Verschlüsselung

Browser-Sicherheit: so sicher sind Edge, Firefox, Chrome & Opera

4. Oktober 2016
  • Verschlüsselung

© kentoh - Fotolia.com

Haben wir uns vergangene Woche angeschaut, wie Chrome und Firefox HTTPS darstellen, widmen wir uns heute grundsätzlicher Browsersicherheit. Welche Features bieten Edge, Firefox, Chrome und Opera? Mit welchem Browser surfen Sie am sichersten?

Microsoft Edge als Nachfolger des IE

Mit Windows 10 hat Microsoft nicht nur sein Betriebssystem runderneuert, sondern auch an der Browserfront auf Neustart gesetzt. Der als verstaubt geltende Internet Explorer (IE) wurde von Edge abgelöst.

Der Browser Edge ist zweifelsfrei frischer als der IE, jedoch von Haus aus nicht wirklich sicher. Mit einigen Einstellungen können Sie das ändern.

Trackende Microsoft-Sites

Es ist nur natürlich, wenn Entwickler mit einem Produkt andere hauseigene Produkte bewerben möchten. Microsoft hat deshalb in Edge Bing als Standardsuchmaschine aktiviert und setzt wie schon beim IE auf die News-Plattform MSN. Beides zusammen, also Bing und MSN, tracken Ihr Surfverhalten, Ihre Standorte sowie Suchverlauf und Browser-Historie.

Damit Microsoft sogenannte „pro.aktiv-Websites“ vorschlagen kann, werden die bei Ihren Suchanfragen genutzten URLs direkt an Microsoft übertragen. In den Einstellungen können Sie unter „Neue Tabs öffnen mit“ die MSN-Inhalte deaktivieren, um hier schon nicht mehr getrackt zu werden.

Weiter macht es Sinn, Cortana über die „Erweiterten Einstellungen“ zu deaktivieren. Dass der „SmartScreen-Filter“ Websites und Downloads auf Schadsoftware untersucht, ist gut gemeint. Allerdings werden sämtliche Daten wieder an Microsoft übertragen. Nutzen Sie stattdessen lieber eine gute Firewall und halten Sie Ihren Virenscanner aktuell, sodass Sie diese Schnüffel-Funktionen im Browser selbst ausschalten können.

Browser wird durch Sandbox abgeschirmt

Im hauseigenen Blog kündigte Microsoft jüngst ein neues Sicherheitsfeature an: „Application Guard“ lässt Edge in einer virtuellen Maschine laufen. Admins können nach Aktivierung festlegen, welche Sites die Nutzer eines Unternehmensnetzwerks ausschließlich gesichert aufrufen dürfen.

Dieses Vorgehen soll es auf der anderen Seite auch Angreifern erschweren, Sicherheitslücken im Browser auszunutzen, um User- oder Systemdaten abzugreifen. Nach Aktivierung greift der neue Schutz bei Seiten, die sich nicht auf der Whitelist des Netzwerkadmins befinden, automatisch.

Ruft der User eine vertrauenswürdige Site auf, verhält sich der Browser normal. Edge nutzt den internen Speicher, um den User mit seinen Anmeldeinformationen auf der jeweiligen Website zu authentifizieren. Ruft der User hingegen eine nicht vertrauenswürdige Site auf, erzeugt Application Guard eine zusätzliche Windows-Instanz mit separater Systemebenenkopie. So befindet sich Edge quasi in einer Sandbox.

Edge arbeitet durch eine weitere Sicherheitsebene abgekapselt vom Host-System. Der Browser verzichtet in diesem Zustand auf den Austausch mit weiteren Systemprozessen oder aufs Zugreifen auf weitere Applikationen. Performance-Einbußen soll es nicht geben.

Erst werden User mit Enterprise-Lizenz in den Genuss kommen. Ob und wann Microsoft auch andere Windows 10- bzw. Edge-User mit Application Guard beglückt, ist derzeit noch unklar. Ein Video soll aber schon mal Vorfreude erzeugen:

Microsoft Edge: diese Daten sammelt der Browser

Edge speichert Ihren Browserverlauf lokal auf Ihrem Gerät. Nutzen Sie Cortana zusammen mit Edge, erhält auch Microsoft Ihren Browserverlauf. Deshalb macht es Sinn, Cortana entweder grundsätzlich für Windows 10 oder aber ausschließlich in Edge über die „Erweiterten Einstellungen“ zu deaktivieren.

