Verschlüsselung

Browser-Sicherheit: so sicher sind Edge, Firefox, Chrome & Opera

13. Oktober 2016
  • Verschlüsselung

© kentoh - Fotolia.com

Nachdem wir vergangene Woche einen kritischen Blick auf die Sicherheit der Browser Microsoft Edge und Mozilla Firefox geworfen haben, widmen wir uns diese Woche Googles Browser Chrome und Opera.

Google Chrome: der Marktführer

Wir drehen die Zeit um fünf Jahre zurück und befinden uns im November 2011: die verschiedenen Internet Explorer-Versionen hielten weltweit einen Marktanteil von rund 41 %. Ein gigantischer Wert, aber geradezu lächerlich verglichen mit dem, was Googles Browser Chrome heute einfährt:

Mit Stand Juli 2016 gehören Chrome weltweit 58,26 % des Browser-Marktes (Quelle: statista.com). Der zweite Platz geht übrigens an Firefox, jedoch erscheint sein Anteil mit 13,97 % verschwindend gering.

Anti-Tracking bei Chrome

Googles Browser Chrome bietet, wie auch andere Browser, die Möglichkeit, eine „Do Not Track“-Anforderung an besuchte Sites zu senden. Auch hier gilt leider: Nicht alle Website-Betreiber nehmen diese Anforderung an. Daran kann der Browser, den Sie nutzen, leider nichts ändern.

Schade finden wir, dass Google die Anforderung per Default deaktiviert. Natürlich liegt es im Ermessen des Website-Betreibers, Sie nach dieser Anforderung nicht mehr zu tracken, jedoch wäre es der Privatsphäre dienlich, das Feature standardmäßig zu aktivieren. Wie Sie das nachholen, beschreibt Google im Hilfe-Bereich.

Eine weitere Möglichkeit, privater zu surfen, ist der sogenannte Inkognito-Modus. Dieser arbeitet ähnlich wie der InPrivate-Modus in Microsoft Edge: Ihr Browserverlauf wird nicht gespeichert, solange Sie im Inkognito-Fenster arbeiten. Jedoch können Ihre Surfaktivitäten nach wie vor von Ihrem Internetanbieter, Ihrem Arbeitgeber, wenn Sie einen Arbeitsrechner nutzen, sowie den Websitebetreibern besuchter Seiten gespeichert werden.

Chrome zeigt Ihnen diese wichtige Tatsache deutlich besser als der Redmonder Edge: öffnen Sie ein Inkognito-Fenster in Chrome, werden Sie gewarnt, dass Sie nicht unsichtbar surfen. Ein Link führt auf die Hilfe-Seiten zum Inkognito-Modus.

Google und JavaScript

Dass Google die Scriptsprache JavaScript standardmäßig aktiviert hat, versteht sich fast schon von selbst: JavaScript ist Grundvoraussetzung, um die Google-Anzeigen auf einer Website darstellen zu können. Allerdings ist JavaScript zuweilen auch daran schuld, wenn User über harmlos erscheinende Seiten plötzlich komplett woanders hin geleitet und Opfer von Cyberkriminalität werden.

JavaScript komplett den Hahn abzudrehen, kann allerdings auch keine Lösung sein. JavaScript wird für bestimmte Seitenumleitungen genauso benötigt wie für sich entfaltende Menüs. Für die Optionen, die Chrome bietet, gehen Sie bitte über die Einstellungen in die „Erweiterten Einstellungen“.

Im Bereich „Datenschutz“ finden Sie den Button „Inhaltseinstellungen“. Relativ weit oben im sich nun öffnenden Fenster sehen Sie die Möglichkeit, JavaScript für alle Sites zu aktivieren oder zu deaktivieren. Empfohlen wird von Google natürlich das vollständige Akzeptieren sämtlicher Anfragen aller Sites.

Häufig ist das durchaus sinnvoll, jedoch warnt der gesunde Menschenverstand bei einigen Sites dringend vor JavaScript. Dann bleibt nur Option 2: Die „Ausführung von JavaScript für keine Webseite zulassen“. Bestätigen Sie mit „OK“, lässt der Browser kein JavaScript mehr ausführen. Ausnahmen können Sie darunter festlegen.

