Tech

Hacker erklärt, welcher Browser der sicherste ist

Firefox, Chrome, Safari und Edge – Milliarden Menschen weltweit nutzen einen dieser Browser. Aber welcher schützt am besten vor Angreifern und Malware? Ein Sicherheitsexperte klärt auf.

von Nico Schmidt
19 November 2018, 8:28am

Bild: Shutterstock | Dexailo ||Firefox Logo | Mozilla Foundation | CC BY 3.0 ||  Bearbeitung: Motherboard

Ist Firefox wirklich sicherer als der Internet Explorer? Sollte man lieber mit Chrome oder mit Safari surfen? Und für wen lohnt sich der anonyme Tor-Browser? Bei der Wahl des Browsers und bei den Browser-Einstellungen können Nutzer einiges falsch machen: In Deutschland werden jedes Jahr Zehntausende Computer überfallen, wie aus dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik hervorgeht. Häufig schleusen Angreifer über den Browser Schadsoftware auf die Geräte ihrer Opfer. Sie erbeuten meist unbemerkt Kreditkartennummern, Passwörter, Bank-PINs.

Der von Google entwickelte Browser Chrome ist weltweit der Marktführer. Firefox von Mozilla hat den Ruf, besonders Privatsphäre-freundlich zu sein. Nutzer von Apple-Produkten sind vermutlich viel mit Safari unterwegs. Und dann gibt es da noch Edge, der vorinstallierte Browser auf Windows-Rechnern.

Fragt sich nur: Hat irgendein Browser die Nase vorn, wenn es um Sicherheit geht? Die Antwort kennt Andreas Sperber. Seit Jahren kümmert er sich darum, dass Rechner sicherer vor Angriffen werden. Angefangen hat er als White-Hat-Hacker, jemand, der aus ethischen Gründen Sicherheitslücken testet, um darüber aufzuklären. Heute berät der 35-Jährige Kunden darin, wie sie ihren Rechner besser schützen können. Im Gespräch mit Motherboard erklärt er, wie man seinen Browser auf Sicherheit trimmt und worin sich die beliebtesten Browser unterscheiden.

Motherboard: "Sicher surfen", was heißt das eigentlich?
Andreas Sperber: Das heißt, ich muss mich, wenn ich online bin, nicht darum sorgen, dass jemand meinen Rechner hackt. Das ist nicht selbstverständlich. Jemand kann ziemlich schnell Zugriff auf meinen Rechner erhalten. Es genügt, wenn eine bösartige oder gehackte Website unbemerkt Schadsoftware auf deinen Rechner lädt. Damit kann ein Angreifer dann die Daten deines Rechners auslesen oder verändern, zum Beispiel sie verschlüsseln oder Kennwörter abgreifen.

Wenn ich das verhindern will, welchen Browser sollte ich nutzen?
Ich empfehle meist Mozillas Firefox oder den Google Chrome. Beide Browser verwenden eine Sandboxing-Technologie. Das heißt, sie werden nur in einem bestimmten Bereich des Betriebssystems ausgeführt, der von den restlichen Bereichen abgeschottet ist. Das soll verhindern, dass Angreifer über den Browser Schaden anrichten können. Außerdem kann ich in beiden Browsern Plugins installieren, die mich besser vor Angriffen schützen.

Welches Plugin würdest du für Browser-Sicherheit am ehesten empfehlen?
Ich nutze das Plugin NoScript. Das verhindert zum Beispiel sogenannte Cross-Site-Scripting-Attacken, bei denen ein schädlicher Code automatisch beim Aufruf einer Website ausgeführt wird. Das hat aber auch Nachteile. Fast jede Seite verwendet heute Script-Code. Ohne Script-Code ist auf vielen beliebten Websites nichts zu sehen. Nutzer müssen also händisch Ausnahmen festlegen, das kostet Zeit. Außerdem ist NoScript eher etwas für erfahrene Nutzer.

