Internet-Security: Browser sind zum Sicherheitsrisiko geworden

Internet Explorer und Co sind zum Hacker-Angriffsziel Nr. 1 geworden. Auch Firmen-Webdienste sind oft löchrig wie Emmentaler.

Mit "Chrome" will Google Erzfeind Microsoft kräftig in die Parade fahren. Doch kaum ist der mit Spannung erwartete neue Gratis-Internetbrowser des Suchmaschinen-Quasimonopolisten verfügbar, ist er schon selbst schwer unter Beschuss geraten. Wegen Fragwürdigkeiten beim Datenschutz - bei Google nichts Neues -, aber auch wegen einer Reihe aufgedeckter Sicherheits-Schwachstellen. Zu Googles Ehrenrettung sei gesagt, dass es um die Sicherheit von Webbrowsern generell nicht gut bestellt ist.

Zielscheibe Browser
Die aktuelle Trendstudie der Security-Forschungseinrichtung IBM X-Force zeigt, dass sich die an sich schon ständig steigende Zahl bekannter Sicherheitslücken prozentuell dramatisch vom Betriebssystem Richtung Browser verschoben hat. Internet Explorer, Mozilla, Safari, Opera und Co sind jetzt bevorzugte Zielscheibe von Cyberkriminellen. Zwar reagieren Hersteller mit verbesserten Versionen und Sicherheitsupdates auf das Problem, aber es sind noch immer unzählige nicht upgedatete Browser in Verwendung. Deren Benutzer sind leichte Beute für Angreifer. Mit speziellen Schadprogrammen zur Ausnutzung der Schwachstellen, so genannten Exploits, erlangen sie nicht selten die Kontrolle über den gesamten Rechner.

Web 2.0 als Sicherheitsproblem
Kaum dass die Browser-Sicherheitslücken gestopft sind, droht schon neues Ungemach von anderer Seite. "Die neuen Browserversionen sind relativ sicher geworden, das Problem sind jetzt primär die Browser-Plug-ins", weiß Christoph Riesenfelder, Senior Security Consultant bei IBM. 78 Prozent aller bekannten browserbezogenen Exploits richten sich mittlerweile gegen in Browser eingebettete Zusatzprogramme wie Shockwave, Quicktime, Realplayer, Java und Acrobat Reader. "Ohne Plug-ins und Multimedia-Anwendungen gäbe es kein YouTube. Das Konzept Web 2.0 funktioniert ohne sie nicht", beschreibt Riesenfelder das Dilemma.

Neue Anwendungen, neue Angriffsflächen
Generell finden sich die meisten Verwundbarkeiten der IT heute nicht mehr in Endsystemen, sondern in der Internetinfrastruktur selbst. Das Internet offeriert immer mehr multimediale und interaktive Anwendungsmöglichkeiten. Diese Dynamik macht das Web 2.0 so spannend, erzeugt aber auch laufend neue Angriffsflächen. Auf der einen Seite des Spektrums sind es die Browser, auf der anderen die Webserver der Firmen, auf denen die neuen Dienste laufen. Mehr als die Hälfte aller bösartigen Angriffscodes richtet sich bereits gegen Webanwendungen - von Internetportalen über Webshops und Internetbanking bis zu Social-Networking-Seiten.

Unfreiwillige Mittäter
Auch untereinander betreiben die Firmen immer mehr E-Business und vernetzen sich über Webprogramme entlang der gesamten Lieferkette. Markus Robin, Geschäftsführer des Wiener Sicherheitsberaters SEC Consult, warnt seit Jahren vor den Sicherheitslücken in Webanwendungen. "Die Softwarehersteller achten bei der Entwicklung noch immer viel zu wenig auf die Sicherheit", so der Experte. SEC Consult hat gemeinsam mit dem österreichischen Normierungsinstitut einen leider noch viel zu wenig beachteten Sicherheitsstandard für Webapplikationen entwickelt.

Unfreiwillige Mittäter
Cyberkriminelle durchforsten das Internet mittlerweile mit automatischen Angriffswerkzeugen systematisch nach Schwachstellen. Mittels multipler Angriffscodes werden Eingaben und Datenströme unbemerkt zu Untergrundservern umgeleitet oder Datenbanken, die hinter den Webservern stehen, manipuliert oder ausgelesen. Der Hotelkette Best Western wurden auf diese Weise vor kurzem Kreditkartendaten von acht Millionen Kunden gestohlen. Wird eine Firma zum Opfer so eines Hacks, kann sie sich schnell auch in der Täterrolle inklusive aller Haftungsfolgen wiederfinden, wenn sie grundlegende Sicherheitsstandards missachtet hat. Seit Anfang des Jahres schreiben die Kreditkartenunternehmen allen Firmen, die Kreditkartendaten verarbeiten, zwingend eine Zertifizierung vor. "Bei heimischen Firmen herrscht darüber großteils noch blanke Ahnungslosigkeit", warnt Riesenfelder.

DNS-Hacking
Seit kurzem ist eine neue, besonders perfide Angriffsform bekannt. Der Domain Name Service (DNS) - im Prinzip das zentrale Adressbuch des Internets - kann gehackt werden. DNS-Server übersetzen eingegebene Internetadressen wie www.format.at in die dazugehörigen numerischen IP-Adressen. Wenn Hacker DNS-Server manipulieren können, kontrollieren sie im Prinzip den gesamten Internetverkehr. Wird das in großem Stil Realität, sollte man Chrome und Co besser gar nicht mehr starten.

Von Alexander Hackl

Fiat Chrysler CEO Mike Manley

Wirtschaft

Fiat-Chrysler: viele Aufgaben für Neo-Chef Manley

Ryanair CEO Michael O'Leary

Wirtschaft

Ryanair-Chef rechnet mit weiteren Streiks

Wirtschaft

E-Bikes: Turbo für Handel und Hersteller