Wirklich praktikabel wirkt all das bisher nicht, denn oft ist JavaScript einfach nützlich. Google hat jedoch mitgedacht: sobald Sie JavaScript standardmäßig deaktiviert haben, erscheint oben in der Adressleiste ein Symbol mit zwei Klammern (<>) und einem weißen Kreuz auf rotem Viereck. Klicken Sie darauf, erscheinen die Optionen, JavaScript für diese Seite standardmäßig zuzulassen oder JavaScript weiterhin zu blockieren. Weiter leitet Sie ein Link auf die Ausnahmen für JavaScript in Ihren Einstellungen.

Passwort-Management im Chrome-Browser

Melden Sie sich über Chrome auf einer Website an, werden Sie gefragt, ob der Browser Ihre Login-Daten speichern soll. Sind Sie in Chrome mit Ihrem Google-Account angemeldet, werden Ihre Kennwörter mit Ihrem Account synchronisiert, sodass Sie alle Logins auch auf verschiedenen Geräten verwenden können.

Diese sehr praktische Synchronisierungsfunktion heißt bei Google Smart Lock. Neben dem Aktivieren und Deaktivieren der Funktion können Sie sie auch für bestimmte Apps oder Websites blockieren. Anleitungen dafür hält Google im Hilfe-Bereich bereit.

Nun haben praktische und die Bequemlichkeit steigernde Funktionen oft ihren Preis: in aller Regel manövrieren sie die Sicherheit nach unten. Wie bereits im ersten Beitrag unserer Kurzserie erwähnt, ist es ein akutes Problem aller existierenden Browser, dass die Möglichkeit besteht, alle Passwörter im Klartext anzeigen zu lassen.

Bei Chrome ist unter Windows dafür immerhin das Eingeben des Windows-Nutzer-Passworts notwendig (vorausgesetzt, Sie verwenden ein Nutzerpasswort). Nutzen Sie diese kleine Sicherheitsoption bitte auch, wenn Sie sich dafür entscheiden, Passwörter durch Chrome zu speichern. Weiter gibt Google Ihnen die Möglichkeit, mithilfe einer Synchronisierungspassphrase die Sicherheit zu steigern; Anleitungen und Informationen finden Sie hier.

Auch dabei geht es nicht ohne ein Aber: Aber Ihre Daten liegen dann in Googles Cloud. Ihre Synchronisierungspassphrase verschlüsselt zwar den Inhalt, sodass auch Google Ihre Daten in der Cloud nicht lesen kann. Dennoch möchten wir zu bedenken geben, dass Google seinen Sitz in den USA hat und die Cloud dem US-amerikanischen Datenschutzniveau entspricht.

Update-Management in Chrome

Chrome aktualisiert sich automatisch, um Sie durch aktuelle Sicherheitsupdates zu schützen. Die Updates werden für gewöhnlich im Hintergrund ausgeführt. Gehören Sie jedoch zu den Nutzern, bei denen der Browser auch mal tagelang durchläuft, werden Sie auf anstehende Aktualisierungen aufmerksam gemacht.

Erscheint das „Mehr“-Symbol in Chrome (die drei Punkte ganz oben rechts) in grün, steht ein Update seit zwei Tagen bereit. Erscheint das Symbol in orange, wartet das Update bereits seit vier Tagen, färbt sich das Symbol rot, sind bereits sieben Tage seit Update-Verfügbarkeit vergangen. Weitere Informationen über die Aktualisierungen des Chrome-Browsers finden Sie in Googles Hilfeseiten.

Auch Plugins aktualisieren sich mit Chrome automatisch. Im Bereich chrome://components/ können Sie manuell nach Updates suchen; unter chrome://plugins/ verwalten Sie Ihre Plugins weiterführend. Klicken Sie unter chrome://extensions/ oben rechts auf den Entwicklermodus, können Sie mit einem Klick auf „Erweiterungen jetzt aktualisieren“ einen Update-Rundumschlag durchführen.

