Internet Explorer: Das bekannte ist das kleinere Übel

Kommentar von Rik Ferguson, Director Security Research & Communications EMEA

Bild: Steve Dinn

Die Nachricht vom Zero-Day-Exploit für Microsofts Internet Explorer hat die Diskussion darüber, welcher Browser der sicherste ist, erneut aufflammen lassen. Viele wohlmeinende Stimmen von Experten, CEOs und sogar das BSI rieten zum Wechsel des Browsers. Doch ist das realistisch und tatsächlich sinnvoll?

Sicherheit gründet sich nicht auf reflexhafte Reaktionen auf einzelne Ereignisse, sondern auf den Aufbau einer Strategie, die dazu führt, das Risiko mit der Zeit zu minimieren. Eine solche Strategie sollte auch Änderungen um der Änderung willen vermeiden, denn jede neue Technologie, mit der die Anwender noch nicht vertraut sind, bringt aus diesem Grund neue Risiken mit sich.

Die beiden bekanntesten Alternativen zum Internet Explorer, die auch am häufigsten empfohlen werden, sind Google Chrome und Mozilla Firefox. Keiner von beiden Browsern ist vor Schwachstellen und Zero-Day-Angriffen gefeit. Aufgrund des vorhandenen Beweismaterials kann man sogar davon ausgehen, dass der IE das geringere Übel darstellt.

2011 hatte Google Chrome mit 275 neuen Sicherheitslücken die höchste für den Browser gemeldete Zahl an Bedrohungen seit seiner Einführung. Die Bedrohungen für Mozilla Firefox gehen zwar seit 2009 zurück, doch waren es immer noch 97 Sicherheitslücken im letzten Jahr. Der Trend für IE war während der letzten fünf Jahre rückläufig, und für 2011 wurden nur 45 neue Sicherheitslücken gemeldet, weniger als für jeden anderen Browser, ausgenommen Apples Safari mit ebenfalls 45.

Natürlich ist die reine Anzahl von Sicherheitslücken wenig aussagekräftig, ohne die entsprechende Schwere der Bedrohung zu berücksichtigen. Betrachtet man die Zero-Day-Schwachstellen ändern sie den Vergleich kaum: Chrome und IE hatten jeweils sechs, während Mozilla Firefox auf vier kam.

Die einfache Erkenntnis daraus ist, dass wir Zero-Day-Sicherheitslücken wie der aktuellen ungerechtfertigt hohe Aufmerksamkeit schenken. Schon die Bezeichnung weckt Ängste, auch bei Leuten, denen nicht ganz klar ist, was die Begriff bedeutet. Unternehmen und Privatpersonen haben es schwer genug, ihre Browser auf aktuellem Stand zu halten, wobei die Zahl der schließbaren Lücken viel höher ist als die gelegentlichen Zero-Day-Bedrohungen. Auch richten sich die Angriffe zunehmend auf Anwendungs-Plugins wie QuickTime, Flash oder Acrobat, die in den verschiedenen Browsern und Betriebssystemen angewendet werden können. Darüber hinaus gibt es vor allem Angriffe auf Einzelpersonen und den Browser, den diese jeweils benutzen. Dazu gehören die Phishing-Angriffe oder Social Engineering-Attacken.

Tatsache ist, der Browser garantiert niemand Sicherheit, der Einzelne muss selbst für seine Sicherheit sorgen, unabhängig davon, welchen Browser er wählt. In den meisten Fällen empfiehlt es sich, bei dem Browser zu bleiben, den der Nutzer am besten kennt, und diesen zu sichern.

Schließlich ist das Vorhandensein einer Sicherheitssoftware für den PC genauso wichtig, wie der Sicherheitsgurt im Auto. Einzelheiten zu der Funktionsweise von Sicherheitssoftware finden Interessierte beispielsweise in dem Report von NSS Labs.

Ein Gedanke zu „Internet Explorer: Das bekannte ist das kleinere Übel

  1. IRON67

    „Schließlich ist das Vorhandensein einer Sicherheitssoftware für den PC genauso wichtig, wie der Sicherheitsgurt im Auto.“

    Mal wieder ein lahmender Vergleich.

    Der Punkt ist nur, dass z.B. solche Gurte technisch gesehen wesentlich zuverlässiger und wesentlich einfacher konstruiert sind als „Schutzprogramme“. Davon abgesehen sind sie am Fahrzeug verankert, um den Menschen vor den Folgen der Massenträgheit zu schützen. „Schutzprogramme“ aber sind in Windows verankert, um Windows zu schützen. Baron Münchhausen lässt grüßen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*