Sicherheit: Browser versagen bei der Abwehr von Schadsoftware
Das Fraunhofer SIT hat untersucht, wie gut der in Browsern enthaltene Schadsoftware-Schutz funktioniert. Das Ergebnis ist ernüchternd: Nicht ein einziger Browser erkennt auch nur die Hälfte der vorgesetzten Schadsoftware - einige Browser lassen über 90 Prozent der Schadsoftware durch. In der Studie traten im Wesentlichen die beiden Sicherheitsfunktionen Smartscreen-Filter und Safe-Browsing gegeneinander an. Microsofts Smartscreen-Filter erreicht dabei durchweg wesentlich bessere Ergebnisse als Googles Safe-Browsing.
Der Smartscreen-Filter kommt im Internet Explorer 8 und im Internet Explorer 9 zum Einsatz. Der Internet Explorer 8 erreicht eine Erkennungsrate von 34,1 Prozent, während der Internet Explorer 9 mit zusätzlicher inhaltsbasierter Erkennung auf 39,1 Prozent kommt. Der Internet Explorer 9 war dabei der einzige Browser, der eine inhaltsbasierte Erkennung bietet. Ohne diese sinkt die Erkennungsleistung des Internet Explorer 9 auf 34,9 Prozent.
Browser mussten 261 Schadsoftware-URLs erkennen
Die übrigen getesteten Browser nutzen Googles Safe-Browsing-Funktion. Dabei schneidet Googles Chrome-Browser immer besser ab als Apples Safari und Mozillas Firefox. Chrome kam auf eine Erkennungsrate von 11,1 Prozent, Safari erreichte 9,2 Prozent und Firefox kam auf 8,1 Prozent. Die Studie fand zwischen Anfang November und Anfang Dezember 2011 statt. Die Forscher verwendeten die zu diesem Zeitpunkt aktuellen Browserversionen in der 32-Bit-Version auf einem Windows-7-System: Das waren Chrome 14, Safari 5 und Firefox 6.
Allen Browsern wurden 261 URLs vorgesetzt, über die Schadsoftware verbreitet wird. Wurde eine infizierte Seite nicht gleich erkannt, wurde sie dem Browser nach wenigen Stunden erneut vorgelegt. So konnte auch die Lernfähigkeit der genutzten Schadsoftwarefilter beurteilt werden. Bis zu sieben Tage wurde eine URL mit Schadsoftware vorgelegt, um zu prüfen, wie lange es dauert, bis der Browser die Schadsoftware-URL erkennt.
Alle getesteten Browser verwenden eine adressbasierte Reputation, es werden also Blacklists mit Schadsoftware-URLs gepflegt. Wenn der Browser auf eine URL aus dieser Blacklist stößt, warnt der Browser den Nutzer davor und lädt die Seite erst einmal nicht. Damit soll verhindert werden, dass die Schadsoftware auf den Rechner gelangt. Dieser Schutz kann natürlich nur funktionieren, wenn die Blacklist immer aktuell ist und neue Schadsoftware-URLs zügig in die Blacklist aufgenommen werden.
Chrome 17 kam zu spät für den Test
Nur der Internet Explorer 9 ist darüber hinaus in der Lage, auch heruntergeladene Dateien auf Schadfunktionen zu prüfen. Auch hier werden Blacklisten verwendet, funktional kann also kein Virenscanner ersetzt werden. Wenn der Browser eine Datei herunterlädt, die in der Blacklist verzeichnet ist, dann merkt er das und blockiert oder löscht die Datei. Für den Test wurden dem Browser 369 verschiedene Schadapplikationen vorgesetzt. Davon erkannte er allerdings nur 14,9 Prozent.
Neuere Browserversionen könnten hier besser abschneiden, allerdings war es im Rahmen der Studie nicht möglich, das Testszenario ohne weiteres an die neuen Versionen anzupassen. Für den Test wurden die Browser immer in der Standardkonfiguration eingesetzt. Es wurden keine Erweiterungen installiert, die unter Umständen zusätzliche Sicherheitsfunktionen bieten. Mit Chrome 17 erhielt Googles Browser im Februar 2012 ein inhaltsbasiertes Reputationssystem, so dass dieser deutlich besser als Chrome 14 abschneiden könnte, räumen die Studienmacher ein. Auch während des Tests erschienen neue Versionen einiger Browser, allerdings ließen sich diese nicht ohne weiteres in den Test aufnehmen.
Internet Explorer erkennt Schadsoftware-URLs früher als die Konkurrenz
Der Internet Explorer mit Smartscreen-Filter erkannte Schadsoftware-URLs immer früher als die anderen Browser mit Safe-Browsing. Denn die Blacklists für den Internet Explorer wurden schneller aktualisiert als bei der Safe-Browsing-Technik. Der Internet Explorer blockierte ungefähr eine von sechs bis sieben Schadsoftware-URLs. Auf nur eine von ungefähr neun bis zwölf blockierten Schadsoftware-URLs kamen die Safe-Browsing-Browser.
"Im Beobachtungszeitraum war der Schutz gegen Schadsoftware beim Internet Explorer 9 am besten" , sagt Markus Schneider von Fraunhofer SIT und dem Darmstädter Forschungszentrum CASED. "Der Test beschreibt jedoch nur das beobachtete Verhalten der Browser hinsichtlich Schadsoftware im Testzeitraum - in einem halben Jahr kann das Ergebnis ganz anders aussehen."
Die Studie wurde mit finanzieller Unterstützung von Microsoft und dem Center for Advanced Security Research Darmstadt ( CASED(öffnet im neuen Fenster) ) erstellt. Die Studienmacher versichern, dass Microsoft keinerlei Einfluss auf Methodik und Testkriterien hatte. Es gab zur Auswahl der Methodik keine Vorgaben durch Microsoft und das Fraunhofer SIT hat die Kriterien zur Analyse und Auswertung selbst entwickelt. Zudem wurde keiner der betroffenen Browserhersteller vor oder während der Durchführung dieser Arbeiten über die verwendeten Kriterien in Kenntnis gesetzt. Microsoft hat die Ergebnisse erst nach Abschluss der Studie erhalten.
Forscher sehen Verbesserungsbedarf
Das Fraunhofer SIT betont, dass mit der Studie keine Aussage über die Gesamtsicherheit der Browser getroffen werden kann. Allgemein sehen die Forscher viel Verbesserungsbedarf bei den in den Browsern enthaltenen Schadsoftware-Abwehrfunktionen.