ETH will Verfallsdatum für Browser

Forscher der ETH Zürich haben vorgeschlagen, eine Art Verfallsdatum für Web-Browser einzuführen, um die Sicherheit im Internet zu verbessern.

Weltweit surfen 1,4 Milliarden Menschen im Internet. Fast jeder zweite geht dabei hohe Risiken ein, denn lediglich 59,1 Prozent der Netznutzer verwenden die aktuellste Version ihres Browsers, wie eine am Dienstag veröffentlichte Studie der Eidgenössischen Technischen Hochschule [ETH] Zürich in Zusammenarbeit mit Google und IBM Internet Security Systems zeigt. Die Forscher schlugen deshalb eine Art Verfallsdatum für Browser vor.

Mit Hilfe der täglichen Auswertung der Webserver-Statistiken von Google von Jänner 2007 bis Juni 2008 haben die Wissenschaftler das Update-Verhalten von Internet-Usern untersucht und die Anzahl der potenziell gefährdeten Browser bestimmt. Anfang Juni surften nur 59,1 mit der aktuellsten Browser-Version, hieß es am Dienstag in einer Aussendung.

Firefox-User sicherheitsbewusster

Die Benutzer des Mozilla Firefox seien dabei "deutlich umsichtiger" als die Nutzer des Internet Explorer von Microsoft. 92,2 Prozent der Firefox-User verwendeten im Juni die aktuellste Version 2, während nur 52,5 Prozent mit dem Internet Explorer 7 surften.

Die Untersuchung zeigt außerdem, dass auch Sicherheitspatches vernachlässigt werden. In den vergangenen 18 Monaten verwendeten maximal 83,3 Prozent der Firefox-User die neusten Browser-Version mit allen verfügbaren Patches. Bei anderen Browsern fiel die Zahl sogar noch schlechter aus.

Weltweit verwenden 45,2 Prozent bzw. 637 Millionen nicht den neuesten und sichersten Browser. Das sei aber nur die Spitze des Eisbergs, betonte Stefan Frei von der Communication Systems Group am Institut für Informatik und Kommunikationsnetze [TIK] der ETH Zürich. Hinzu kämen die Schwachstellen in den unzähligen Plug-ins, durch die auch aktuelle Browser-Versionen gehackt werden können.

• ETHZ: Communication Systems Group

• Techzoom: Sicherheitsstudie

Lebensmittel und Software

Viele Benutzer seien heute einfach überfordert und wüssten nicht, welche Browser-Version sie benutzen, sagte Frei. Dem Nutzer müsse deshalb auf einfache Weise klargemacht werden, dass die Verwendung von veralteter Software im Internet mit erheblichen Risiken verbunden ist.

"Bei einem abgelaufenen Sandwich kann das Brot durchaus noch genießbar sein, aber um Schaden zu verursachen, reicht eine verdorbene Zutat aus."

Die Autoren forderten deshalb die Einführung von einer Art Verfallsdatum für kritische Software-Komponenten. Diese Deadline müsste deutlich sichtbar erscheinen. An gleicher Stelle sollte auch der Hinweis auf verfügbare Updates zu finden sein.

Ein Schwachpunkt in SSL

Nicht in der Studie berücksichtigt wurde ein generelles Problem der Sicherheitsstruktur im Web, das auch die aktuellsten und stets gepatchten Browser betrifft.

In der Folge der Entdeckung, dass alle Schlüssel, die zwischen September 2006 und Mai 2008 mit der in der Linux-Distribution Debian eingesetzten Version des Kryptographiesystems OpenSSL erzeugt wurden, aufgrund eines Fehlers im Programm sehr einfach zu knacken und daher wirkungslos sind, hat CCC-Mitglied und Sicherheitsexperte Felix von Leitner auf ein Problem hingewiesen, das alle SSL-Anbieter und -Nutzer betrifft.

Und zwar funktioniert das "Zurückrufen" einmal publizierter SSL-Zertifikate über die derzeit existierenden Mechanismen nicht richtig. SSL hat also ein grundsätzliches Sicherheitsproblem, bis ein System existiert, das den unmittelbaren Rückruf von fehlerhaften Zertifikaten erlaubt.

• Felix von Leitner: Probleme mit Zertifikaten

(APA | futurezone)