Sicherheits-Ratgeber So surft der Browser sicher im Web
Für die Absicherung eines Internet-PCs gibt es allerdings keinen allgemeingültigen Weg: Wieviel Sicherheit man benötigt, hängt immer auch davon ab, welchen PC es zu schützen gilt und wieviel die Daten, die sich darauf befinden, wert sind.
Einen Firmen-PC mit geschäftskritischen Informationen wird man sicherlich besser verrammeln als einen privaten Rechner, den man außer zum Surfen nur fürs Spielen nutzt.
Malware-Verbreiter versuchen, Sicherheitslücken schnellstmöglich nach ihrem Bekanntwerden auszunutzen - ganz einfach, weil sie so davon ausgehen können, eine größtmögliche Anzahl an verwundbaren PCs vorzufinden, die noch nicht gegen die Probleme immunisiert wurden. Nicht selten taucht noch am Tag der Veröffentlichung eines Sicherheitsproblems ein sogenannter Zero Day Exploit auf, mit dem Angreifer das Problem ausnutzen können, um das System eines Opfers zu kompromittieren.
Aktualisieren, Tunen, Einstellen - das Fachmagazin "c't" verrät die wichtigsten Handgriffe zum Abdichten von Internet Explorer 8.0, Firefox 3.5, Google Chrome 2.0, Safari 4.0 und Opera 9.6.
Die Software aktualisieren
Den PC jederzeit auf dem neuesten Stand zu halten, ist eine der wichtigsten Sicherheitsmaßnahmen.
Das gilt für das Betriebssystem ebenso wie den Virenchecker, aber auch für die zentrale Internet-Anwendung, den Browser und Plug-ins. Dies betrifft aber nur stabile Versionen, von Betas sollte man im produktiven Betrieb die Finger lassen. Glücklicherweise muss der Surfer sich bei den meisten Browsern nicht selbst um die Aktualität kümmern. Wie die Betriebssysteme suchen die Programme von sich aus regelmäßig auf den Servern ihrer Hersteller nach Updates, informieren den Anwender über neue Versionen oder installieren sie sogar sofort.
So aktualisiert man den Internet Explorer
Beim Internet Explorer übernimmt das Betriebssystem die Update-Funktion, sofern die automatischen Updates der Systemsteuerung aktiviert sind. Apple hat die Updates seines Browsers Safari unter Mac OS X ebenfalls ins Betriebssystem integriert. Der Benutzer sollte dem "Software Update"-Dienst vorgeben, täglich nach Aktualisierungen zu schauen. Findet der System-Updater eine neue Version, so installiert er sie automatisch, falls Apple sie als wichtig ansieht. Ansonsten fragt er beim Benutzer nach, ob er sie installieren soll.
Der Windows-Version von Safari legt Apple ein Programm namens Apple Software Update bei, das regelmäßig nach Updates schaut. Auch Firefox installiert per Voreinstellung Updates automatisch; die betreffende Option findet sich auf dem Reiter ErweitertUpdates der Einstellungen. Unter Windows muss der Benutzer Firefox als Administrator oder als der Benutzer ausführen, der Firefox ursprünglich installiert hat, um Updates installieren zu können.
Opera schaut lediglich einmal pro Woche nach einer neuen Version und informiert den Benutzer gegebenenfalls. Dieser muss dann die neue Version selber herunterladen und installieren. Für das künftige Release 10 hat der Hersteller allerdings einen automatischen Updater angekündigt.
Chrome schaut alle fünf Stunden nach einer neuen Version und aktualisiert sich gegebenenfalls ohne Zutun des Benutzers.
Eine gute Ergänzung zu den eingebauten Aktualisierungsmechanismen der Browser bietet das Programm Personal Software Inspector, kurz PSI. Die Anwendung des Sicherheitsportals Secunia durchkämmt den Rechner nach installierten Anwendungen und prüft anhand der Versionsnummern, ob Sicherheitslücken darin bekannt sind. Es kennt mehrere Tausend gängiger Anwendungen. Bei einem Testrechner etwa bemerkte PSI schneller als Safari und Firefox selbst, dass Updates für die Browser vorlagen.
Außerdem hilft PSI, testweise installierte und anschließend vergessene und somit nicht mehr gepflegte Anwendungen auf dem Rechner zu finden - ein großes Risiko, wenn man sie ungepatcht nutzt. Besonders interessant für Surfer ist die Option "Sicheres Browsing". Sie zeigt detailliert, welche Browser und Erweiterungen sich nicht auf dem aktuellen Stand befinden und sich somit nicht für das sichere Surfen eignen.
