Unsere „Fragen und Antworten“ zur Browsersicherheit sollen vor allem sensibilisieren. Browser haben Sicherheitslücken, Hacker sind einfallsreich und Benutzer machen Fehler. Sicherheit im Internet wird immer relativ bleiben – man kann sie graduell optimieren, mehr aber auch nicht. Was auf der Seite des Browsers wirklich wichtig ist, lesen in diesem Artikel.
Der sicherste Browser
Chrome / Chromium und Firefox sind die Standardbrowser unter Linux. Daneben gibt es eine ganze Reihe weiterer Browser. Welcher ist der beste Kandidat, wenn man das Kriterium Sicherheit an erste Stelle setzt?
Die Anzahl der verfügbaren Browser schrumpft sofort erheblich, wenn man auf den Unterbau sieht: Browser wie Vivaldi , Opera , Midori sowie spezielle „Sicherheitsbrowser“ vor allem für Windows ( Avast Secure , Avira Scout , Comodo Dragon , Epic , TOR ) verwenden unter der Haube allesamt einen Chromium oder Firefox (einzige Ausnahme der spartanische Midori). Selbst Microsoft baut Edge inzwischen auf Basis von Chromium. „Sicherheitsbrowser“ erhalten höhere Sicherheit daher nicht von der Basis her, sondern nur durch Browsererweiterungen, durch Virtualisierung oder durch ein Linux-Livesystem. Die Frage nach dem sichersten Browser reduziert sich letztlich auf eine Entscheidung zwischen Firefox und Chrome.
Chrome/Chromium: Nach Ausweis gemeldeter Sicherheitslücken ist Chrome sicherheitstechnisch spitze – mit den wenigsten Lücken und mit zeitgemäßen Sicherheitsoptionen. Der Browser nutzt eine Safe Browsing API, die auf eine ständig aktualisierte Datenbank schädlicher Websites zurückgreift. Diese Sicherheitsoption zeigt Chrome unter „Einstellungen –› Erweitert –› Datenschutz und Sicherheit –› Synchronisierung und Google-Dienste“ als „Mich und mein Gerät vor schädlichen Websites schützen“. Sie ist standardmäßig aktiv, blockiert den Zugang auf gefährliche Sites und warnt vor viralen Downloads. Chrome hat zusätzlich eine relativ simple Heuristik, die vor „ungewöhnlichen“ Downloads warnt. Die Kriterien für diese Heuristik sind allerdings nicht offengelegt (Name, Hashwert, Größe, Herkunft des Downloads?). Über die interne Chrome-URL chrome://flags/ lässt sich die zusätzliche Sicherheitsoption „Strict-Origin-Isolation“ aktivieren. Diese lädt jede Website als separaten Prozess, was zwar den Speicherbedarf erhöht, aber den Datenzugriff über Sitegrenzen hinweg unterbindet.
Firefox: Auch Firefox benutzt die Safe Browsing API von Google Chrome und damit eine Blacklist schädlicher Websites. Die einschlägigen Optionen zeigt der Browser unter „Einstellungen –› Datenschutz & Sicherheit“ ganz unten unter „Schutz vor betrügerischen Inhalten…“. Hier sollten alle drei Kästchen aktiviert sein, um gefährliche Webseiten und Downloads zu blockieren. Dieser Grundschutz wird auf Basis einer Blacklist alle 30 Minuten aktualisiert. Eine weitergehende Heuristik wie Chrome besitzt Firefox nicht. Das heißt: Firefox blockiert zwar Downloads von bekannten betrügerischen Seiten, lässt aber einen Virendownload von einer bisher unbescholtenen Webseite ohne Kommentar zu.
Siehe auch: 5 Fragen und Antworten für Linux-Anfänger
Sicherheit versus Datenschutz
„Sicher surfen“ will jeder, doch versteht darunter nicht jeder dasselbe: Die zwei völlig verschiedenen Aspekte der Systemsicherheit und des Datenschutzes werden dabei gerne vermengt. Was bedeutet „Sicher surfen“ eigentlich?
Im engeren Sinn heißt „Sicheres Surfen“, dass das System technisch vor Schadsoftware geschützt ist und nicht durch Schädlinge übernommen werden kann. Mit Datenschutz, informationeller Selbstbestimmung und Abwehr von Werbetracking hat dies nichts zu tun.
Der technische Schutz vor Schadsoftware hat eindeutig Priorität vor dem Datenschutz, zumal ein gekapertes System auch alle persönlichen Daten freilegt – und dies nicht für Google und Werbeindustrie, sondern für kriminelle Hacker.
