Firefox oder Chrome? Wer ist sicherer?

Es gibt wohl kaum noch jemanden, der nicht täglich seinen Internet-Browser verwendet. Die Software dient zur Informations-Suche im Web, für die Kontaktpflege in sozialen Netzwerken, zum Einkaufen und viele Benutzer erledigen ihre Bankgeschäfte damit. Dabei erwarten wir, dass der Browser unsere persönlichen Daten schützt, schädliche Downloads verhindert und uns von gefährlichen Webseiten fernhält.

Aktuelle Browser bringen zahlreiche Sicherheitsfunktionen mit, die dem Nutzer einigen Schutz bieten sollen. Aber es gibt deutliche Unterschiede bei der Ausstattung und nicht alle Browser sind sicherheitstechnisch auf dem gleichen Stand. Der folgende Artikel beschreibt die wichtigsten Bedrohungen, denen Browser und Nutzer ausgesetzt sind, und zeigt, welche Techniken die Browser dem entgegenzusetzen haben.

Der größte Teil der Schadsoftware gelangt nicht über Sicherheitslücken auf den PC sondern beim direkten Download. Kriminelle versuchen immer wieder, die Besucher von Webseiten zu verunsichern und zum Installieren von Schadsoftware zu verleiten. Oft wird dabei eine Infektion des Rechners mit Viren und Trojanern gemeldet. Aber erst die vermeintliche Antivirensoftware befördert dann die Schädlinge auf den Rechner.

Vor gefährlichen Downloads sollte zuerst der auf dem PC installierte Virenscanner schützen. Die Sicherheit lässt sich jedoch verbessern, wenn der Download erst gar nicht erfolgt, weil der Browser ihn bereits verhindert. Der Internet Explorer bietet mit SmartScreen Application Reputation eine Cloud-basierte Technik, mit der sich Dateien direkt beim Download prüfen lassen. Wird eine Gefahr entdeckt, erhält der Nutzer eine Warnmeldung. Google Chrome und Mozilla Firefox bieten mit Safe Browsing eine ähnliche Technik. Beide Browser verwenden die gleichen Listen bei der Identifizierung von gefährlichen Download-Adressen. Es ist zurzeit sehr schwer zu beurteilen, ob SmartScreen oder Safe Browsing effektiver arbeiten. Ein Test von NSS Labs bescheinigte dem Internet Explorer im August 2011 eine überragend gute Erkennungsleistung. Allerdings bestehen Zweifel, ob der Test tatsächlich unabhängig war. Andere verlässliche Tests sind bisher nicht bekannt.

Websites mit gefährlichen Inhalten lassen sich genauso identifizieren wie gefährliche Downloads. Es kommen daher auch die gleichen Techniken zum Einsatz: SmartScreen beim Internet Explorer und SafeBrowsing beim Google Chrome und bei Mozilla Firefox. Beim Aufruf einer als bedenklich bekannten URL erscheint eine Fehlermeldung. Auch hier hängt es davon ab, wie schnell die Experten bei Microsoft und Google reagieren und wie oft die Liste mit den gefährlichen URLs aktualisiert wird. Unabhängige und praxisnahe Analysen zur Qualität der Dienste lassen sich nur schwer durchführen. Denn dazu müsste ein Tester schneller auf eine größere Menge gefährliche Websites stoßen als Microsoft oder Google.

Gleich welchen Browser Sie benutzen, empfiehlt sich zusätzlich der Einsatz eines zusätzlichen Bewertungstool. Weit verbreitet ist beispielsweise die Erweiterung Web of Trust (WOT), die es für Firefox, Chrome und den Internet Explorer gibt. Die Erweiterung warnt nicht nur vor Webseiten mit Schadsoftware und Phishing-Sites sondern auch vor Internet-Angeboten mit schlechtem Ruf.

Jede Software besitzt Sicherheitslücken, die sich auch bei noch so aufwendiger Qualitätskontrolle nicht komplett verhindern lassen. Wenn alles gutgeht, entdecken Hersteller oder Sicherheitsexperten die Fehler frühzeitig und liefern schnell ein Update. In ungünstigen Fällen finden Kriminelle die Sicherheitslücke zuerst. Erst wenn die Schadsoftware dem Hersteller bekannt wird, kann er Gegenmaßnahmen ergreifen. Bis dahin sind aber schon zahlreiche PCs betroffen. Es kommt also darauf an, dass der Browser-Hersteller möglichst schnell reagiert und Updates schnell ausliefert. Aufgrund der langen Updatezyklen reagieren Microsoft und Mozilla hier eher langsam. Firefox fehlt bisher auch eine Update-Funktion, die automatisch im Hintergrund arbeitet. Google liefert Sicherheitsupdates dagegen meist zügig aus.

Wenn eine Sicherheitslücke ausgenutzt wird, sollte der angerichtete Schaden möglichst begrenzt werden. Der bösartige Code darf keinen Zugriff auf wichtige Systemfunktionen haben oder sich gar administrative Rechte erschleichen können. Beim Internet Explorer und bei Google Chrome wird das dadurch verhindert, dass der Browser in einer Sandbox läuft. Eine Sandbox ist ein abgeschotteter Bereich, in dem ein Programm nur mit minimalen Rechten ausgeführt wird. Firefox hat bisher keinen Sandbox-Modus zu bieten.

Was für den Browser gilt, trifft auch auf Plugins zu. Vor allem das Adobe Reader und das Flash Plugin sind in letzter Zeit immer wieder für Sicherheitslücken verantwortlich gewesen. Hier sind der Internet Explorer und Firefox besonders anfällig. Bei Google Chrome laufen beide Plugins in einer Sandbox, was die Auswirkungen von Schadcode deutliche reduzieren kann. Zudem werden bei Chrome beide Plugins automatisch zusammen mit dem Browser aktualisiert. Hier ist allerdings Besserung in Sicht: Adobe plant für den Flash Player eine Sandbox-Umgebung („Protected Mode“) auch für Firefox und andere Browser.

Wenn man nur die Sicherheitsaspekte betrachtet, hat Google Chrome die Nase vorn. Durch kurze Update-Intervalle und die Sandbox für Browser und Plugins kann Google Gefährdungen deutlich reduzieren. Beim Erkennen gefährlicher Downloads und Webseiten gibt es noch Verbesserungspotential. Der Internet Explorer hat hier - wenn man den bekannten Test glauben darf - mehr zu bieten. Firefox kennt bisher keine Sandbox für Browser und Plugins und bietet damit weniger Sicherheit. Vor gefährlichen Downloads und Webseiten schützt der beliebte Browser aber genauso gut (oder genauso schlecht) wie Google Chrome.