Zu jedem gefundenen Problem zeigt das für die private Nutzung kostenlose Programm eine detaillierte Beschreibung der Sicherheitslücke und einen Verweis auf das Update an, lädt diese aber weder herunter noch installiert es sie - das bleibt dem Benutzer vorbehalten. PSI startet auf Wunsch beim Windows-Bootvorgang mit und überwacht Installations- und Deinstallationsprozesse. Außerdem gleicht es seine Daten permanent mit der Sicherheitslücken-Datenbank bei Secunia ab.
JavaScript zügeln
Browser sind Laufzeitumgebungen für dynamische Inhalte verschiedenster Art, allen voran für JavaScript-Programme. Kein Wunder, dass Angreifer immer wieder Sicherheitslücken in den JavaScript-Implementierungen der Browser suchen - und finden. Schaffen sie es dann, den Surfer auf eine mit bösartigem Code vorbereitete Seite zu locken, können sie dort zum Beispiel vertrauliche Daten auslesen oder gleich den gesamten Rechner unter ihre Kontrolle bringen.
Als Abhilfe nutzt es wenig, JavaScript prinzipiell abzuschalten, denn zu viele Websites setzen es mittlerweile voraus. Permanente Fehlermeldungen würden dann nur dazu führen, dass der Benutzer JavaScript eines Tages entnervt wieder aktiviert und diese Einstellung so belässt. Sinnvoller ist es, wenn er eine Auswahl vertrauenswürdiger Websites festlegen kann, bei denen - und nur bei denen - der Browser JavaScript verwenden darf.
Alternativ oder als Ergänzung sollte der Anwender die Skriptsprache bei Bedarf schnell ein- und wieder ausschalten können, etwa wenn er auf eine neue Site kommt, die sie voraussetzt. So kann er JavaScript grundsätzlich deaktivieren, es bei Bedarf aber zuschalten.
Opera bietet beide Möglichkeiten. Der Benutzer kann mit dem norwegischen Browser JavaScript als Grundeinstellung abschalten und für Websites, die es benötigen, individuell über das Kontextmenü "Seitenspezifische Einstellungen" einschalten. Darüber hinaus kann er es aber auch über die per F12 verfügbaren Schnelleinstellungen pauschal ein- und ausschalten.
Im Firefox legt der Anwender im Reiter "Inhalt" der Einstellungen nur pauschal fest, ob JavaScript aktiviert oder deaktiviert sein soll. Immerhin kann er dabei über den Knopf "Erweitert " ein wenig nach den in Skripten erlaubten Aktionen differenzieren. JavaScript nur auf einer Auswahl von gewünschten Seiten zuzulassen, ermöglichen die eingebauten Optionen aber nicht.
Zur Site-weisen JavaScript-Konfiguration hat die Firefox-Gemeinschaft die Erweiterung NoScript herausgebracht. Das Programm führt eine Positivliste von Sites, von denen stammende JavaScripts und Java-Anwendungen Firefox ausführen darf. Besucht der Benutzer eine Website, deren JavaScripts er noch nicht freigegeben hat, so kann er dies über ein Icon in der Statusleiste des Browsers mit einem Mausklick nachholen - dauerhaft oder nur für die momentane Surfsitzung.
Der Internet Explorer handelt JavaScript in den Einstellungen für die verschiedenen Sicherheitszonen mit ab. Per Voreinstellung ist JavaScript nur in der Zone der eingeschränkten Sites abgestellt; in der "Standardzone" Internet darf JavaScript ausgeführt werden. Um die Ausführung von JavaScript nur einer handverlesenen Auswahl von Sites zu erlauben, sollte man es nur in der Zone der vertrauenswürdigen Sites zulassen. Dazu setzt man die Sicherheitsstufe der Zone auf "Hoch" und unter "Stufe anpassen" den Wert unter "Active Scripting" auf "Deaktivieren".
Bei Safari kann der Benutzer nur pauschal festlegen, ob JavaScript genutzt werden soll. Die betreffende Einstellung findet sich im Reiter "Sicherheit" der Programmeinstellungen, die sich am schnellsten mit der Tastenkombination Strg-Komma aufrufen lassen.