Edge verfügt über die Funktion „Seitenvorhersage“. Das ist sehr bequem: Schon während Sie eine Internetseite aufrufen, werden Daten im Hintergrund geladen. Dies beschleunigt den Seitenaufbau und damit insgesamt die Surf-Geschwindigkeit.

Allerdings beruht diese Bequemlichkeit darauf, dass Ihr Browserverlauf an Microsoft übertragen wird. Zusammen mit den Browserverläufen anderer User werden diese Verläufe insgesamt von Microsoft analysiert. Microsoft lässt Muster in Ihrem Surfverhalten für Edge erkennbar werden.

Suchen Sie etwas, können Sie das in der Adressleiste von Edge tun. Edge reagiert dann selbst wie eine Suchmaschine und macht Ihnen schon während der Eingabe Vorschläge für Ihre Suche. Das liegt daran, dass Edge die Informationen, die Sie in die Adressleiste eingeben, an Bing sendet.

Auch beim Ausfüllen von Formularen sowie beim Eingeben von Passwörtern möchte Edge behilflich sein. Positiv: diese Informationen werden lokal auf Ihrem Gerät gespeichert und nicht an Microsoft gesendet.

Während Sie im Web surfen, speichert Edge Cookies auf Ihrem Gerät. Warum Cookies gesammelt werden, hat unterschiedliche Gründe: Für Sie als User soll es bequemer werden; Sie können Einstellungen sowie Vorlieben speichern und so schneller abrufen.

Vorsicht: viele Websites sammeln mit Cookies auch Informationen über Ihr Online-Verhalten, damit Ihnen personalisierte Werbung angezeigt werden kann. Microsoft Edge ermöglicht das Löschen von Cookies und bietet in den Einstellungen die Option, das Speichern von Cookies zu deaktivieren.

Aktivieren Sie die Option „Do Not Track-Anforderungen (nicht nachverfolgen) senden“, erhalten Websites die Information, Sie nicht nachzuverfolgen. Allerdings können Sites auch mit dieser Anforderung Ihre Aktivitäten verfolgen. Dies ist keine Edge-spezifische Eigenheit, sondern leider ein Schicksal, dem sich alle Browser beugen müssen.

Der InPrivate-Modus des Browsers Edge vermeidet das Speichern von Browserinformationen wie Cookies, Ihrem Verlauf sowie temporären Dateien. Leider warnt Edge nicht vor der absolut wichtigen Information, dass Sie im InPrivate-Modus keinesfalls unsichtbar sind: Die von Ihnen besuchten Sites sowie Ihr Internetprovider können die Informationen zu Ihrem Surfverhalten dennoch erfahren.

Löschen von Daten in Edge

Möchten Sie die vom Browser erfassten und auf Ihrem Gerät gespeicherten Informationen wie Cookies oder Passwörter löschen, gehen Sie unter „Mehr“ in die Einstellungen. Navigieren Sie zu „Browserdaten löschen“, dort zu „Zu löschendes Element auswählen“. Neben jedem Dateityp, den Sie löschen wollen, setzen Sie ein Häkchen und wählen dann „Löschen“. Um sich das künftig zu vereinfachen, können Sie das Kontrollkästchen „Diese Elemente beim Schließen des Browsers immer löschen“ aktivieren.

Möchten Sie die an Cortana gesendeten Daten löschen, öffnen Sie in der Windows 10-Suchleiste „Cortanas Notizbuch“ und dort die Einstellungen. Wählen Sie dort „Alles, was Cortana über mich weiß, in der Cloud verwalten“. Alternativ besuchen Sie bitte die Bing-Personalisierung. Spätestens, wenn Sie hier lesen, dass Ihr Kalender sowie Ihre Kontakte von Ihren Geräten hochgeladen werden, um die Cortana-Empfehlungen zu optimieren, verspüren Sie hoffentlich den großen Wunsch, Cortana gänzlich auszuschalten.

Unter den „Erweiterten Einstellungen“ finden Sie die Möglichkeit, folgende Optionen auf „Aus“ zu setzen:

  • „Seitenvorhersage“
  • „Such- und Websitevorschläge während der Eingabe anzeigen“
  • „Formulareinträge speichern“
  • „Speichern von Passwörtern anbieten“
  • „Meinen PC mit SmartScreen-Filter vor schädlichen Websites und Downloads schützen“

Zu guter Letzt können Sie noch verhindern, dass sich Edge an Ihrem Browserverlauf für Cortana bedient: Sie öffnen Cortana auf Ihrem Rechner und wählen im Cortana-Menü „Notizbuch“, dann „Berechtigungen“. Navigieren Sie zu „Browserverlauf“, können Sie den Schalter auf „Aus“ stellen.

