Test

Wie sicher ist der Internet Explorer?

11.02.2009
Von 
Roger Grimes ist freier Redakteur unserer US-Schwesterpublikation CSO Online.

Datenschutz und Cookies

Das Microsoft-Produkt war früher schon gut für den Datenschutz und das Cookie-Management gerüstet. Standardmäßig sind direkte Cookies (First-Party-Cookies) zugelassen. Cookies von Dritten (Third-Party-Cookies) werden akzeptiert, wenn ihr Aussteller eine explizite Datenschutzrichtlinie vorweisen kann, was selten der Fall ist. In beiden Fällen schränkt der Browser jedoch die Weitergabe von persönlichen Informationen ein. Cookie-Richtlinien kann der Anwender für jede Sicherheitszone oder sogar für jede Site einzeln festlegen.

Neben der Cookie-Kontrolle soll die neue Funktion "Inprivate" Versuche unterbinden, persönliche Daten abzugreifen. Sobald der Browser feststellt, dass der Anwender von einer dritten Partei über zehn verschiedene Websites verfolgt wird, erhält der Nutzer die Möglichkeit, das Tracking zu blockieren. Mit "Inprivate Subscriptions" können Anwender Blocklisten aktualisieren, um berüchtigte Tracker abzuwehren.

Über einen Add-on-Manager verfügen nur die Browser Firefox und IE, wobei das Microsoft-Werkzeug den Konkurrenten abhängt. Wie bei Firefox kann der Nutzer Add-ons insgesamt aktivieren oder abschalten, hierzu genügt ein einziger Knopfdruck. Darüber hinaus ist der IE-Anwender in der Lage, Add-ons nur für eine einzelne Site zuzulassen. Die Entscheidung trifft der Surfer, wenn der das Add-on installiert, er kann die Konfiguration später noch ändern. Der Add-on-Verwalter informiert über installierte Erweiterungen und teilt mit, welche davon genutzt wurden und welche nicht.

In der Adressleiste erscheinen Domain-Namen hervorgehoben. Anwender sollen so reguläre Web-Adressen von Phishing-Sites leichter unterscheiden können.
In der Adressleiste erscheinen Domain-Namen hervorgehoben. Anwender sollen so reguläre Web-Adressen von Phishing-Sites leichter unterscheiden können.

Schon immer konnten IE-Anwender Active X Controls sperren beziehungsweise nur signierte Controls ablaufen lassen. Darüber hinaus ließ sich auch in Vorgängerversionen Java sowie Javascript für bestimmte Sicherheitszonen zulassen oder deaktivieren. Nun gestattet es der Hersteller, den Entwicklern von Active X Controls die Nutzung nur für bestimmte Websites zu erlauben. Mit dieser neuen Funktion "Sitelock ATL" soll es möglich sein, dass selbst dann, wenn ein Control eine Sicherheitslücke aufweist, diese nur über die Website des Erzeugers nutzbar ist und nicht anderen Angreifern. Genau dies war bisher aber der Fall bei Active X.

Ein kontrovers diskutiertes IE-Feature ist, Active X auch ohne Administratorprivilegien ablaufen zu lassen. Bisher waren diese weit reichenden Rechte für den Betrieb der Browser-Erweiterungen erforderlich. Microsoft will Programme fördern, die sich ohne Admin-Rechte installieren lassen, weil diese weniger Möglichkeiten erhalten, das darunter liegende Betriebssystem zu kompromittieren. Dieses Konzept ist zwar neu für Microsoft, für Firefox-Erweiterungen dagegen schon seit Jahren verfügbar. Gleiches gilt für andere Betriebssysteme wie etwa Linux oder BSD Unix.

Umstritten ist der Microsoft-Ansatz, weil viele Verwalter in Unternehmen Active X Controls, die Anwender mit normalen Benutzerrechten betreiben, als Sicherheitsrisiko sehen. Zumindest lässt sich dieses Feature abschalten.

Nur wenige Browser verfügen über eine Inhaltskontrolle, der IE zählt dazu. Ein Rating-System legt die Kategorien fest, wobei die Einstellungen per Passwort geschützt sind. Der Systemverwalter kann festlegen, dass beispielsweise jede Form von Nacktheit nicht erwünscht sein soll. Ausnahmen wie etwa künstlerische Darstellungen sowie Lehrmaterial lassen sich davon ausschließen.