Sie können zusätzlich Check-Tools von extern verwenden, beispielsweise die Lösung der PC-Welt, mit der Sie auch Plugins anderer Browser auf Aktualität prüfen können.

Anti-Phishing & -Malware in Google Chrome

Auch Google spendierte dem hauseigenen Browser Chrome einen Phishing- und Malware-Schutz, der standardmäßig aktiviert ist. Überprüfen können Sie dies in den Einstellungen unter Datenschutz im Menüeintrag „Mich und mein Gerät vor schädlichen Websites schützen“. Alle Informationen rund um den Schutz vor Malware und Phishing finden Sie im Hilfebereich.

Websiteinhalte anpassen

Relevant für Ihre Sicherheit ist auch der Menüpunkt „Websiteinhalte anpassen“ in den Datenschutz-Einstellungen Ihres Browsers. Googles Hilfebereich erklärt die einzelnen Optionen angenehm verständlich und verweist an geeigneten Stellen auf weiterführende Informationen.

Neben dem bereits beschriebenen Umgang mit JavaScript können Sie hier auch bestimmen, wie Chrome beispielsweise mit Cookies, Bildern oder Pop-ups umzugehen hat. Standardmäßig sind unter anderem …

  • … Bilder zugelassen
  • … Pop-ups blockiert
  • … Warnungen über das Verwenden Ihres Standorts aktiviert
  • … Warnungen über automatisches Anzeigen von Website-Benachrichtigungen aktiviert

Fazit Chrome: Verbreitung ist wenig verwunderlich

Die eingangs erwähnten Marktanteile sprechen bereits eine sehr klare Sprache: Ein Browser, der fast 60 % des weltweiten Marktes für sich gewinnen kann, muss gut sein. Dass „gut“ nicht gleichbedeutend ist mit „sicher“, zeigte sich bereits in vielen Tests, die wir durchführten.

Im Falle von Chrome allerdings lässt sich mit dem Browser nach wenigen Optimierungen schon ziemlich sicher surfen. JavaScript auszuschalten erscheint vor allem deshalb sinnvoll, weil Sie mit zwei Klicks direkt auf der jeweiligen Website bzw. in der Adressleiste eine Ausnahme erstellen können, die dann langfristig gespeichert bleibt.

Wie in den vergangenen zwei Wochen schon mehrfach erwähnt, ist Google Chrome der einzige Browser, der sehr umfangreiche Darstellungen sicherer und vermeintlich sicherer Sites erlaubt. Ziehen wir erneut das prominente Beispiel „netzpolitik.org“ heran, zeigt Chrome ein rot durchgestrichenes https mit Warnsymbol und erklärt mit einem Klick darauf, dass die Site aufgrund von SHA-1 nicht sicher ist. Diese differenzierte Darstellung ist ein riesiger Vorteil, der auch nicht allzu versierten Usern sehr zugute kommt. (Update: in der Zwischenzeit hat netzpolitik.org das Zertifikat ausgetauscht. Bitte werfen Sie einen Blick in unseren ebenfalls aktualisierten Beitrag aus der Vorwoche, der Ihnen in einem Screenshot die Chrome-Darstellung zeigt.)

Was man bei Chrome jedoch nicht vergessen darf, ist die Tatsache, dass Google dahintersteckt. Der Suchmaschinenriese verkauft Anzeigen – und diese möchten mit Daten gefüttert werden. Behalten Sie dies im Hinterkopf und passen Sie Chrome entsprechend an – Möglichkeiten existieren zahlreich!

Chrome zeigt sich flexibel, schlank und anpassbar, auch was die Datenschutzeinstellungen betrifft. Die automatischen Updates sowohl für den Browser selbst als auch für installierte Plugins machen es Nutzern leicht, mit stets aktueller Software umzugehen und Sicherheitslücken somit zu vermeiden.

Der Hilfebereich ist fast so eindrucksvoll wie der, den Mozilla für Firefox auf die Beine gestellt hat. Erklärungen erfolgen auch, wenn Sie etwa den Inkognito-Modus öffnen – und diese Erklärungen sind weitaus ehrlicher als die des Mitbewerbers Edge, der gekonnt verschweigt, dass Ihre Aktivitäten keinesfalls unsichtbar sind.