Vertrauenswürdige Seiten in Edge erkennen

In der vergangenen Woche haben wir Ihnen bereits verraten, wie Google Chrome und Mozilla Firefox vertrauenswürdige HTTPS-Seiten darstellen. Auch für Edge ist das natürlich interessant! Erkennen Sie ein Schlosssymbol in der Adresszeile, bedeutet dies:

  • Daten, die von der Website gesendet und empfangen werden, sind verschlüsselt.
  • Die Site ist verifiziert. Der Websitebetreiber hat also ein SSL/TLS-Zertifikat bestellt und sich als Eigentümer ausgewiesen (s. Validierung im Beitrag aus voriger Woche). Möchten Sie wissen, wer Eigentümer der Website ist und von wem diese verifiziert wurde, klicken Sie einfach auf das Schloss.
  • Ein graues Schloss zeigt, dass die Site verschlüsselt sendet & empfängt und außerdem verifiziert wurde. Sehen Sie ein grünes Schloss, wird die Website von Edge als authentisch eingestuft. Heißt: hier finden Extended Validation-Zertifikate Einsatz.

Wann ist vertrauenswürdig wirklich vertrauenswürdig?

Ein Problem fällt jedoch auf: gegen schlechte Algorithmen warnt Microsofts Edge-Browser gar nicht. Wir sehen uns das an einer prominenten Site an, die wir in der Politik als unverzichtbar ansehen und sehr schätzen: netzpolitik.org. Google Chrome warnt mit einem rot durchgestrichenen https am Adresszeilenbeginn. Ein Klick bringt uns zu der Information: „Diese Website verwendet eine schwache Sicherheitskonfiguration (SHA-1-Signaturen). Daher ist Ihre Verbindung möglicherweise nicht geschützt.“

In Edge finden wir von all dem nichts: es wird ein graues Schlosssymbol angezeigt, die Seite gilt also als sicher. Warum sie das mit SHA-1 als Hashalgorithmus nicht ist, lesen Sie bitte in diesem Blogbeitrag nach.

Update (11.10.2016): In der Zwischenzeit hat unsere Beispielseite netzpolitik.org das Zertifikat ausgetauscht. Das freut uns sehr, da es der Sicherheit unbedingt dienlich ist! Allerdings können Sie nun die Warnung nicht mehr sehen. Wir haben jedoch einen Screenshot machen können, bevor das Zertifikat ausgetauscht wurde. Das folgende Bild zeigt, wie Google Chrome sehr deutlich warnt:

chrome

Fazit Edge: per Default nicht zu gebrauchen

Mit Edge wollte Microsoft von seinem verstaubten Browser-Image weg. In der Tat wirkt Edge auch leichter und aufgeräumter als es der Internet Explorer wohl je sein könnte. Aber bezüglich der Browsersicherheit müssen Sie extrem nachjustieren, wenn Sie sicher und vor allem so privat wie möglich surfen möchten.

Schalten Sie insbesondere Cortana ab: die Sprachsteuerung zeigt sich nicht nur Ihnen gegenüber sondern vor allem gegenüber Microsoft als äußerst gesprächig. Surfen Sie auf HTTPS-Websites, ist das graue bzw. grüne Schloss sicher ein guter Hinweis. Allerdings genügt die Anzeige keineswegs, um Ihnen mehr Informationen zu geben.

Sehr positiv ist die kommende Funktion „Application Guard“. Hier ist jedoch fraglich, ob nicht womöglich ausschließlich Enterprise-User in den Genuss kommen. Dass für die InPrivate-Nutzung Informationen verschwiegen werden, nämlich dass Ihr Internetprovider und besuchte Sites dennoch Informationen über Sie erhalten können, geht unserer Meinung nach gar nicht!

Insgesamt ist der Browser Microsoft Edge in seiner Sicherheit sehr verbesserungswürdig: die Sicherheitsdarstellungen sind mangelhaft, per Default zeigt sich Edge sehr austauschfreudig mit den Microsoft-Servern und Cortana wird am besten direkt in Windows 10 deaktiviert. Nutzen Sie Edge ausschließlich zum Einholen von unwichtigen Informationen, ist der Browser okay. Als Standardbrowser jedoch müsste er deutlich mehr Schutz bieten.

