Mit den Daten verschiedener Sicherheitsdienstleister haben die Unternehmensberater der Münchner Experton-Group die gängigsten Browser verglichen - und nach dem Programm mit den meisten Sicherheitslücken gesucht. Mit weitem Abstand führt Firefox. Er kam auf 272 Schwachstellen, die zwischen Juni 2009 und Mai 2011 entdeckt wurden, gefolgt vom Internet Explorer 6 mit 191 Sicherheitslücken.
Firefox und Internet Explorer 6 sind die derzeit meistverwendeten Standard-Browser in deutschen Unternehmen, ergab eine Experton-Umfrage unter Entscheidern in 150 Firmen mit mehr als 500 Mitarbeitern. Der mittlerweile ergraute, 10 Jahre alte IE6 ist immer noch bei 36 Prozent der Firmen im Einsatz, bei jeder vierten Firma ist es Firefox. Daraus folgen die Autoren Axel Oppermann und Frank Heuer, "dass über die Hälfte der deutschen Unternehmen durch den Einsatz der von ihnen verwendeten Browser große Sicherheitsrisiken eingehen."
Ein wenig schief ist die Browser-Bewertung der Experton-Experten jedoch, wenn sie bei Firefox die Lücken der verschiedenen Generationen zusammenzählen - beim Internet Explorer aber jede Version einzeln behandeln. Die gezählten 272 Schwachstellen von Firefox reichen bei Berücksichtigung der insgesamt 373 Schwachstellen von Internet Explorer 6 bis 8 nur zum ebenfalls unrühmlichen zweiten Platz.
Foto: Experton Group
Wenig verbreitet ist Safari for Windows, der mit 42 Schwachstellen im Experton-Vergleich der sicherste Browser ist. Die besten Microsoft-Browser sind IE8 mit 90 und IE7 mit 92 entdeckten Lecks. Google Chrome würden die Berater ebenso wenig empfehlen wie Firefox und IE6, denn dort wurden 137 Lecks entdeckt. Der aktuelle Microsoft-Browser Internet Explorer 9 taucht allerdings gar nicht in der Statistik auf, weil es bis zum Juni 2011 erst ein Sicherheitsupdate gab.
Auswirkung der Browser-Schwachstellen
Augen auf bei der Browser-Wahl, ist die Kernaussage der Untersuchung. Er wird zusehendst wichtiger, immer stärker löst der Browser Client-Applicationen ab. "Die Software ist inzwischen Grundlage für viele geschäftskritische Anwendungen und sollte daher mit dem gleichen Bedacht behandelt werden wie andere Applikationen", betonen die Autoren.
Foto: Secunia
Die Sicherheit der gesamten IT-Infrastruktur eines Unternehmens wird deshalb maßgeblich durch den Browser bestimmt, weil veraltete Versionen oder wenig gepflegte Systeme ein großes Einfallstor für Viren und Schadsoftware sind.
Zahlen des dänischen Dienstleisters Secunia, der sich um Vulnerability-Management kümmert, zeigen die wichtigsten Auswirkungen von Schwachstellen - untersucht für das noch immer weit verbreitete Betriebssystem Windows XP. Am häufigsten, mit 76 Prozent, führen die Lücken zu Systemzugriffen. Weit dahinter, mit 32 Prozent wird das Offenlegen sensibler Daten genannt. Denial of Service (DoS) taucht mit 13 Prozent in der Liste auf, Datenmanipulation mit 12 Prozent. Im Secunia Halbjahresbericht 2011 landen Internet Explorer und Firefox unter den beliebtesten Programmen in Unternehmen. Ergebnis: die beiden Browser haben in jedem Jahr des Beobachtungszeitraums mit hoch kritischen Lücken zu kämpfen.
Allerdings sollte diese Strategie nicht nur die technischen Aspekte berücksichtigen, rät Experton - sondern auch den Umgang der Mitarbeiter mit den Surf-Programmen. Sie stellen fest, dass bei 44 Prozent der Unternehmen mehr als ein Browser im Einsatz ist. Dadurch vergrößert sich das Risiko, denn die Zahl der Lecks addiert sich. "Außerdem wird das Patchen von Schwachstellen erschwert."
Unbekümmerter Umgang mit dem Browser
In einer weiteren Studie "Browser Matters: Die Bedeutung des Browsers in Unternehmen" hat Experton herausgefunden, dass nur 19 Prozent der Unternehmen mit mehr als 500 Beschäftigten eine "zentrale Browser-Strategie" formuliert haben. Zu einer solchen Strategie gehören Experton zufolge "alle Aktivitäten im Rahmen der Auswahl und des Einsatzes von (unterschiedlichen) Browsern im Unternehmen". Dazu zählen Themen wie Tests, Definition der Sicherheitsanforderungen, Deployment und Management sowie Aktualisierungszyklen.
Auf der anderen Seite, gesteht Experton ein, haben sich immerhin knapp 30 Prozent durchaus bereits "aktiv" mit der Bedeutung des Browsers für das eigene Unternehmen auseinandergesetzt. Allerdings legten weder IT-Leitungen, IT-Management oder Administration ein besonderes Augenmerk auf dieses Thema.
"Diese Zurückhaltung bei der Beurteilung der strategischen Bedeutung des Themas ist durchaus kritisch", bewertet Experton dieses Ergebnis. Schließlich habe sich die Bedeutung des Browsers in den vergangenen drei bis fünf Jahren wesentlich verändert. "Browser haben sich in vielen Unternehmen als Frontend für zahlreiche Business-Anwendungen etabliert", so Axel Oppermann von Experton.
Browser-Strategie zwingend
Nicht nur in der Abwehr negativer Folgen ist eine Browser-Strategie sinnvoll, meint Experton. Die Analysen hätten vielmehr ergeben, dass dem Browser als "Interaktions- und Präsentationsmedium" für Web- und Cloud-basierte Dienste eine große Bedeutung zukomme. Leistungsfähigkeit, Sicherheit und Benutzerfreundlichkeit dieser Services würden "maßgeblich durch das Zusammenspiel von Anwendung und Browser" bestimmt.
So nutzen Intranet, Portallösungen, CRM- oder ERP-Systeme den Browser als Mittler zwischen Mensch und Maschine. "Nur wenn eine umfängliche Kompatibilität gewährleistet ist, lässt sich die Produktivität effektiv steigern." Gleiches gelte für die Zufriedenheit der Anwender mit Zugangsprogrammen zu modernen Enterprise-Technologien.
Um alle strategischen Fragen rund um Internet-Zugangsprogramme zufriedenstellend beantworten zu können, empfiehlt Experton Unternehmen mit mehr als 25 PC-Arbeitsplätzen, sich "zwingend" mit dem Thema zu beschäftigen. "Der Einsatz von Web-Anwendungen oder Cloud-Lösungen bedingt einen modernen Browser."
Unternehmen, die eine Migration zu Windows 7 planen, sollten gleichzeitig den Internet Explorer 8 oder vergleichbare Browser-Generationen anderer Programme testen. Firmen, die noch mit dem IE 6 im Internet surfen, sollten dringend einen Umstieg planen: "Der Einsatz des IE6 erfüllt weder die aktuellen Anforderungen der Anwender noch den Bedarf an Sicherheit und Performance."
Wer statt auf Microsoft auf den quelloffenen Firefox-Browser setzt, muss sich "zwingend mit den Themen Deployment und Rechte-Management beschäftigen", fordert Experton: "Eine zu lockere Handhabung der Anwenderrechte birgt Sicherheitsrisiken." (mec)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO.