Flash, Java & Co.

Browser-Sicherheit - so surfen Sie sicher im Netz mit Firefox, Chrome & Co.

Browser und Plugins sind das Hauptrisiko für die Sicherheit im Internet. Wir zeigen, wie Sie mit Tools und Einstellungen Viren trotzen und den Schutz erhöhen.

Browser & Plugins als Sicherheitsrisiko: Wir geben Tipps für sicheres Surfen.

© Hersteller

Browser & Plugins als Sicherheitsrisiko: Wir geben Tipps für sicheres Surfen.

Alle Berichte zur Lage der Internetsicherheit bestätigen: Der Browser ist das Sicherheitsrisiko Nummer eins. Microsoft schreibt beispielsweise in seinem aktuellen Sicherheitsreport, dass der größte Teil der infizierten Computer im vergangenen halben Jahr mit infizierten Webseiten in Berührung gekommen war. Alle gängigen Webbrowser wie Firefox, Internet Explorer oder Chrome sind mit zahlreichen Zusatzfunktionen ausgestattet.

Sie sollen zwar der Bequemlichkeit der Nutzer entgegenkommen, bieten aber manchen Unternehmen ein einträgliches Geschäftsfeld, um Kundendaten abzuschöpfen. Das wohl bekannteste Beispiel ist das Suchfeld neben der Adresszeile im Webbrowser Firefox.

Im vergangenen Herbst teilte die Mozilla Foundation in ihrem Geschäftsbericht mit, dass Google pro Jahr 280 Millionen Dollar an die Foundation überweist. Google zahle so viel, damit die Suchmaschine weltweit als Standard im Suchfeld des Firefox-Browser eingestellt ist. Daneben bekommt Google aber noch weitere Extras eingeräumt. Untersucht man mit einem Analyse-Tool wie Wireshark den Datenverkehr des Browsers, so stellt man fest, dass er immer wieder Kontakt mit dem Suchmaschinenriesen aufnimmt.

Firerfox config

© Archiv

Google ist in Firefox fest verankert. Erst in der Konfigurationsdatei lässt sich das ändern.

Der Grund liegt in den Einstellungen. Verschiedene Zusatzfunktionen greifen auf Daten von Google zurück. Die Funktionen "Webseiten blockieren, wenn sie als attackierend gemeldet werden", "Webseiten blockieren, wenn sie als Betrugsversuch gemeldet werden" und die "Standort-Lokalisierung des Browsers" nutzen Google-Informationen. Damit liefern sie aber auch umgekehrt Informationen an Google zurück.

Javascript zügeln

Auch ganz alltägliche Funktionen der Browser lassen sich nutzen, um das Surfverhalten zu erforschen. Browser sind ausgesprochen geschwätzige Zeitgenossen. So teilen sie jedem Webserver zahlreiche Informationen mit: etwa seinen Namen, das Betriebssystem, die Plug-ins und noch viele andere Daten. Dazu gehört etwa auch der Referrer, der sagt, von welcher Webseite (genau genommen von welchem Link) man gerade kommt.

Die meisten  dieser Informationen erhält der Server über neugierige Javascript-Abfragen. Auch die schon erwähnten Drive-by-Downloads erfordern Java-Script. Es gibt also mehrere Gründe  Javascript zu kontrollieren. Dabei kommt fast keine Webseite mehr ohne Javascript aus, um moderne Effekte, Dynamik, Interaktion oder Navigation zu erzeugen.

NoScript Einstellungen

© Archiv

Mit dem Addon Noscript kontrolliert der Anwender Skripte aller Art. In den Einstellungen finden sich weitere Sicherheitsfunktionen.

Erfreulicherweise sind die meisten Webseiten dennoch auch ohne den Code gut lesbar. Zum Pflichtprogramm jedes sicherheitsbewussten Surfers gehört deshalb das Addon NoScript. Es verhindert in der Grundeinstellung die Ausführung jeglichen Javascript-Codes. Schritt für Schritt fügen Sie Ausnahmen für Ihre vertrauenswürdigen Webseiten hinzu, die zu besseren Performance Javascript verwendendürfen. Das Addon schafft so einen unentbehrlichen Grundschutz. Ein weiterer kommt hinzu: Webdesigner verwenden Javascript, um Plugins zu starten.

Risikofaktor Plugins

Drive-by-Donwloads verwenden ganz häufig Lücken in Plugins, vornehmlich Flash, Java und Adobe Reader für PDF. Wollen Sie sich davor schützen, sorgen Sie dafür, dass Ihre Plugins immer aktuell sind. Das mächtigste, gefährlichste und auch überflüssigste Plugin ist dabei Java. F-Secure berichtet, dass rund die Hälfte der zehn wichtigsten Bedrohungen auf installierte Java-Programme zielte.