Insgesamt überzeugt uns Chrome: ohne gesonderte Plugins und mit ein wenig nachjustieren in den Einstellungen können Sie sicher surfen und werden im Fall der Fälle sinnvoll gewarnt.

Opera möchte Sicherheit bieten

Aus dem norwegischen Hause Opera Software kommt mit Opera ein weiterer kostenfreier Browser, der seit Version 15 auf einer quelloffenen Rendering-Engine basiert. In den Statistiken führt Opera eher ein Schattendasein: im Juli 2016 lag seine Verbreitung in Deutschland bei kaum spürbaren 2,25 % (Quelle: statista.com).

Für alle gängigen Betriebssysteme erhältlich, verspricht Opera auf der Download-Site einen „alternativen Windows-Browser für mehr Privatsphäre“. Wir sind gespannt, wie sich Opera im Vergleich mit den anderen Browsern schlägt!

Do Not Track bei Opera

Wie schon bei Firefox und Chrome verfügt auch Opera in seinen Einstellungen über eine Do Not Track-Funktion. Ebenfalls wie bei den Mitbewerbern ist es leider einmal mehr Sache des Websitebetreibers, Ihre Do Not Track-Aufforderung anzunehmen oder zu ignorieren.

Daraus macht Opera auch kein Geheimnis. Aktivieren Sie die Funktionen in den Einstellungen und dort unter „Datenschutz & Sicherheit“, wird Ihnen in einem Pop-up erklärt, dass viele Websites auch weiterhin den Datenverkehr sammeln werden.

Privatsphäre via VPN bei Opera

Ein weiteres Feature verhindert Schnüffelattacken gekonnter: Opera ist weltweit der erste Browser, der VPN zum Browser-Bestandteil macht. Sie können VPN fürs grundsätzliche Surfen mit Opera aktivieren, indem Sie in den Einstellungen zu „Datenschutz & Sicherheit“ navigieren und unter VPN das Kontrollkästchen aktivieren.

Surfen Sie über einen VPN-Server, wird dieser Serverstandort als Ihr eigener Standort angezeigt, sodass Websites Ihren tatsächlichen Standort nicht mehr ermitteln können. Aktivieren Sie VPN in Opera, finden Sie ein blaues VPN-Badge in der Adressleiste.

Das Badge ermöglicht Ihnen, VPN zügig ein- und auszuschalten. Auch finden Sie darüber Infos zur übertragenen Datenmenge, zum virtuellen Standort und Ihnen wird die virtuelle IP-Adresse angezeigt.

In den Hilfeseiten des Browsers finden Sie ausführliche Informationen zum Surfen via VPN. Unter anderem wird hier auch beschrieben, dass VPN allein noch nicht genügt, anonym zu surfen; Cookies sind das Hauptproblem. Blockieren Sie jedoch Werbung, werden vielfach auch Tracking-Cookies blockiert. Wie das geht, erfahren Sie in den Hilfeseiten.

Weiter empfiehlt Opera zur VPN-Nutzung das private Surfen, bei dem Browserverlauf, Cache sowie Cookies mit Schließen des privaten Fensters gelöscht werden. Auch das private Surfen erklärt Opera umfangreich.

Opera und JavaScript

Mit JavaScript hält es Opera wie Google Chrome: standardmäßig ist JavaScript aktiviert. Unter Einstellungen – Websites können Sie JavaScript aktiveren/ deaktivieren sowie Ausnahmen festlegen.

Passwort-Management bei Opera

Auch das Passwort-Management von Opera erinnert an Google Chrome. Sie können in den Einstellungen unter „Datenschutz & Sicherheit“ ein Kontrollkästchen bei „Das Sichern von im Web eingegebenen Passwörtern anbieten“ aktivieren und Opera wird fortan Passwörter speichern.

Leider besteht hier dasselbe Problem wie in allen Browsern, die das Speichern von Passwörtern anbieten: alle Passwörter sind nach Eingabe des PC-Passworts im Klartext sichtbar. Voraussetzung für diese winzige Sicherheitsschranke ist natürlich, dass Sie Ihren Rechner per Passwort abgesichert haben – andernfalls kann sich jeder, der Zugang zu Ihrem Rechner hat, frei bedienen.