Die Bedienoberfläche von Googles Browser Chrome enthält überhaupt keine Option, mit der sich die Ausführung von JavaScript unterbinden lässt. Wer Chrome ohne JavaScript nutzen will, muss den Browser mit dem Kommandozeilenoption --disable-javascript aufrufen. Allerdings hat Google seinem Browser eine recht wirksame JavaScript-Sandbox verpasst: Bösartige JavaScript-Skripte können nur im Kontext ihrer Webseite beziehungsweise ihres Browser-Tabs Schaden anrichten; auf den gesamten Browser oder gar den PC erhalten sie keinen Zugriff.
Plug-Ins im Browser sorgfältig auswählen
Auch die Browser-Plug-ins dienen Kriminellen immer wieder als Einfallstor für Angriffe, also etwa der Adobe Flash Player, QuickTime oder der Acrobat Reader. Die Hersteller der Plug-ins waren in der Vergangenheit nicht immer flink beim Aktualisieren ihrer Erweiterungen. Die Abhilfe gegen ein bestimmtes Exploit hieß dann nicht selten "Plug-in XY bis auf weiteres deaktivieren oder deinstallieren". Ob das betreffende Plug-in überhaupt installiert ist, erfährt man bei Firefox, Chrome und Opera über die Liste der installierten Plug-ins. Dazu gibt man den Befehl about:plugins ins Adressfeld ein.
Bei Safari ruft man die Liste über den Menüpunkt "HilfeInstallierte Plug-ins" auf. Internet Explorer informiert unter dem Punkt "Add-Ons verwalten" im Extras-Menüs über die vorhandenen Erweiterungen, wenn man in der Anzeige "Alle Add-Ons" aufruft. Neben Plug-ins zur Darstellung von Multimedia-Inhalten in Webseiten, etwa dem Flash-Player, enthält die Liste auch Erweiterungen, die die Bedienoberfläche des Browsers selbst erweitern. Per Kontextmenü kann der Benutzer in der Liste einzelne Plug-ins deaktivieren.
Im Firefox findet sich die Einstellung zum Deaktivieren der Plug-ins im Reiter "Plugins" der Erweiterungseinstellungen (Menü ExtrasAdd-ons). Dort kann der Benutzer jedes einzelne Plug-in abschalten.
Bei Opera lassen sich alle Plug-ins nur komplett ein- oder ausschalten, allerdings recht flink über die Schnelleinstellungen (F12) und auch Site-weise. Auch bei Safari kann der Benutzer die Plug-ins nur pauschal aktivieren oder deaktivieren (Menü Sicherheit: Strg-Komma).
Chrome sieht - wie bei JavaScript - in der Bedienoberfläche keine Option vor, Plug-ins zu deaktivieren. Wer den Google-Browser ohne Plug-ins nutzen will, startet ihn mit der Kommandozeilenoption --disable-plugins. Außer den Plug-ins, die im Browser in der Regel bestimmte, genau definierte Multimedia-Inhalte darstellen, gibt es noch Erweiterungen, die den Funktionsumfang des Browsers und seine Bedienoberfläche beliebig ergänzen.
Bei Firefox und Mozilla heißen solche Erweiterungen Addons. Für den Download und die Installation von Erweiterungen sollte man bei allen Browsern die gleichen Sicherheitsmaßstäbe ansetzen wie für vollwertige Anwendungen: Man muss davon ausgehen, dass sie vollen Zugriff auf das Betriebssystem haben und entsprechend großen Schaden anrichten können.
Um so wichtiger ist es, diese Erweiterungen nur aus vertrauenswürdigen Quellen herunterzuladen, siehe Link am Artikelende. Mozilla und Microsoft haben für ihre Browser entsprechende Marktplätze eingerichtet. Für den Internet Explorer empfiehlt sich zudem ein Blick auf enhanceie.com, die Site eines Microsoft-Mitarbeiters. Die wichtigste Erweiterung für den Internet Explorer, ie7pro, fehlt dort aber auch. Für Opera haben Fans einige nützliche Helferlein im Opera Wiki zusammengetragen; da die Community diese Site laufend im Blick hat, ist es auch dort recht unwahrscheinlich, gefährliche Inhalte untergeschoben zu bekommen. Apple und Google betreiben keinen eigenen Marktplatz für Erweiterungen ihrer Browser. Die Entwicklung von Google-Erweiterungen steckt noch in den Kinderschuhen. Für Safari findet man unter PimpMySafari.com eine handverlesene Auswahl von Erweiterungen aller Art.
