Beiträge

Sicherheitslücken in Web-Browsern u.a.

Die Web-Browser von Mozilla und Microsoft (Firefox, Seamonkey bzw. Internet Explorer, MSIE) sind die Standardwerkzeuge für die Benutzung des World Wide Web (WWW), des beliebtesten Teils des Internets. Hinzu kommen weniger verbreitete Programme wie Opera, Safari, Chrome oder Konqueror. Sie ermöglichen den Zugriff auf HTML-Dokumente (Web-Seiten), sowie auf Datei- bzw. Software-Archive (FTP, HTTP), teilweise auch auf Newsgroups (UseNet-Diskussionsforen) und E-Mail (Seamonkey, Opera).

Welche Dateitypen sind sicher?
Kurz gesagt: keine mehr.
Inzwischen gibt es für fast alle verbreiteten Dateiarten auch Möglichkeiten damit schädlichen Code einzuschleusen – auch PDF oder Videos gehören dazu. Meist hängt es nur noch von der Software (-Version) ab, mit der Sie eine Datei öffnen, ob Ihr Rechner gefährdet ist. Reine Textdateien mögen unproblematisch erscheinen – aber nur, weil eine Datei die Endung "TXT" trägt, muss es keine reine Textdatei sein.

Durch diese große Bandbreite an Funktionen und die damit einhergehende Komplexität der Software schleichen sich immer wieder Programmierfehler ein. Diese beeinträchtigen zum Teil die Funktionalität im täglichen Gebrauch (z.B. stürzt der Browser bei bestimmten Funktionen immer wieder ab). Eine Reihe dieser 'Bugs' genannten Fehler führen aber auch (meist unbemerkt) zu einer Beeinträchtigung der Datensicherheit und -integrität auf der Festplatte.

Sie ermöglichen es Online-Kriminellen, die diese Fehler kennen und ausnutzen, Dateien auf der Festplatte zu manipulieren oder Viren und andere Schädlinge, so genannte Malware, einzuschleusen und sie auszuführen.

Dies geschieht z.B. durch speziell präparierte Web-Seiten oder durch E-Mails, die schädlichen Code enthalten, also Befehle, die einen Angriff auf die Rechner der Benutzer darstellen.

Die Liste dieser Fehler ist lang. Jede neue Version eines Browsers beseitigt meist eine Reihe inzwischen bekannt gewordener Bugs, einige bleiben und es kommen neue hinzu. Browser-Erweiterungen (Plug-ins, Add-ons) erschließen weitere Dateiformate (etwa Videos) oder Dienste, bringen jedoch auch ihre eigenen Sicherheitslücken mit. Diese werden gerne ausgenutzt, z.B. bei Flash oder Java.

Um die Sicherheit des eigenen Rechners vor solchen Angriffen zu wahren, sollten folgende Empfehlungen beachtet werden:

  • Verwenden Sie nur aktuelle Versionen der Browser (z.B.: Firefox, Safari, Opera, MSIE),
    vermeiden Sie dabei jedoch Beta-Versionen (z.B. bei Google Chrome)
  • aktualisieren Sie ebenso regelmäßig installierte Browser-Erweiterungen,
    etwa den Flash Player, Adobe Reader oder Java (JRE)
  • schalten Sie jeweils die höchste Sicherheitsstufe ein
  • aktivieren Sie alle Bestätigungen/Sicherheitsabfragen
  • aktivieren Sie den im Browser enthaltenen Phishing-Filter (Phishing)
  • deaktivieren Sie Java und JavaScript (MSIE: JScript, VB-Script, Active Scripting)
  • deaktivieren Sie ActiveX (nur MSIE)
  • speichern Sie keine Passwörter im Browser
  • deaktivieren Sie die Annahme sog. Cookies (darin werden Benutzer- oder Sitzungsdaten auf Ihrer Festplatte gespeichert) bzw. erlauben Sie Cookies nur für Websites, denen Sie vertrauen und auf denen es nicht anders geht
  • schließen Sie nicht mehr benötigte Browser-Fenster – insbesondere, bevor Sie vertrauliche Daten eingeben (z.B. beim Online-Banking oder in Online-Shops)
  • installieren Sie regelmässig Sicherheits-Updates, auch für Anwendungs-Software (Office, Media Player,...).

Sie werden zwar feststellen, dass Sie bestimmte Web-Angebote mit derart restriktiven Einstellungen nicht oder nur noch eingeschränkt nutzen können, die Sicherheit Ihrer Daten ist jedoch wichtiger. Wägen Sie daher im Einzelfall ab, ob Sie dem Anbieter eines Web-Dienstes vertrauen dürfen und einige der Funktionen zeitweise aktivieren. Meistens entgeht Ihnen jedoch nichts, das ein erhöhtes Risiko wert wäre.