Update-Management mit Opera

Opera aktualisiert sich automatisch, wenn ein Update veröffentlicht wurde. In regelmäßigen Intervallen überprüft der Browser, ob Updates verfügbar sind. Auch manuell können Sie prüfen: Navigieren Sie im Opera-Menü zu „über Opera“, wird Ihnen die Version angezeigt und überprüft, ob Sie die aktuelle Version nutzen.

In der Verwaltung genutzter Erweiterungen finden Sie zudem Auskunft, ob Updates für Plugins anstehen. In der Plugin-Verwaltung fällt positiv auf, dass Sie mit einem Klick die Berechtigungen der installierten Plugins ansehen können. Klicken Sie dafür auf das Ausrufezeichen neben der Schaltfläche „deaktivieren“ bei der jeweiligen Erweiterung.

Betrugsversuch- & Schadsoftware-Schutz in Opera

Opera spendierte seinem Browser einen Schutz gegen Betrugsversuche und Schadsoftware. Eine solche Warnung verursacht ein Symbol in der Adressleiste: Sie sehen im Fall des Falles ein weißes Ausrufezeichen in einem roten Kreis. Dies kann leider recht leicht übersehen werden; andere Browser warnen hier effizienter.

Opera bietet außerdem die Möglichkeit, verdächtige Sites zu melden. Wie Sie vorgehen, erklärt der norwegische Konzern in seinen Hilfeseiten.

Darstellung sicherer und unsicherer Inhalte

Opera kommuniziert mit seinen Usern vorrangig über die Adressleiste, wo auch sichere oder ungeschützte Verbindungen angezeigt werden. Ein grünes Schloss symbolisiert eine sichere Verbindung, während ein grauer Globus für eine ungeschützte Verbindung steht.

Opera überprüft, ob sämtliche Teile einer Website verschlüsselt sind. Existieren Echtzeitelemente (z. B. Plugins, Skripts, Frames, etc.) mit unverschlüsselter Verbindung, werden die unsicheren Inhalte blockiert. In der Folge kann es passieren, dass Teile der Site nicht korrekt angezeigt werden, jedoch surfen Sie sicher.

Optional können Sie diese Blockierung aufheben. Sie sehen dann das Sicherheits-Schloss-Symbol als offenes Schloss. So möchte Opera darauf aufmerksam machen, dass unsichere Inhalte angezeigt werden. Alle Informationen über die Darstellung sowie das Blockieren finden Sie im Hilfe-Bereich von Opera.

Werfen wir, wie bereits in den anderen Browsertests, einen Blick auf die Site netzpolitik.org. Zur Erinnerung: hier wird ein SHA-1-signiertes SSL/TLS-Zertifikat verwendet, welches aufgrund dieses Algorithmus‘ nicht mehr sicher ist. Bislang hat nur Chrome angezeigt, dass das Zertifikat unsicher ist, während Edge und Firefox keine Warnung ausgaben.

Auch Opera warnt, wenn auch nicht so deutlich wie Chrome: Wir sehen in der Adressleiste einen grauen Globus, was für eine unsichere Verbindung steht. Ein Klick darauf verrät mehr: „Die Verbindung ist nicht geschützt.“ Gehen wir auf „Details“, erfahren wir, dass die Site zwar verschlüsselt, jedoch „veraltete Sicherheitseinstellungen“ verwendet, „die den sicheren Zugriff zukünftiger Versionen von Opera möglicherweise verhindern.“ (Update: netzpolitik.org hat das SHA-1-signierte Zertifikat zwischenzeitlich ausgetauscht, was der Sicherheit der Websitebesucher sehr entgegenkommt.) Um Ihnen dennoch die Darstellung von Opera zeigen zu können, verwenden wir einen Screenshot:

opera

Hebt Opera diese wichtige Darstellung in künftigen Versionen farblich noch deutlicher hervor, hätten wir dasselbe Schutzniveau wie im Chrome-Browser. Ein Anfang ist jedoch gemacht, Opera warnt bereits deutlich besser als Firefox und Edge.

