gefunden bei
www.spiegel.deLecks und Lücken, wo man hinsiehtVon Frank Patalong
Microsofts Internet Explorer beherrscht den Markt - trotz fitter Konkurrenzprodukte. Jetzt häufen sich die Sicherheitslecks, und der Explorer gerät unter Druck. In den USA empfehlen Behörden den Umstieg, die Medien stürzen sich darauf, und immer mehr Menschen folgen dem Rat. Der mögliche Gewinner heißt Mozilla.
Für viele ist der Internet Explorer der Web-Browser schlechthin, für manche die größte Sicherheitslücke der Welt. Am Thema Browser scheiden sich die Geister, auch wenn die Zeiten, in denen das Thema mit Leidenschaft diskutiert wurde, lang vorbei schienen.
Denn seit 1996 rollte Microsoft mit dem Internet Explorer den Markt regelrecht auf - bis zum heutigen Marktanteil von rund 93 Prozent. In den ersten Jahren des WWW waren es dagegen die Programmierer von Netscape, die die Standards setzten. Doch Microsoft verknüpfte elementare Programmfunktionen von Windows mit dem Explorer, drängte die Konkurrenz so aus dem Markt.
Der gemeine User surft bekanntlich mit dem Programm, das er vorinstalliert vorfindet: Microsoft brachte die Geschichte des "Browser-War" ein Kartellverfahren, die größte Krise des Unternehmens und letztlich die absolute Marktführerschaft ein. Netscape aber ging unter, wurde 1998 von AOL gekauft, aufs Abstellgleis gestellt und über Jahre nicht weiterentwickelt. Auch technisch hatte der "IE" darum lange mehr zu bieten, während sich das Surfen mit Netscape zur Qual entwickelte.
Und dann kam Mozilla
Netscape entschloss sich 1998, seinen Sourcecode einer Open-Source-Entwicklergemeinde zu übergeben und wurde in der Folgezeit parallel als kommerzielles und als Open-Source-Projekt weiterentwickelt. Netscape hat das auch deshalb nicht gerettet, weil die Entwicklung zu lang dauerte: Erst 2002 gab es vorzeigbare Ergebnisse. Die aktuelle Version 7.1 wird wohl die letzte sein, doch Mozilla hob in der Folgezeit regelrecht ab.
Seit rund zwei Jahren bieten Browser wie Mozilla, aber auch Opera oder heute der "kleine" Mozilla-Ableger Firefox mehr Komfort - und angeblich auch mehr Sicherheit als der Internet Explorer.
Der machte, insbesondere im Verbund mit dem Mail-Programm Outlook Express, im Verlauf der letzten vier Jahre eine höchst unrühmliche Karriere als Viren-Einfallstor Nummer eins.
Microsoft hatte seine liebe Mühe, mit der Produktion dringend benötigter Sicherheitsflicken für die Software nachzukommen. In den letzten Monaten verlor der Softwareriese dieses Rennen gleich mehrere Male - und das so gründlich, dass in den USA inzwischen sogar Regierungsbehörden die Internet-Nutzer zum Browserwechsel auffordern.
Die zunehmende Frustration der User über Sasser-Viren und Co., die den Rechner befallen, ohne dass der PC-Nutzer noch selbst eine Dummheit machen müsste, spiegelt sich in ersten Veränderungen der Marktanteile. Schon im Mai war der Marktanteil des IE erstmals seit 1998 rückläufig, während Browser-Alternativen dazugewannen.
Offizielle US-Empfehlung: weg damit!
In der vorigen Woche sprach die amerikanische "Homeland"-Sicherheitsbehörde eine dringliche Empfehlung aus, aus Sicherheitsgründen doch dem Internet Explorer den Laufpass zu geben und auf andere Browser umzusteigen. Da konnte und wollte sich das amerikanische CERT, eine Expertenkommission, die Regierung und Wirtschaft in IT-Sicherheitsfragen berät, nur noch anschließen.
Seitdem ist auch die veröffentlichte Meinung der amerikanischen Medien gründlich gekippt: Von CBS über "USA Today" bis hin zur "New York Times" überbieten sich die Kolumnisten in "Guck mal, was für einen tollen Browser ich entdeckt habe"-Artikeln. Die "Times", sonst eher auf Hintergründe und Exklusives kapriziert als auf Service, Service, Service, glänzt am heutigen Donnerstag mit einem Artikel zum Thema "Wie exportiere ich meine 'Favoriten' aus dem IE in einen anderen Browser?".
Keine generelle Lösung in Sicht
Unwahrscheinlich, dass dieser Trend so schnell endet, denn erst am Montag wurde eine weitere frische, kritische Sicherheitslücke im Explorer bekannt. Diesmal heißt das Einfallstor ActiveX. Wer die Lücke schließen will, muss die "aktiven" Inhalte einer Webseite blockieren - und verzichtet damit unter Umständen auf einen Teil des Surfgenusses.