Für den Adobe Reader gibt es gute Alternativen (z.B. Foxit). Die werden zwar auch gelegentlich von Hackern angegriffen, aber nicht so oft wie das Original. Für Flash gibt es keine Alternative. Aber kontrollieren Sie es über Noscript, indem nur vertrauenswürdige Webseiten über Javascript Flash (oder andere Plugins) aufgerufen werden dürfen.

Addons für die Sicherheit

Wenn Sie einmal sehen wollen, mit welchen Servern Sie so über die Zeit eine Verbindung aufbauen, empfehlen wir Ihnen das Firefox-Addon Lightbeam. In einer übersichtlichen Grafik zeigt es, welche Webseiten zusätzliche Informationen von anderen Servern, zum Beispiel von Werbenetzwerken, anfordern. Mit der Zeit entsteht so ein dichtes Geflecht, in dessen Mitte immer die gleichen großen Werbevermarkter sitzen.

Lightbeam

© Archiv

Vernetzte Werbung: Lightbeam zeigt die Verbindungen der Werbeseiten und Tracking-Server untereinander.

Mit diesem Wissen können Sie sich noch besser gegen das Ausforschen Ihrer Surfgewohnheiten schützen. Ein so sichtbares Instrument zum Ausspionieren stellt ein, in der Webseite eingebetteter, Code dar, den der Webseitenbetreiber als Tracker nur für die Beschaffung von Informationen nutzt.

Ghostery Einstellungen

© Archiv

In den Einstellungen zeigt Ghostery an, welche Zählpixel und Tracker es kontrolliert.

Ein weiteres Problem beseitigt das Addon Better Privacy. LSO-Cookies oder Flash-Cookies gehören zum Neuesten, um das Surf-Verhalten von Internetnutzern  auszuspähen. Diese Dateien bergen gegenüber herkömmlichen Cookies erheblich mehr Gefahrenpotenzial. Im Vergleich zu den älteren HTTP-Cookies nehmen die LSO-Cookies mitunter enorme Datenmengen auf. Da sie unabhängig vom Browser ins System gelangen, gehen alle Versuche ins Leere, sie mithilfe der bei allen Browsern enthaltenen Cookie-Verwaltung zu löschen.

Die Cookies müssen Sie stattdessen online mithilfe der entsprechenden Adobe-Software löschen. Einfacher und weniger zeitraubend geht es mithilfe des Addons Better Privacy. Die detaillierte Konfiguration ist schnell eingerichtet. Ab diesem Zeitpunkt räumt Better Privacy alle neuen Flash-Cookies zuverlässig mit dem Beenden des Browsers von der Festplatte.

Iron, der Sicherheits-Chrome

Googles Webbrowser Chrome hat seinen Konkurrenten Firefox und Internet Explorer in der Beliebtheit bereits den Rang abgelaufen. Über 40 Prozent der Nutzer in Europa bauen auf den Browser von Google, meldet Statcounter. Er begeistert mit einem extrem schnellen Webseitenaufbau, einem schlanken Design und einfallsreichen Funktionen.

Außerdem bietet Google im Chrome Webstore viele nützliche Programme und Spiele an, die ohne Installation im Browser laufen. Außerdem gilt er als einer der sichersten Browser, an dem viele Drive-by-Download-Angriffe scheitern. Da er sehr eng mit den zahlreichen Google Diensten zusammenarbeitet, vertrauen viele Benutzer gerne auf Chrome.

Die Sache hat aber einen Pferdefuß. Durch den laufenden Abgleich von Eingaben in die Adresszeile und die eingebauten Apps weiß Google über die meisten Schritte im Netz bestens Bescheid. Zusätzlich ruft Chrome je nach Konfiguration fünf Sekunden nach Browserstart die Google Homepage im Hintergrund auf. Außerdem sendet Google Chrome eine eindeutige Installationsnummer an Google, wenn Chrome erstmals installiert und verwendet wird. Die Nummer wird jedoch gelöscht, wenn Google Chrome automatisch nach Updates sucht.

Gleichzeitig installiert Chrome einen Updater, der bei jedem Windows-Start im Hintergrund geladen wird. Wer diese enge Bindung vermeiden will, hat mit dem Iron-Browser eine echte Alternative zur Hand. Der Browser basiert auf dem gleichen Chromium-Quelltext und bietet so die gleichen Grundfunktionen wie der Browser Chrome. Allerdings hat der Hersteller SRWare den Quelltext bereinigt und die kritischen Google-Verknüpfungen entfernt.Findige Entwickler haben versucht, den Browser in einen Sandkasten zu verfrachten, in dem er keinen Unfug anstellen kann.

Sandboxie

© Archiv

Sicherheitskritische Programme wie der Browser lassen sich mit Sandboxie in einer abgeschotteten Umgebung ausführen.

Sowohl mehrere Antiviren-Hersteller wie Kaspersky und GData bieten diesen Service, aber auch das Programm Sandboxie wendet diese Technik erfolgreich an. Das Konzept sieht vor, dass alle schreibenden Dateizugriffe des Browsers nicht auf die Originaldateien im Betriebssystem geschehen, sondern auf eine Kopie in einem isolierten Bereich. Sollte also eine Schadsoftware versuchen, mit ihrem Code in den Rechner einzudringen, endet dieser Versuch in einer abgetrennten Umgebung.

