Editorial: Achtung Browser!

Ein aktuelles Ereignis rückt ein immerwährendes, in den letzten Monaten aber wohl etwas weniger beachtetes, Problem in das Zentrum der Aufmerksamkeit: Die schlechte Sicherheit von Internet-Browsern. Die Wogen schlugen dieses Mal wohl deswegen so hoch, weil sich Google über eine von Hackern ausgenutzte Sicherheitslücke im Internet Explorer direkt aus China angegriffen fühlte, mit der Einstellung seines Dienstes dort drohte und es in der Folge zur diplomatischen Verstimmung kann. Dabei scheinen auch zahlreiche andere Unternehmen Ziel der Angriffe gewesen zu sein.

Also alles nur "business as usual"? Faktisch ja, denn Computerkriminalität ist - neben Drogen-, Waffen- und Menschenhandel sowie Schutzgelderpressung - längst ein fester Bestandteil des organisierten Verbrechens geworden. Und immer noch passiert erschreckend wenig dagegen: Ein paar Port-25-Sperren bei den Providern, eine internationale Allianz ohne die großen Industriestaaten, ein paar Lippenbekenntnisse der Entwickler von Browsern und wichtigen Browser-Plugins.

Vor allem aber sind die Anwender zur Selbsthilfe gezwungen, wenn sie nicht zum Opfer der Internet-Mafia werden wollen, die ihre Computer zur Spam-Schleuder umfunktioniert, geheime Daten ausspioniert, Schutzgeld für die Rückgabe unbrauchbar gemachter Daten verlangt oder Konten und Kreditkarten leerräumt: Viren-Scanner installieren, keine unbekannten Seiten ansurfen und patchen, patchen, patchen.

Klar sind oft auch die Anwender selber Schuld, wenn sie Software aus fraglicher Quelle installieren und bedenkenlos alle Sicherheitsrückfragen wegklicken. Doch wenn auch beim Top-Entwickler nach einem Update der Signaturen der Virenscanner plötzlich Alarm schlägt, dann hat das wahrscheinlich mehr mit gezielter Attacke als mit Dummheit zu tun: Die Daten auf dem PC einer Führungskraft sind meist viel mehr wert als die auf dem PC eines Hartz-IV-Empfängers.

Weniger Features, mehr Sicherheit!

Es macht wenig Sinn, die Namen einzelner Software-Hersteller herauszustellen, deren Produkte besonders unsicher sind. Kritische Sicherheitsupdates werden in beängstigender Regelmäßigkeit für alle großen Browser veröffentlicht. Immer öfters sind zudem Plugins betroffen: Ohne Flashplayer oder PDF-Reader sind viele Inhalte ja nicht mehr nutzbar. Weiterer Vorteil für die "Bad Guys": Knacken sie ein Plugin, haben sie möglicherweise gleich alle Browser auf einmal.

Das Problem sind auch nicht HTML, Javascript, Flashplayer & Co. an sich, sondern deren dauernde Weiterentwicklung: Jedes neue Feature bringt potenziell neue Sicherheitslücken mit sich. Ein Moratorium tut Not. So sollte ein internationales Standardisierungsgremium ein Standard-Feature-Set verabschieden. Alle Hersteller von Komponenten rund um den Browser sollten angehalten werden, vor allem dieses Standard-Feature-Set möglichst stabil, standardkonform und sicher zu implementieren, statt sich in immer weitergehenden Erweiterungen zu verzetteln. Schon bei "mittleren" Sicherheitseinstellungen sollten Browser rückfragen, ob sie Seiten mit Inhalten jenseits des Standard-Feature-Sets rendern sollen. Und diese mittlere Sicherheitsstufe sollte auch die minimale Default-Einstellung bei Browser-Auslieferung sein.

Doch selbst bei den Standardisierungsgremien läuft der gegenteilige Trend: Wer sich etwa beim W3C die Entwürfe für HTML 5 oder CSS 3 anschaut, wird von neuen Ideen geradezu erschlagen, etwa dem neuen HTML-Element "Canvas" für 2D-Grafik, als ob Flash, Java oder SVG/VML für diesen Zweck noch nicht ausreichend wären, zumal SVG ebenfalls Bestandteil der HTML-5-Definition ist. Noch schlimmer verhält es sich bei CSS, welches Formatierungen von Webseiten beschreibt: Derzeit befinden sich nicht weniger als zwei Dutzend Erweiterungen zum bestehenden Standard CSS 2.1 in unterschiedlichen Phasen der Standardisierung! Man kann mit Sicherheit davon ausgehen, dass es bei der Umsetzung all dieser neuen Features zu Fehlern kommen wird: "Happy Hacking" für die Internet-Mafia.