Vorsicht bei Phishing-Attacken
"Ihr Konto bei der XY-Bank wurde gehackt. Um es wieder freizuschalten, klicken Sie auf diesen Link und geben Ihre Zugangsdaten ein": Viele Surfer haben bereits solche Phishing-Mails erhalten, die wie Nachrichten der Bank aufgemacht sind. Und offenbar fallen immer wieder Anwender auf den Trick herein, denn sonst hätte diese Masche nicht fortdauernd Konjunktur. Wer auf einen solchen Link klickt, landet auf einer Kopie der Bank-Homepage.
Der Surfer wähnt sich auf der Web-Präsenz der Bank seines Vertrauens, befindet sich statt dessen aber auf der Site eines Angreifers. Deren Adresse wird oft in der Form http://www.boeserphisher.com/ /www.bank-xy.de oder über eine IP-Adresse verschleiert. Gibt der arglose Bankkunde dort seine Accountdaten ein, kann er davon ausgehen, dass wenige Augenblicke später sein Konto abgeräumt wird. Phisher interessieren sich nicht nur für Banking-Accounts, sondern für sämtliche Informationen, die sich zu Geld machen lassen, also etwa Kreditkartennummern, eBay-Accounts et cetera.
Eine gute Hilfe, um immer auf den ersten Blick zu sehen, auf welcher Website man sich befindet, bieten der Internet Explorer und Chrome. Sie heben die Domain, auf der sich der Browser befindet, hervor. So sieht der Benutzer auf den ersten Blick, auf welcher Domain er surft. Die Erweiterung Locationbar rüstet diese Funktion für Firefox nach.Darüber hinaus warnen alle Browser mittlerweile explizit vor vermeintlichen Phishing-Attacken.
Dazu gleichen sie die vom Benutzer aufgerufenen Adressen mit lokalen, regelmäßig aktualisierte Datenbanken mit Phishing-Seiten ab. Firefox, Safari und Google Chrome benutzen dabei das Google-API Safe Browsing, Opera und Internet Explorer nutzen eigene Blacklists.
Aber auch die Filter erfassen nicht alle gefährlichen Sites, weshalb man sich nicht auf sie verlassen sollte: Der wichtigste Phishing-Filter sitzt immer noch vor dem PC. Man sollte Verweise von anderen Websites oder aus Mails immer eine gesunde Portion Misstrauen entgegenbringen und sie im kleinsten Zweifelsfall nicht direkt aufrufen. Wer meint, eine Nachricht von seiner Bank oder einem Online-Händler erhalten zu haben, sollte die betreffende Website besuchen, indem er deren URL über die Adresszeile des Browsers selbst eingibt oder ein selbst gesetztes Bookmark aufruft.
Hirn einschalten
Eine derzeit leider recht weit verbreitete Gattung von Sites, mit der sich viele Surfer herumplagen, sind sogenannte Abofallen. Sie bieten Dienstleistungen an, die man an anderer Stelle kostenlos erhält, etwa Downloads, Persönlichkeitstests et cetera - vermeintlich ebenfalls gratis. Der Benutzer muss sich aber mit seinem Namen und seiner Adresse anmelden, um den Dienst zu nutzen. Im Kleingedruckten versteckt sich dabei ein Hinweis auf die Kosten - nicht selten ein dreistelliger Betrag.
Nach kurzer Zeit erhält der arglose Surfer dann eine saftige Rechnung von dem Betreiber der Site. Zahlt er nicht sofort, folgen bald sehr aggressiv gehaltene Schreiben von Anwälten oder Inkassobüros. Spätestens dann werden viele Surfer schwach und zahlen. Dabei müssten sie das nicht. Auf der c't-Homepage stehen Musterbriefe bereit, mit denen sich die Forderungen abwehren lassen. Besser noch, als sich auf den Nervenkrieg einzulassen, ist es, Abofallen aus dem Weg zu gehen. Wann immer es darum geht, für eine kostenlose Dienstleistung die Adresse einzugeben, sollten die Alarmglocken schrillen.
Ein gefährliches Hintertor öffnen immer noch viele Anbieter von Web-Diensten, indem sie unverschlüsselte Zugänge anbieten - oft sogar per default. Bei Google Mail zum Beispiel loggt man sich auf einer SSL-verschlüsselten Site ein - um dann, zumindest per Standardeinstellung, einen unverschlüsselten Zugang zu seinen Nachrichten zu erhalten.