Mozilla Firefox als Open Source-Lösung

Die Mozilla Foundation zeigt sich verantwortlich für den Webbrowser Firefox. Schon vergangene Woche haben wir vorgestellt, wie der Firefox mit HTTPS-Seiten umgeht, heute beleuchten wir weitere Sicherheitsfeatures des Browsers.

Do-Not-Track bei Firefox

Mozilla hat seinem Browser Firefox eine Do-Not-Track-Funktion spendiert. Aktivieren Sie diese Funktion, teilt der Browser Websites, Anwendungen sowie Werbenetzwerken Ihren Wunsch mit, dass Sie nicht verfolgt werden möchten. Diese Funktion verhindert zwar beispielsweise keine Werbeanzeige, jedoch kann sie die Art der Werbung verändern, die Sie erhalten.

Dadurch, dass Sie angeben, sie möchten nicht getrackt werden, wird Werbung gar nicht mehr bzw. nicht mehr vollständig personalisiert. Sie sehen also eher allgemeine Werbung. Beachten Sie bitte, dass hier dasselbe gilt wie bei Microsoft Edge: Es ist Sache der Websitebetreiber, Ihren Wunsch, nicht getrackt zu werden, zu respektieren.

Standardmäßig ist die Funktion nicht aktiviert. Unter Windows finden Sie die Funktion in Extras – Einstellungen – Datenschutz. Zum Aktivieren der Option klicken Sie bitte auf „Websites mitteilen, meine Aktivitäten nicht zu verfolgen“. Die Spezialeinstellungen in „about:config“ erlauben einen erweiterten Trackingschutz, allerdings bleibt dies sehr erfahrenen Nutzern vorbehalten!

Datenschutz-Erweiterungen gegen JavaScript

JavaScript ist in Firefox standardmäßig aktiviert. Die Programmiersprache lässt sich in Websites integrieren, um interaktive Funktionen zu ermöglichen. Leider gehen damit auch diverse Sicherheitsprobleme einher. Firefox selbst erlaubt das Deaktivieren von JavaScript nicht.

Jedoch erlauben Ihnen die Datenschutz-Erweiterungen NoScript sowie Ghostery, JavaScript auf von Ihnen definierten Domains zu blockieren oder zuzulassen. Chrome und Opera lösen dies besser: Diese Browser erlauben das Deaktivieren von JavaScript ohne zusätzliche Add-ons.

Passwortverwaltung mit Masterpasswort

Wie jeder Browser erlaubt auch Firefox das Speichern von Passwörtern, die Sie im direkten Zugriff auf Ihre Online-Dienste automatisiert eintragen lassen können. Firefox löst das Verwalten von Passwörtern mit einem Masterpasswort. Das ist nicht nur bequem, sondern auch sicher. Denn merken Sie sich das Masterpasswort, kann niemand Ihre gespeicherten Anmeldedaten missbrauchen.

Wie Sie Ihr Masterpasswort festlegen, es entfernen oder ändern, erklärt Mozilla in den umfangreichen Support-Seiten.

Ein riesiges Manko nicht nur bei Firefox, sondern bei sämtlichen Browsern ist jedoch, dass Sie sich mit wenigen Klicks sämtliche Passwörter im Klartext ansehen können. Hier müssen die Browser-Entwickler unbedingt eine Lösung finden, die das Einsehen von Passwörtern in den Privatsphäre-Einstellungen verhindert.

Updates in Firefox

Firefox selbst aktualisiert sich automatisch, sobald ein Update zur Verfügung steht. Im Support-Bereich erklärt Mozilla dieses Vorgehen und stellt auch Lösungen für etwaige Probleme vor. Die Auto-Updates geschehen in aller Regel rasend schnell und problemlos. Oftmals ist es jedoch problematisch, zu erkennen, wie aktuell die installierten Erweiterungen sind.

Mit einem Plugin-Check hat Mozilla dafür eine Lösung bereitgestellt. Das Tool durchsucht Ihren Browser auf installierte Plugins und überprüft deren Aktualität. Ist ein Update notwendig, können Sie es gleich über diese Site ausführen; Sie werden direkt zum Entwickler und zur aktuellen Version weitergeleitet.

Führen Sie diesen Plugin-Check regelmäßig durch! Denn veraltete Plugins können zum Einfallstor für Angriffe durch Viren, Malware oder weitere Sicherheitsbedrohungen werden. Durch die Aktualisierungen gewährleisten Sie zudem, dass Ihr Browser die Plugins störungsfrei ausführen kann. Mozilla plant jedoch, Firefox für Sie die Plugins aktualisieren zu lassen.