Die Firefox-Erweiterung NoScript (auch für Seamonkey geeignet) erleichtert das fallweise Zulassen aktiver Inhalte. Es sperrt aktive Inhalte wie Javascript und Flash zunächst auf allen Seiten. Sie können jedoch mit einem Klick temporäre und permanente Ausnahmen festlegen.
Die Firefox-Erweiterung RequestPolicy geht noch einen Schritt weiter und unterbindet das Laden der Inhalte fremder Domains/Server (auch Bilder). Das Bedienkonzept ähnelt dem bei Noscript, auch hier können Sie temporäre und permanente Ausnahmen festlegen.
Beide Add-ons gemeinsam bieten eine hohe Sicherheit zum Preis etwas mühsamerer Benutzung des Web. Ebenfalls empfehlenswert ist die Firefox-Erweiterung BetterPrivacy, die so genannte Super-Cookies (Local Shared Objects, LSO) löschen kann, die zum Langzeit-Tracking dienen können.

Die Browser aus der Mozilla-Familie (wie Firefox, Seamonkey) erlauben es mehrere Benutzer-Profile anzulegen. Erstellen Sie eines mit strengen Sicherheitseinstellungen (s.o.) und eines für vertrauenswürdige Websites, z.B. Intranet-Seiten. Das Konzept von Internet einerseits und Intranet andererseits (mit entsprechenden Sicherheitseinstellungen) kennt auch der Internet Explorer (MSIE) ab v4.0, es ist jedoch löcherig wie ein Schweizer Käse und daher nur bedingt brauchbar. Erst mit IE 8 und 9 (+ regelmäßige Sicherheits-Updates) bietet der Internet Explorer ein akzeptables Sicherheitsniveau sowie Unterstützung für modernes HTML.
Der für die Zeitschrift c't entwickelte Browser-Check bietet Konfigurationsanleitungen sowie Demos von Sicherheitslücken für verschiedene Browser.

Weitere Sicherheitstipps:

  • Installieren Sie Antivirus-Software und halten Sie sie aktuell
  • Eine Desktop Firewall und/oder ein (DSL-) Router mit Paketfilter (sog. "Firewall-Router") kann einen Virenscanner nicht ersetzen, jedoch sinnvoll ergänzen
  • Gehen Sie nie ins Internet, wenn Sie als Benutzer mit Administrator-Rechten angemeldet sind (Windows: 'Administrator', Unix/Linux: 'root'). Richten Sie dafür einen Benutzer mit drastisch eingeschränkten Rechten ein. Andernfalls sind Angriffen verschiedenster Art (z.B. durch Trojanische Pferde) Tür und Tor geöffnet, da diese auf Ihrer Festplatte die gleichen Rechte wie Sie haben.
  • Informieren Sie sich über Sicherheitslücken in Ihrer Internet-Software, einschließlich des Betriebssystems. Installieren Sie regelmäßig entsprechende Updates (Bug-Fixes, Patches, Service Packs), die bekannt gewordene Löcher stopfen.

 Security-Links:

Zum Seitenanfang
Diese Seite verwendet Cookies

Mit Ihrer Zustimmung helfen Sie uns dabei, die Services und Funktionen der Webseite zu verbessern, um Ihnen ein optimales Nutzungserlebnis zu ermöglichen. Dazu speichern wir und unsere Partner personenbezogene technische Daten zu Geräten und Nutzerverhalten für Marketing-, Analyse- und Optimierungszwecke. . Bitte beachten Sie, dass wir auch Cookies von US-amerikanischen Firmen zur Verfügung stellen. Wenn Sie der Cookie-Setzung zustimmen, gelangen Ihre durch die Cookies erhobenen personenbezogene Daten in die USA, wo Sie keinem dem EU-Datenschutzrecht angemessenen Schutzniveau unterliegen, Sie nur eingeschränkte, bis keine datenschutzrechtliche Rechte genießen und insbesondere auch die US-amerikanische Regierung Zugang zu diesen Daten erlangen kann. Die Ausspielung der zustimmungspflichtigen Cookies erfolgt durch den Google Tagmanger, der US-amerikanischen Firma Google. Wenn Sie daher der Cookie-Setzung zustimmen, so stimmen Sie auch zu, dass die Ausspielung über den Google Tag Manager erfolgt. We use cookies on our website. Some of them are essential for the operation of the site, while others help us to improve this site and the user experience (tracking cookies). You can decide for yourself whether you want to allow cookies or not. Please note that if you reject them, you may not be able to use all the functionalities of the site. Wir verwenden Cookies auf unserer Website. Einige von ihnen sind für den Betrieb der Website unerlässlich, während andere uns helfen, diese Website und die Benutzererfahrung zu verbessern (Tracking-Cookies). Sie können selbst entscheiden, ob Sie Cookies zulassen möchten oder nicht. Bitte beachten Sie, dass Sie im Falle einer Ablehnung möglicherweise nicht alle Funktionen der Website nutzen können.