Browsersicherheit ist relativ, zumindest nach Ansicht des US-amerikanischen IT-Sicherheitsexperten Brian Krebs, der in seinem Blog einen neuen Maßstab für die Sicherheit eines Internetbrowsers vorstellt. Demnach ist nicht die Anzahl der Sicherheitslücken entscheidend, sondern nur diejenigen Schwachstellen, die für aktive Angriffe ausgenutzt werden.
Erst vor wenigen Tagen gab das unabhängige Forschungs- und Testinstitut NSS Labs die Ergebnisse einer Studie zur Browsersicherheit bekannt, die dem Internet Explorer in der Version 9 unter anderem einen besseren Schutz vor Malware bescheinigten als den Konkurrenz-Browsern Google Chrome, Mozilla Firefox und dem Apple-Browser Safari. Die Sicherheit des Internet Explorers bleibt jedoch umstritten.
Wenige Sicherheitslücken – hohe Browsersicherheit?
In seinem Blog KrebsOnSecurity.com greift der Security-Experte Brian Krebs die jüngste, Anfang September bekannt gewordene Sicherheitslücke des Internet Explorers auf, die es Angreifern ermöglicht hatte, auf einem betroffenen Rechner beliebigen Code auszuführen. Die Empfehlung, zumindest solange einen anderen Internetbrowser zu verwenden, bis Microsoft ein entsprechendes Patch zur Verfügung stellt, wurde mit dem Verweis auf die Sicherheitsprobleme der Konkurrenzbrowser in Frage gestellt – eine Argumentation, die Krebs scharf kritisiert.
Die aktiv ausgenutzten Schwachstellen sind entscheidend
Bewertet man die Sicherheit eines Browsers anhand der Anzahl der im Jahr 2011 entdeckten Sicherheitslücken, liegt der Microsoft-Browser zusammen mit Safari vorn. Nur 45 Sicherheitslücken wurden im Laufe des Jahres bekannt – vergleichsweise wenig im Vergleich zu Mozilla Firefox mit 97 Schwachstellen und zum Google-Browser Chrome, der 275 Sicherheitslücken zu verzeichnen hatte. Wird diese Statistik jedoch nach Zero-Day-Exploits ausgewertet, also nach denjenigen Schwachstellen, die tatsächlich für Angriffe ausgenutzt worden sind, zeigt sich ein anderes Bild. Während es zwischen Anfang 2011 und September 2012 für Google-Chrome und Mozilla Firefox-Nutzer keinen einzigen Tag gab, an dem ihr Browser aktiv ausgenutzten Schwachstellen ausgesetzt war, war dies für Nutzer des Internet Explorer an gleich 89 Tagen der Fall. Eine Beobachtung, die Krebs zur Aussage veranlasst, nur aktiv ausgenutzte Sicherheitslücken für die Bewertung der Sicherheit eines Browsers zu berücksichtigen und nicht die Anzahl aller entdeckten Schwachstellen.
