Welcher Web Browser ist der sicherste?

Um gleich vorneweg Ihre Erwartungshaltung zu trimmen: auf diese Eingangsfrage werden Sie von mir leider keine verbindliche Antwort erhalten – und dies mit gutem Grund. So gibt es zwar immer wieder Studien und Rankings der „sichersten Browser“. Accuvant LABS etwa hat im September 2011 Ergebnisse veröffentlicht, die Google Chrome als Sieger in Sachen Sicherheit hervorheben. Bewertungskriterium waren hierbei insbesondere die „anti-exploitation techniques“ der drei Browser und nicht – wie in einigen anderen Studien – die Anzahl der Schwachstellen.

Einerseits ist der Bewertungsansatz durchaus sinnvoll, denn die reine Anzahl an Schwachstellen eines Browsers hat nur bedingte Aussagekraft, solange nicht bekannt ist, wie diese „Vulnerabilities“ tatsächlich ausgenutzt werden. Und grundsätzlich sind Software-Produkte ohnehin nie fehlerfrei, deshalb ist ein gutes Patch- und Schwachstellenmanagement sowohl auf Anbieter- als auch auf Kundenseite wichtig.

Ob nun die Ergebnisse der Analyse von Accuvant LABS ein realistisches Bild zeichnen, lässt sich auf Anhieb wiederum auch nicht überprüfen. Solche Studien werden ja nicht selten von den Herstellern selbst in Auftrag gegeben, und dann ist nicht ausgeschlossen, dass der Bewertungskatalog so zurechtgeschneidert wird, dass der Auftraggeber gut abschneidet.

Aber lassen wir die Studien nun beiseite und sprechen über die Dinge, auf die es in erster Linie ankommt:

  • Der Browser und der Client müssen mit Blick auf Sicherheit sauber konfiguriert sein;
  • Sie müssen zeitnah gepatcht werden;
  • Die Nutzer müssen mit Blick auf die Sicherheitsrisiken beim „Surfen“ sensibilisiert und geschult werden;
  • Alte Browserversionen erfüllen in der Regel nicht mehr die heutigen Sicherheitsanforderungen – dies gilt ganz besonders für den IE6, der auch heute noch immer wieder in Unternehmen anzutreffen ist.

Umstritten ist die Frage, ob man sich auf einen Browser fokussieren oder zwei oder drei parallel nutzen soll. Gegen die Mehrbrowserstrategie spricht die größere Angriffsfläche hinsichtlich der Schwachstellen, und auch das Patch Management und die Konfiguration werden aufwändiger – oder vernachlässigt.

Andererseits ist es heute eher die Regel, dass mindestens zwei verschiedene Browser am Client genutzt werden, offiziell oder über die Eigeninitiative der Nutzer. Neben den individuellen Vorlieben der Nutzer hat dies auch durchaus handfeste Gründe. So werden manche unternehmensinterne oder auch externe Webanwendungen nur mit einem bestimmten Browser bzw. einer Version dieses Browsers korrekt dargestellt. Die Analysten von Gartner wiederum empfehlen eine generelle Standardisierung auf zwei Browser, unter anderem um bei „Zero-Day-Attacken“ auf den sicheren Browser umsteigen zu können. Voraussetzung hierfür ist allerdings, dass der Nutzer zeitnah von der Zero-Day-Attacke erfährt – in vielen Unternehmen wird das nicht klappen.

Wer ganz sicher gehen will, kann sich bei virtuellen Browsern umschauen. Da gibt es neben dem vom BSI favorisierten Produkt BitBox auch noch Alternativen, die (wie die BitBox auch) aber sorgfältig evaluiert werden müssen – sonst kommt man vom Regen in die Traufe.

Mit einem Mythos muss man auf alle Fälle aufräumen. Es gibt keine Untersuchung und auch keine Anhaltspunkte dafür, dass der allgemein sehr beliebte Firefox sicherer sein sollte als die aktuellen Konkurrenzprodukte von Microsoft, Google oder Apple.