Browser mit Demenz

Manfred Kloiber: Viele Surfer nehmen die Sicherheitsratschläge von Experten nicht ernst und kümmern sich nicht um ihren Browser. Das haben Untersuchungen gezeigt, die das Institut für technische Informatik und Kommunikationsnetze der ETH Zürich anhand anonymisierter Google-Besucherdaten anstellen konnte. Stefan Frei, was genau haben Sie untersucht?

Stefan Frei: Wir haben untersucht, wie viele Benutzer im Internet gibt es, die mit einem Webbrowser unterwegs sind, der nicht den letzten Sicherheitsstandards entspricht, ergo, der nicht die letzten Patches eingespielt hat.

Kloiber: Und was ist dabei herausgekommen?

Frei: Nun, wir sind etwas erschrocken, es wird vermutet, dass derzeit etwa 1,4 Milliarden Menschentäglich das Internet benutzen. Und davon sind mehr als 600 Millionen mit einem alten Browser unterwegs oder mit einer veralteten Version.

Kloiber: Wie sind Sie denn methodisch vorgegangen?

Frei: Wie haben eine neue Methodologie entwickelt, um bei Millionen von Endbenutzern den Stand des Webbrowsers zu erforschen. Wir haben da Rückgriff genommen auf Logdaten von Google. Und darin sehen wir, welcher Webbrowser benutzt wurde. Das haben wir korreliert mit wann die entsprechenden Browser-Patches herauskamen und konnten so für eine sehr große Anzahl von Benutzern diese Studie erstellen.

Kloiber: Kann man denn aus diesen Daten auch herauslesen, wie lange es dauert, bis zum Beispiel ein Patch bei dem User auch tatsächlich ankommt?

Frei: Was wir herauslesen können, ist einfach in statistischer aggregierter Form - wir haben keinen Zugriff auf persönliche Daten - für jeden Tag in den letzten anderthalb Jahren, wie viele Prozent eines bestimmten Browsertyps inklusive welchen Patchlevel wurden gebraucht. Wenn man das korreliert mit den Daten, wann für einen bestimmten Browser entsprechende Patches herausgegeben wurden, dann kann man herausfinden, wie alt die Browserpopulation ist oder wie weit die Durchdringung einer neuen Version bereits stattgefunden hat.

Kloiber: Diese Ergebnisse, die Sie erzielen konnten, halten Sie das für ein Sicherheitsrisiko?

Frei: Es ist ein Sicherheitsrisiko, und vor allem bis jetzt war es vornehmlich in der Security-Industrie und -Community bekannt: der Webbrowser ist die größte Angriffsfläche im Internet. Heutzutage kann man sagen, Server sind relativ gut zu schützen, aber Millionen von Endbenutzern auf verschiedenen Systemen zu schützen oder die Information durchzugeben, dass da ein Problem vorhanden sein könnte, das ist sehr schwierig. Ich glaube, mit unserer Studie konnten wir sicher einen Weckruf in diesem Sinne einmal erreichen, um den Leuten darzustellen, es nicht nur ein theoretisches oder akademisches Hirngespinst, sondern das sind reale Bedrohungen dahinter und die Situation sieht nicht sehr rosig aus.

Kloiber: Nun gibt es ja relativ viele Browser auf dem Markt. Zwei sind sicherlich führend, das ist zum einen Firefox und der Internet Explorer, aber auch Safari oder Opera sind vorhanden. Kann man da Unterschiede sehen?

Frei: Wir haben aufgrund unserer Studie sehr große Unterschiede gesehen im Verhalten, wie die Benutzer unterschiedlicher Browser Patches einspielen. Zum Beispiel haben wir gesehen, dass Firefox, der eine sehr einfache Auto-Update-Funktion besitzt, dass da die Benutzer sehr schnell ein Upgrade einspielen. Am Anderen Ende der Skala haben wir Opera, der in der Community als sehr sicher gilt. Aber es braucht immerhin fünf Klicks, um ein Update einzuspielen. Was wir gesehen haben, das ist hier nicht ein technisches Problem, sondern es ist ein Problem der Bedienungsfreundlichkeit. Diese fünf Klicks, das sind eine riesige Welt. Bei Firefox kommen die Leute immerhin auf etwa 80 Prozent, die die letzte Version benutzen. Bei Opera sind es nicht einmal 50 Prozent. Wir schließen daraus auf dessen Update-Mechanismus zurück. Also es sind nur fünf Klicks.

Kloiber: Sie schlagen, ich sage einmal, als erste Hilfsmaßnahme vor, dass man eine Art Verfallsdatum für Browser einführt. Wie soll das funktionieren?

Frei: Es ist wie beim Verfallsdatum: Ich sehe, das Datum der Milch und da kann ich entscheiden, ob ich sie trinken will oder nicht. Technisch ist das eine Nonchalance, das kann man sehr einfach machen, indem man einfach anzeigt "Für den Browser gibt es seit drei Monaten ein Update, das nicht eingespielt wurde - und insgesamt sind beispielsweise zwölf Updates überfällig". Aber ich denke, wenn man eine solche Information hätte, gut sichtbar beim Browser, wird sich der eine oder andere vielleicht zweimal überlegen, ob er jetzt mit diesem Browser aufs E-Banking geht oder vielleicht doch vorher noch etwas mit Aktualisierungen unternimmt.