -> Add-Ons verwalten
Nachteile: Leider erschließt sich nicht immer unmittelbar, was man besser in Ruhe lässt und was deaktiviert werden sollte. Laut Forristal tun Anwender dennoch gut daran, die Add-on-Liste nach nicht länger benötigten Tools zu durchforsten. Wer beispielsweise Skype nach einer Versuchsperiode von mehreren Monaten nicht mehr nutze, könne das Skype-Browser-Add-on getrost abschalten.
Deinstallieren Sie alte Java-Installationen
Aus unerfindlichen Gründen installieren sich neue Java-Versionen manchmal als komplett neue Versionen statt als Upgrades älterer Releases. Das kann problematisch sein, weil ein Angreifer die älteren Versionen nach wie vor für seine Zwecke missbrauchen könnte - und diese möglicherweise Sicherheitslücken aufweisen, die in der Nachfolgeversion bereits behoben sind. Forristal empfiehlt daher, die Liste der installierten Anwendungen zu überprüfen, zu "Java" zu scrollen und - bis auf die an oberster Stelle aufgeführte - alle Versionsnummern zu entfernen. "Bei dieser Gelegenheit lässt sich auch gleich alles andere deinstallieren, was nicht mehr gebraucht wird - und so die Gesamtangriffsfläche verringern", rät der Experte.
Nachteile: keine
Bis auf die Deinstallation alter Java-Versionen lassen sich die hier aufgeführten Einstellungen schnell und einfach wieder rückgängig machen. "Es ist durchaus in Ordnung, damit zu experimentieren und die Settings auszuprobieren - sollten Probleme auftreten, einfach zurückgehen, und alles ist wieder wie vorher", versichert Forristal.