Voraussetzungen für (relative) Sicherheit
Welchen technischen Schutz bieten Browser gegen die Schädlinge im Internet und wie kann der Nutzer diesen Schutz verbessern?
Angesichts von Abermillionen Websites, unvermeidlichen Sicherheitslücken und zunehmend dynamischen Webinhalten mit zahlreichen Script-Aktivitäten kann die Browsertechnik nur eindämmend wirken. Folgende Maßnahmen sorgen für relativ sicheres Surfen – mit den genannten Einschränkungen:
- Durch die Sandboxtechnik aller modernen Browser werden die Webinhalte zumindest theoretisch vom Betriebssystem abgeschottet.
- Um bekannt gewordene Sicherheitslücken zeitnah zu schließen, wird der Browser ständig aktualisiert. Dafür sorgen Chrome und Firefox durch interne Updatedienste automatisch. Der Nutzer sollte dem Updateangebot aber möglichst immer ohne Aufschub folgen. Vor bislang unbekannten Lücken schützen die Updates nicht.
- Browser wie Chrome und Firefox kennen schädliche Websites und warnen den Nutzer vor dem Zutritt. Solche Blacklists können allerdings niemals vollständig sein.
- Browser wie Chrome und Firefox warnen vor bekannten schädlichen Downloads. Auch dieser Schutz kann niemals umfassend und lückenlos gelten.
- Script-Aktivitäten im Web lassen sich theoretisch abschalten (Firefox, „about:config“, „javascript.enabled“ oder Chrome, „Einstellungen –› Erweitert –› Datenschutz und Sicherheit –› Website-Einstellungen –› JavaScript“). Das ist aber kaum praktikabel, da es dann Fehlermeldungen hagelt. Ein nicht bequemer, aber gangbarer Kompromiss ist das Add-on Noscript (siehe unten).
Das Add-on Noscript
Welche Maßnahmen bieten besonders sicherheitsbewussten Anwendern den größten Schutz?
Surfen mit Chrome oder Firefox unter Linux – und noch sicherer unter einem Linux-Livesystem – bietet per se maximalen Schutz, da die Schädlinge primär auf Windows zielen. Wer dennoch über alle Script-Aktivitäten im Web die volle Kontrolle haben will, kann das Add-on Noscript einbauen (für Chrome und Firefox). Das Add-on blockiert Javascript, Java und andere ausführbare Inhalte. Damit ist Noscript der Schädlingsstop schlechthin, aber zweifellos unbequem, weil fast jede Webseite Script-Code verwendet.
Immerhin landen einmal erlaubte Sites in der Whitelist des Tools und müssen später nicht mehr bestätigt werden, aber zunächst müssen Sie auf vielen interaktiven Seiten die Scripts manuell erlauben. Dies geschieht über das Noscript-Symbol mit Klick auf das blaue „S“ mit kleiner Uhr (temporär) oder mit dem zweiten „S“-Symbol (dauerhaft). Falls eine als „Trusted“ bewertete Seite rot markiert bleibt, dann ist die Verbindung nicht HTTPS-verschlüsselt. Wenn dort nur HTTP funktioniert, müssen Sie die Rotfärbung akzeptieren. Das Umschalten auf „Grün“ (durch Klick auf das Schloss-Symbol) würde die Adresse wieder auf „Untrusted“ schalten, da „Grün“ HTTPS voraussetzt.
Add-ons: Weniger ist besser
Noscript ist nicht jedermanns Sache: Gibt es empfehlenswerte Sicherheitserweiterungen für weniger erfahrene Nutzer?
Auch für Add-ons gilt: Es handelt sich um Software, welche die Browserkomplexität erhöht und auch selbst fehlerhaft oder gar schädlich sein kann. Ein prominentes Beispiel ist das Add-on WOT (Web of Trust) , das vor betrügerischen Websites warnt, aber mit den Benutzerdaten seinerseits skandalösen Datenhandel betrieb. Das Add-on ist zwar immer noch ein Sicherheitsgewinn, hat aber in puncto Datenschutz seinen Kredit verspielt und dürfte außerdem durch die Safe Browsing API von Chrome/Firefox weitgehend obsolet sein.
Das einzige sicherheitsrelevante Add-on neben Noscript, das auch normalen Nutzern zu empfehlen ist, ist HTTPS Everywhere (siehe unten). Deutlicher in Richtung Datenschutz und Werbeabwehr geht das Add-on Ublock Origin , das Werbetracker und Werbung blockiert. Theoretisch kann Ublock auch die Sicherheit erhöhen, weil auch Werbung Schadsoftware transportieren kann.
Verbindung ist „Nicht sicher“
Was bedeutet es, wenn Chrome neben einer Adresse „Nicht sicher“ anzeigt oder – gleichbedeutend – Firefox ein durchgestrichenes Schloss-Symbol?