„Vergessen“-Schaltfläche

Mithilfe einer „Vergessen“-Schaltfläche möchte Firefox die Browser-Sicherheit weiter erhöhen. Diese Schaltfläche soll Ihnen mehr Kontrolle über Ihre Privatsphäre spendieren. Sie können Ihre Chronik aus einem von Ihnen definierten Zeitfenster löschen, ohne weitere gespeicherte Informationen anzurühren.

Wie Sie die Funktion nutzen, erklärt Mozilla wieder in seinen Support-Seiten.

Anti-Phishing- & -Malware-Funktion in Firefox

Mozilla hat seinem Browser Firefox einen Betrugsversuch- und Schadprogrammschutz mitgegeben. Dieser Schutz prüft jede Website dahingehend, ob diese bereits in einer entsprechenden Liste mit Schadseiten, Betrugsversuchen oder unerwünschter Software enthalten ist. Alle 30 Minuten aktualisieren sich diese Listen automatisch, wenn Sie diese Schutzfunktion aktiviert haben.

Downloaden Sie eine Anwendung, so wird der Firefox-Browser überprüfen, ob die Download-Site womöglich bekannt dafür ist, Malware zu verteilen. Ist dem so, wird der Download blockiert. Firefox nutzt ansonsten Googles „Safe Browsing Service“, um Software auf ihre Sicherheit zu überprüfen.

Der Phishing- & Malware-Schutz ist bei Firefox bereits standardmäßig aktiviert. Wieder hat Mozilla einen ausführlichen Support-Beitrag zum Thema verfasst, der Ihnen alle offenen Fragen ausführlich beantworten sollte.

Im Zweifel: Observatory

Die Mozilla Foundation hatte für den internen Gebrauch einen Security-Check für Websites entwickelt. Das Tool ist nun unter dem Namen Observatory für die Öffentlichkeit zugänglich. Wenn Sie zweifeln, ob eine Site Ihre Daten wirklich gut schützt, ist es sinnvoll, einen solchen Security-Check durchzuführen.

Damit hat Mozilla das Sicherheitsrad sicher nicht neu erfunden; Qualys SSL Labs bietet ein ähnliches Tool. Für den Check sind beide Optionen empfehlenswert, wenngleich Qualys deutlich umfangreicher analysiert und aufzeigt.

Fazit Firefox: guter Browser mit geringen Defiziten

Firefox gefällt uns deutlich besser als Edge aus dem Hause Microsoft. Das liegt in erster Linie an der wesentlichen Tatsache, dass Edge per Default eine ziemlich unsichere Plaudertasche ist. Firefox ist mit den Standardeinstellungen schon recht gut zu gebrauchen, einige Anpassungen führen dann zum fast idealen Browser.

Bemängeln müssen wir, was wir bereits bei Edge kritisiert hatten: dass HTTPS mit veralteten, also unsicheren Parametern unzureichend dargestellt wird. So zeigt auch Firefox, dass bei der SHA-1 verwendenden Site netzpolitik.org alles in Ordnung sei (s. Update oben; das SHA-1-Zertifikat wurde nun ausgetauscht). Das täuscht den User, denn das veraltete SHA-1 ist nicht mehr sicher.

Die Security-Features, die Firefox bietet, sind umfangreich und sinnvoll. Ganz großartig finden wir die ausführlichen Support-Seiten, auf denen Mozilla in vielen verfügbaren Sprachen alles erklärt, was der Browser bietet. Davon dürfen sich andere Browser-Entwickler gerne etwas abschauen, so umfangreiche und sinnvolle Erklärungen sind selten.

Dass für JavaScript ein Plugin notwendig ist, muss hingenommen werden. Auch müssen Plugins noch von Hand auf Aktualität überprüft werden, das dürfte sich jedoch bald ändern. Wir freuen uns drauf, denn damit macht Firefox einen weiteren Schritt in Richtung sicherer Browser!

In der kommenden Woche schauen wir auf Chrome und Opera. Anschließend können Sie sich auf die Auswertung der Browser freuen und wir geben Ihnen hilfreiche Tipps zum sicheren Surfen. In der Zwischenzeit freuen wir uns über Ihre Kommentare: womit surfen Sie und warum ist es dieser Browser geworden?



0 Kommentar(e)

Schreibe einen Kommentar