Weitere Sicherheitsfeatures in Opera

Zwei wichtige Sicherheitsfeatures fehlen noch:

  • integrierter Ad-Blocker: Werbung kann in jedem Browser der Welt blockiert werden, allerdings ist dafür oftmals ein gesondertes Plugin notwendig. Opera integriert den Werbeblocker direkt in den Browser (Einstellungen – Datenschutz & Sicherheit – Werbung blockieren), aktiviert werden muss der Werbeblocker jedoch. Sie können den Werbeblocker grundsätzlich oder nur für bestimmte Websites aktivieren. Positiver Nebeneffekt: blockieren Sie Werbung, lädt die Site zügiger. Weitere Informationen hält Opera an dieser Stelle bereit.
  • Datenspuren löschen: Das Löschen Ihrer Browser-Daten bieten natürlich wieder alle Browser an. Bei Opera gehen Sie dafür bitte ins Hauptmenü, navigieren sich zu „Weitere Tools“ und klicken dort „Browserdaten löschen“ an.

Fazit Opera: Steigt Verbreitung durch VPN?

Opera liegt aktuell in Version 40 vor, der Browser existiert also nicht erst seit gestern. Deutschlandweit wird er relativ ignoriert, wie die eingangs erwähnten Marktanteile zeigen. Nun bietet der Browser zwei Sicherheitsfeatures an, von denen die Mitbewerber nur träumen können: integriertes VPN und ein ebenso integrierter Werbeblocker. VPN existiert als Feature erst seit kurzem. Ob das genügt, um die Marktanteile zu steigern, bleibt abzuwarten.

Uns genügen diese beiden Features zusammen mit den restlichen Sicherheitsaspekten jedoch, um sagen zu können, dass Opera eine gute Wahl ist. Schon per Default surfen Sie recht sicher, mit einigen Anpassungen kann Opera Ihre Privatsphäre wirklich effizient schützen.

Ausbaufähig ist noch die Symbolgebung: neben Chrome war Opera der einzige Browser, der unsichere Verschlüsselungsparameter anzeigt. Allerdings geschieht das nicht besonders aussagekräftig: ein graues Symbol auf weißem Hintergrund dürfte kaum ins Auge fallen. Chromes warnendes Rot gefällt uns deutlich besser, jedoch ist die Opera-Warnung immer noch wesentlich angenehmer als die ausbleibenden Warnungen in Firefox und Edge.

Sicherheitslücken vermeidet Opera durch automatische Updates. Ein manuelles Prüfen sichert Opera-User ab und die Plugin-Verwaltung zeigt übersichtlich, welche Plugins aktuell sind und welche Aktualisierungen benötigen.

Auch der Hilfebereich von Opera verdient ein Lob: die Anleitungen sind umfangreich und klar formuliert. Lediglich eine Suchfunktion haben wir im Hilfebereich schmerzlich vermisst. Mehrmals hätten wir gern nach Stichwörtern gesucht und mussten uns stattdessen durch die einzelnen Hilfeseiten klicken.

Die Erklärungen jedoch, die Opera seinen Nutzern zwischendurch liefert, sind genauso ehrlich wie die von Chrome. Während Edge Ihnen im privaten Surfmodus vorgaukeln möchte, dass Sie unbeobachtet surfen, machen Chrome und Opera kein Geheimnis daraus, dass Ihre Aktivitäten nicht unsichtbar sind.

Opera überzeugt uns insgesamt. Der Browser arbeitet zügig und lässt sich mit wenigen Handgriffen auf „sicherer“ trimmen. Hier und da muss der Nutzer wachsamer sein als bei den Mitbewerbern, von Werbung braucht er sich jedoch nicht nerven zu lassen.

Freuen Sie sich auf kommende Woche, wenn wir Ihnen die Vor- und Nachteile der einzelnen Browser noch mal gegenüberstellen und unsere Empfehlung für einen sicheren Browser abgeben. Außerdem erhalten Sie wertvolle Tipps, wie Sie sich sicher im World Wide Web bewegen können.



0 Kommentar(e)

Schreibe einen Kommentar