Der Browserhinweis „Nicht sicher“ ist kein Signal für betrügerische oder schädliche Seiten. Er bedeutet nur, dass die Interaktion zwischen Server und Benutzer unverschlüsselt verläuft – mit HTTP (Hypertext Transfer Protocol). Websites, die nur Daten ausliefern, aber keine Anmeldung, Abfrage oder sonstige Interaktion des Lesers vorsehen, können im Prinzip auf ein SSL/ TSL-Zertifikat und HTTPS (Hypertext Transfer Protocol Secure) ohne Nachteil verzichten. Allerdings wird es auch dort zunehmend zum „Schönheitsfehler“, nur HTTP anzubieten. Unverzichtbar ist verschlüsseltes HTTPS hingegen überall, wo der Seitenbenutzer Anmeldekennwörter oder personenbezogene Daten wie Mail- oder Postadresse übermittelt – insbesondere bei Bankgeschäften und Einkäufen über Paypal und Kreditkarte.
Achtung: Verschlüsseltes HTTPS ist kein Garant für vertrauenswürdige Seiten. Auch betrügerische Seiten können verschlüsselte Verbindungen anbieten.
Das Add-on HTTPS Everywhere
Das Add-on HTTPS Everywhere gibt es für Firefox wie Chrome und behauptet etwa im Chrome Web Store, „das Internet zu verschlüsseln“. Garantiert das Add-on verschlüsseltes HTTPS?
Die Ansage, das Internet zu verschlüsseln, ist natürlich Unsinn. Ein kleines Add-on auf Clientseite kann keine verschlüsselte Verbindung herstellen, wenn der ausliefernde Server nur HTTP anbietet. Richtig ist, dass das Tool – wo immer verfügbar – zu verschlüsseltem HTTPS wechselt, falls die Adresseingabe oder ein Link eine unverschlüsselte HTTP-Adresse enthält. Sie können das Tool sogar dahingehend verschärfen, dass der Zugang zu unverschlüsselten Seiten generell verboten wird („Unverschlüsselte Anfragen sind derzeit blockiert“). Auch dann ist es noch möglich, diese Seite zu öffnen, aber dazu muss explizit die Schaltfläche „Unsichere Seite öffnen“ gewählt werden.
Siehe auch: Diese Linux Software sollte auf Ihrem PC nicht fehlen
„Incognito“ oder „Privates Fenster“
Ist es sicherer, generell im „Incognito-“ (Chrome) beziehungsweise „privaten“ Modus ins Internet zu gehen?
Mit dem Thema „Sicherheit“ hat diese Datenschutzoption nichts zu tun. „Privates Surfen“ bietet keinerlei zusätzlichen Schutz vor Schädlingen oder betrügerischen Seiten. Es anonymisiert weder die IP noch verschleiert es strafbare Handlungen. Der Sinn dieser Einstellung ist es, die kommerzielle Trackingschnüffelei der Werbeindustrie zu verhindern und außerdem die Surfspuren (Verlauf, Cache, Cookies) auf dem Rechner zu beseitigen.
Übrigens: Noch weniger sicherheitsrelevant ist die „Do Not Track“-Option aller modernen Browser. Die Bitte „Do Not Track“ im Header der Browseranfrage sollte es der Gegenstelle verbieten, Nutzungsprofile über den Besucher anzulegen. Der Effekt ist aber fraglich, weil Websites nicht verpflichtet sind, der Bitte nachzukommen.
Cookies: Lästig, aber bequem
Erhöht es die Sicherheit, dem Browser das Speichern von Cookies zu verbieten? Cookies haben keinen Einfluss auf die Internetsicherheit, sondern gehören zum Thema Datenschutz. Die kleinen Cookie-Textdateien, die praktisch alle Websites ablegen, notieren IP-Adresse, Datum und Uhrzeit des Besuchs sowie eventuelle Zugangsdaten.
Das Auswerten von Cookies ergibt ein Nutzungsprofil, das Google & Co. dann für gezielte Werbeplatzierung nutzen. Radikales Blockieren oder Löschen von Cookies (etwa in Firefox unter „Datenschutz & Sicherheit –› Cookies […] löschen“) ist aber in der Praxis eher zu unbequem: Auf vielen Seiten ist dann eine explizite Anmeldung erforderlich. Die Daten wird dann zwar der Autofill-Mechanismus des Browsers eintragen, aber trotzdem sind stets zusätzliche Klicks erforderlich.
Autor: Hermann Apfelböck
Hermann Apfelböck gehört zur Kernmannschaft im Redaktionsbüro MucTec.