Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat vor der Verwendung des Internet Explorers von Microsoft gewarnt. Man solle – laut BSI-Meldung – vorerst auf einen alternativen Browser wechseln.
Jawohl, Ihr lieben Leute vom BSI, das machen wir doch glatt. Die Frage, die sich mir da stellt ist: Ist das nicht ein wenig übertrieben, was das BSI da veröffentlicht hat?
Microsoft hat am Montag, 17.09.2012, in einem Security Bulletin davor gewarnt, dass im Internet Explorer in den Versionen 6 bis 9 eine Schwachstelle gemeldet wurde. Diese Schwachstelle betrifft die Betriebssysteme Windows XP bis Windows 7. Nicht betroffen ist der Internet Explorer 10, von dem nicht wenige behaupten, er wäre der sicherste Browser der Welt.
Und schon stellt sich mir die Frage, wie das BSI auf die Idee kommt, den Internet Explorer wieder einmal komplett zu verteufeln. Wenn ich mir den Firefox ansehe, kommt der genauso sicher oder unsicher wie das blaue „e“ daher. Und bei Google Chrome weiß ich noch nicht so richtig, wie sicher oder unsicher der ist. Aber es ist ja so einfach, auf dem Internet Explorer herum zu hacken.
Microsoft schreibt, dass die Sicherheitslücke dadurch entstünde, weil der Browser auf ein gelöschtes oder nicht korrekt zugeordnetes Objekt zugreifen will. Es geht wohl um Elemente im Arbeitsspeicher und im Zwischenspeicher. Und mit dieser Sicherheitslücke ist es möglich, aus der Ferne Code auszuführen. Das ist das, was Microsoft benennt als:
Sicherheitsanfälligkeit in Internet Explorer kann Remotecodeausführung ermöglichen
Natürlich muss Microsoft eindringlich warnen, weil die Erfahrung eben gezeigt hat, dass etliche arglose Internet-Benutzer immernoch ohne jegliche Schutzvorrichtung im Internet surfen. Das BSI wiederum schreibt, dass der Code für einen möglichen Angriff frei im Internet verfügbar ist und dass deshalb mit einer „breitflächigen Ausnutzung“ zu rechnen sei.
Laut BSI reicht es aus, eine präparierte Webseite zu benutzen, da dann der Code eingeschleust werde. So etwas nennt man „Drive through“. Das bringt mich zu einer wichtigen Erkenntnis von vor Jahren:
Amazon bietet an, lädt aber nicht ein. Die deutsche Postbank schreibt niemanden an, der nicht Kunde ist. Bei Versandhäusern wie Otto, BonPrix und dergleichen bleibt man auf der Webseite und wird nicht zu irgendeinem Provider geschickt. Den Filtermechanismen in Email-Programmen kann man durchaus trauen, aber Emails sollten mit wachen Augen begutachtet werden, erst Recht die Links darin. Und die Webseite der Hausbank hat in den seltensten Fällen Werbung eingeblendet und eine Domain wie bank.co.ms
Der so genannte Zero-Day-Exploit, vor dem das BSI und Microsoft warnen, soll ja sehr gefährlich sein. Und das BSI kommt so rüber, als ob die einzige Chance, dem Problem zu entgehen, der Wechsel des Browsers wäre. Aber das stimmt so nicht. Es gibt Antivirensoftware-Hersteller wie Trend Micro, die sehr wohl den Schädling erkennen. Genauso kann ich mir vorstellen, dass die Microsoft Security Essentials die Bedrohung erkennen.
Ich gehe davon aus, dass die Warnung hauptsächlich für die gilt, die ohne jegliche Schutzmaßnahmen unterwegs sind. Und das ist nicht nur fahrlässig, sondern in höchstem Maße töricht. Wer ist denn mit einem solchen System im Online Banking unterwegs und wundert sich nicht, warum sein Konto leer ist?
Also: Immer schön das System aktuell halten und Antivirensoftware nutzen. Das schützt vor solchen Problemen. Und Meldungen wie die vom BSI heben einen nicht so sehr an. Und es muss auch bewusst sein, dass die eigentliche Problematik nicht im eigentlichen Programmcode sondern in einer Engine wie Java liegen könnte.
2 Replies to “Sicherheitswarnung für Internet Explorer – Übertreibt da das BSI?”