Bill Gates muss nun erleben, dass seine groß angekündigte Sicherheitsinitiative fast täglich durch die Realitäten konterkariert wird. Ob MS-Sprecherin Maureen Tingley als Antwort auf die CERT-Warnung dann noch versichert, dass "Microsoft mit aller Kraft an einem umfassenden Sicherheits-Patch für alle Versionen des Internet Explorer" arbeitet, interessiert kaum noch jemanden. Tatsache ist, dass der IE bis dahin ein Scheunentor für Viren- und Hackereinfälle bleibt. Konkrete Fragen, wann denn der Patch zur Verfügung stehe, kann sie nicht beantworten: "Wir veröffentlichen den Patch, sobald er getestet und für sicher befunden wurde."
Der "IE" ist nicht das einzige Scheunentor
IT-Sicherheitsexperten wundert das alles gar nicht. Matthias Ruf, technischer Leiter bei den Bitdefenders, rät dazu, zurzeit "unbedingt auf eine Alternative" umzusteigen. Gerade die in der letzten Woche entdeckte Trojaner-Lücke, über die Online-Banking-Abläufe ausgespäht werden können, ziele auch auf deutsche Banken und deren Kunden. "Wir haben bisher keine genauen Zahlen darüber, wie verbreitet das bis jetzt ist", sagt Ruf, "aber wir rechnen auf jeden Fall damit, dass diese Verbreitung in den nächsten Wochen zunehmen wird."
Im Augenblick bieten alternative Browser tatsächlich mehr Sicherheit - auch wenn das viel mit der Größe von Microsoft zu tun habe: Der Softwareriese und seine Produkte würden eben auch "bevorzugt attackiert".
So sieht das auch Gernot Hacker, IT-Experte bei Sophos, und mahnt dazu, die Kirche im Dorf zu lassen: "Microsoft-Produkte sind die Hauptplattform für Angriffe, weil sie so verbreitet sind. Wenn der Markt wirklich kippen würde und die PC-Nutzer auf andere Browser umstiegen, dann sähen Opera oder Mozilla bald genauso schlecht aus."
Ein Umstieg auf einen anderen Browser würde "ein halbes, vielleicht ein Jahr Erleichterung" bringen. Doch bei Hackern und Virenschreibern gelte nun einmal der Grundsatz "je verbreiteter, desto attraktiver". Und Sicherheitsprobleme mit Scripten und ähnlichen Standard-Sicherheitslücken des Internet Explorers hätten auch die Alternativprodukte.
Hacker sieht die Lösung des Problems darum woanders: Statt je nach Sicherheitslage zwischen Browsern hin- und herzuhüpfen, solle man "eine halbe Stunde Zeit darauf verwenden, die nötigen Sicherheitsmaßnahmen, die zur Verfügung stehen, auch durchzuführen" - und die von Microsoft in regelmäßigen Abständen veröffentlichten Service-Packs zu Windows auch wirklich zu installieren. Ansonsten gelte "niemals ohne" - und zwar Virenschutz und Firewall.
Das Rezept: Checken und flicken
Das kann Michael Hoos, technischer Leiter Europa bei Symantec nur bestätigen - und er setzt noch eins drauf: "Die Sicherheitsprobleme des Internet Explorer sind ernst zu nehmen, aber man sollte auch das ganze Thema ernst nehmen: Browsersicherheit. Wenn Sie sich umschauen, herrscht auch bei den Alternativen kein Mangel an höchst gefährlichen Sicherheitslücken. Am 21. Juni wurde eine kritische URL-Spoofing-Lücke bei Opera gemeldet, die das Unternehmen immerhin am 7. Juli stopfen konnte. Safari und Firefox in der Mac-Version haben zurzeit eine klaffende Sicherheitslücke. Da kann man einfach über den Browser eine Telnet-Verbindung aufbauen und auf dem Rechner beliebig Dateien löschen. Mozilla hat mit Plug-ins verbundene Sicherheitsprobleme, die denen des Internet Explorer ähneln."
Deshalb sei der bloße Umstieg von einem Programm aufs andere keine Lösung des Problems. Hoos: "Da kommt man vom Regen in die Traufe. Die Sicherheitsprobleme des Explorers sind sicherlich ein Alptraum, aber sie müssen auch sehen, dass es für Linux inzwischen fast mehr Patches gibt als für Windows. Software wird nun mal von Menschen geschrieben, und unter Hunderttausenden Zeilen Programmcode treten dann eben vereinzelt Fehler auf."
Da müsse man zusehen, dass man auch als Computernutzer sein System auf dem neuesten Stand halte. Dazu gehöre ein Check des Browsers auf aktuelle Sicherheitslücken, aber auch die Installation einer aktuellen Virenschutz-Software und einer Desktop-Firewall. Hoos: "Selbst wenn sie sich einen Trojaner fangen, kann der bei installierter Firewall zumindest nicht mehr nach Hause funken."
Welche Sicherheitslücken ein Browser zurzeit habe, ließe sich "sehr schön über den ganz hervorragenden Security-Checker bei Heise" erfahren.
Und wenn es keinen Flicken für die dort gefundene Lücke gibt?
Gernot Hacker: "Es spricht nichts dagegen, eine Browser-Alternative wie Mozilla zu installieren." Nur eine grundsätzliche Lösung sei das eben nicht.
Greetz,
-=I.O.S=-Guinness