Welche Programme wann in den Sandkasten geschickt werden, legt man in einem Konfigurationsfenster fest. So lassen sich beispielsweise Browsersitzungen auf unbekannten Webseiten explizit in eine Sandbox verbannen, Besuche in bekannten  Umgebungen jedoch ohne den besonderen Schutz ausführen. Gegen lesende Aktivitäten, zum Beispiel das Ausspionieren von Kennwörtern, schützt diese Methode zwar nicht, aber  zumindest kann auf diese Weise verhindert werden, dass ungewollt Trojaner in das System eingeschleppt werden.

BitBox - Der Browser-in-the-Box

Viele Angriffe über Webseiten richten großen Schaden an, weil Anwender im gleichen Benutzerkontext einerseits im Internet surfen und andererseits schützenswerte Daten verarbeiten. Das Bundesamt für Sicherheit  in der Informationstechnik hat deshalb vor einigen Jahren die Firma Sirrix beauftragt, eine sichere Browserumgebung zu entwickeln, die bestmöglich vor den Gefahren im Internet schützt, die gewohnte Funktionalität nur wenig einschränkt und dabei keine hohen Kosten verursacht.

Entstanden ist der Browser-in-the-Box. Er arbeitet in einer virtuellen Maschine mit einem reduziertem Betriebssystem. Darin ist ein Firefox gekapselt. Schadsoftware bleibt daher im virtuellen Betriebssystem, und kann nicht in das darunter liegende Betriebssystem eindringen. Die virtuelle Maschine wird bei jedem Browserstart in einem sicheren Ausgangszustand aufgerufen. BitBox verwendet die Virtualisierungssoftware Virtualbox  und ein Linux.

Browser in the Box

© Archiv

In Bitbox können Sie strikt regeln, welche Aktionen ein Browser im Betriebssystem ausführen darf.

Ein paar weitere Sicherheitsfunktionen kommen hinzu: Die Virtualisierungssoftware läuft mit anderen Benutzerrechten als die Anwendungen des Hauptbenutzers. Das Image, mit dem gesurft wird, und das Verzeichnis, über das Daten zwischen Host und Gast ausgetauscht werden, ist mit einem Integritätsschutz ausgestattet.  Die aktuelle BitBox-Version kann auf der Webseite der Firma Sirrix kostenfrei  heruntergeladen werden.

Die Installation ist sehr einfach gehalten. Dennoch sollte man beachten, dass sie zwingend eine vorhandene Installation einer Virtualbox deinstallieren möchte, auch wenn diese aktueller ist. Nur dann lässt sich der Installationsvorgang zu Ende führen. Außerdem kann der enthaltene Browser nicht auf eine aktuelle Version gebracht werden, weil das komplette Image beim Beenden wieder zurückgesetzt wird. Man ist also gezwungen, immer wieder eine vollständig neue Version zu installieren.

Fazit

Das Internet ist so ein selbstverständlicher Teil unseres Lebens geworden, dass man es kaum noch aus seinem Leben wegdenken kann. Dennoch müssen nicht alle persönlichen Daten in die große Wolke wandern. Mit ein paar kleinen Helferlein lassen sich Privates und Öffentliches ganz gut trennen. Dennoch ist man in der Pflicht, immer ein wachsames Auge auf seine Daten zu werfen, denn die Datenschnüffler lassen sich immer wieder neue Tricks einfallen.

Mehr zum Thema

So richten Sie SSL-Verschlüsselung für Ihr Postfach ein.
GMX, Web.de & T-Online

Ab April 2014 setzen GMX, Web.de und T-Online auf SSL-Verschlüsselung für E-Mails. Wir zeigen, wie Sie die Apps für iPhone, iPad & Android-Geräte…
Die Whatsapp-Alternative bietet mehr Sicherheit & Anonymität.
Sichere Whatsapp Alternative

Mit den richtigen Einstellungen ist Telegram eine sichere Whatsapp-Alternative. Wir zeigen, wie Sie die App einrichten und die Verschlüsselung…
Home Cloud mit Laptop, Smartphone, Tablet und WD Festplatte.
WD My Cloud, MyFritz & Co.

Wir zeigen, wie Sie Cloud-Server im Heimnetzwerk einrichten. Wir erklären Western Digital My Cloud, AVM MyFritz und Synology Quickconnect.
Firefox
Mozilla-Browser

Mozilla hat Firefox 38 zum Download freigegeben. Die neue Version des Browsers bringt unter anderem ein DRM-Modul von Adobe mit. Wir erklären, was…
Firefox
Suggested Tiles

Mozilla stellt das neue Werbe-Feature Suggested Tiles für Firefox vor. Der Browser wird künftig Anzeigen auf Basis der Browser-Historie anzeigen.