So etwas ist geradezu eine Einladung für Angreifer: In einem WLAN müssen sie nur ein wenig sniffen, um die Nachrichten mitzulesen. Andere Dienste, etwa Twitter, übertragen sogar die Accountdaten unverschlüsselt. Man sollte immer dafür sorgen, dass man die verschlüsselte Version eines Dienstes benutzt - egal, ob es sich um E-Mail, ein soziales Netzwerk oder etwa das Backend des Webhosters handelt. Bei Google Mail befindet sich die entsprechende Option "Immer https verwenden" unter EinstellungenAllgemein, Twitter muss man einfach nur unter der Adresse https://twitter.com aufrufen.
Privatsphäre per Cookie-Verwaltung schützen
Last, but not least riskiert der Surfer online nicht nur die Sicherheit seines PCs und handfester Daten, auch seine Privatsphäre kann Schaden nehmen. Insbesondere Werbeunternehmen versuchen mitzuprotokollieren, wofür sich ein Surfer interessiert, um ihm passende Werbung zu präsentieren.
Cookies, kleine von Servern ausgegebene und im Browser gespeicherte Informationsschnipsel, helfen ihnen dabei, Browser auf verschiedenen Websites wiederzuerkennen. Surft er etwa regelmäßig auf einem Motorsportportal, können sie davon ausgehen, dass er sich für das Thema interessiert. Aus den Besuchen verschiedener Sites können die Werbeunternehmen im Laufe der Zeit mitunter erschreckend genaue Profile des Benutzers zusammenzustellen.
Die Browserhersteller haben darauf mit einer Cookie-Verwaltung reagiert, die es dem Surfer ermöglicht, bereits gesetzte Cookies zu löschen oder überhaupt keine Cookies zuzulassen. Doch wie bei JavaScript ist die radikale Lösung nicht die beste, denn Cookies dienen nicht selten dazu, bestimmte Website-Voreinstellungen zu speichern. Würde man Cookies grundsätzlich nicht zulassen, müsste man die Optionen bei jedem Besuch der Site wieder neu einstellen.Daher ist es ein guter Mittelweg, Cookies von der jeweiligen Website zuzulassen, Cookies von Drittanbietern aber zu blockieren.
In Firefox kann man die betreffende Einstellung vornehmen, wenn man auf der Seite Datenschutz der Programmoptionen unter "Firefox wird eine Chronik" den Wert von "anlegen" auf "nach benutzerdefinierten Einstellungen anlegen" ändert.
Im Internet Explorer klickt man auf der Seite Datenschutz der Einstellungen auf Erweitert. In dem sich öffnenden Popup-Fenster kann man die vorgeschlagene Cookie-Einstellung vornehmen, nachdem man die automatische Cookie-Behandlung ausgeschaltet hat.
Bei Opera findet sich die Option unter EinstellungenErweitertCookies, bei Google auf der Seite "Erweitert" der Optionen, bei Safari auf der Seite "Sicherheit" der Einstellungen.
Neben den Cookies finden mittlerweile verschiedene andere Techniken Anwendungen, um Benutzerdaten festzuhalten, zum Beispiel die sogenannten Flash Cookies. Diese lassen sich zum Teil mit Mitteln der Browser nicht administrieren.
Insbesondere auf gemeinschaftlich genutzten Rechnern kann es notwendig sein, nicht nur die Cookies zu kontrollieren, sondern den gesamten Verlauf der besuchten Site: So erfährt etwa der Partner nicht, welches Geschenk man ihm bei Amazon zum Geburtstag bestellt hat.
Alle Browser ermöglichen es, sämtliche in der Vergangenheit angefallenen Internetspuren zu tilgen. Firefox löscht auf Wunsch auch nur den letzten Teil Teil der Surf-Historie, etwa die letzte Stunde oder zwei Stunden (Menü "ExtrasNeueste Chronik löschen "). Alternativ ermöglichen alle Browser außer Opera auch private Sessions, während denen die Programme keine vertraulichen Daten festhalten.
Anmerkung der Redaktion: Da SPIEGEL ONLINE sich durch Werbung finanziert, bitten wir unsere Leser mittlerweile, Javascript zumindest für diese Seite zu aktivieren. Was dahinter steckt, können Sie auf unserer Backstage-Seite nachlesen.