Gibt es auch wichtige Plugins für weniger erfahrene Nutzer? Allein für Chrome und Firefox werden jede Menge Plugins angeboten.
Generell gilt: Nicht jedes Plugin ist gut. Auch Plugins können Schadsoftware sein. Dahinter muss nicht einmal eine böse Absicht stehen. Wenn Anbieter ein Plugin nicht aktualisieren, kann es mich angreifbar machen. Ich sollte vorher also prüfen, wer das Plugin entwickelt hat und ob ich ihm vertrauen kann. Dabei hilft der gesunde Menschenverstand. Jeder Nutzer sollte sich fragen, ob er die Browsererweiterungen wirklich braucht und ob er deren Quelle vertraut. Grundsätzlich gilt: Je weniger Add-ons desto weniger Angriffsmöglichkeiten.

Man muss davon ausgehen, dass Software nicht fehlerfrei ist

Es reicht, wenige sehr effektive Plugins zu nutzen. Neben NoScript verwende ich das Add-On uBlock Origin. Damit werden auf Websites Tracker und Werbung blockiert. Auch über Werbung kann Schadsoftware ausgeführt werden, nämlich wenn Hacker ein Werbenetzwerk gekapert haben. Vertrauenswürdige Websites können Nutzer mit einem Klick auf den blauen Power-Button des Plugins auf eine Whitelist setzen. Das heißt, dass Werbeanzeigen dieser Website künftig nicht durch das Plugin blockiert werden. Für viele Websites sind solche Anzeigen nämlich die wichtigste Methode, um Geld zu verdienen und die Inhalte zu finanzieren.

Screenshot: Links sieht man einen Teil der Vice-Website, rechts den Blauen Button von uBlock Origin, mit dem ihr die Seite zur Whitelist hinzufügen könnt.
Ihr vertraut einer Website und wollt den Betreibern nicht die Finanzierung versauen? Dann drückt bei uBlock Origin unbedingt auf den blauen Button | Bild: Screenshot | Chrome

Gibt es Browser von denen ich die Finger lassen sollte?
Ich würde niemandem raten, den Internet Explorer zu verwenden. Denn der unterstützt viele Sicherheitsmaßnahmen nicht. Angreifer könnten beim Internet Explorer zahlreiche Schwachstellen ausnutzen, um fremde Skripte auszuführen und Schadsoftware einzuschleusen. Der Browser wird inzwischen von Microsoft nicht mehr weiterentwickelt. Der Nachfolger Edge ist in vieler Hinsicht besser. Er nutzt auch eine Sandboxing-Technologie und erschwert es Angreifern so, Zugriff auf meinen Rechner zu erhalten. Auch lässt er sich mit Plugins nachrüsten.

Warum verwendest du dann nicht den Edge-Browser?
Ein entscheidender Nachteil ist, wie selten die Sicherheitseinstellungen von Edge aktualisiert werden. Denn Microsoft veröffentlicht nur alle zwei bis vier Wochen Updates. Bei Chrome und Firefox liegen zwischen den Aktualisierungen nur wenige Tage.

Viele Apple-Nutzer surfen mit Safari. Ist das OK, oder sollte man lieber auf Firefox oder Chrome umsteigen?
Safari als voreingestellter Browser der Apple-Rechner hat viele gute Eigenschaften: Er verwendet wie Firefox und Chrome eine Sandboxing-Technologie. Auch Einstellungen zu Do Not Track sind ähnlich. Doch der Code des Browsers ist im Gegensatz zu den Konkurrenten Chrome und Firefox closed source. Das bedeutet, unabhängige Sicherheitsexperten können die Sicherheit des Browsers nicht mit einer Analyse des Codes überprüfen. Hier würde ich mir mehr Offenheit wünschen. Das gilt übrigens auch für Edge.

Screenshot: Eine Tabelle zeigt, in welchen Kategorien die Browser punkten können.
Welcher Browser punktet wo? Da bei Chrome nur ein Teil des Programms open source ist, gibt es oben rechts nur einen grauen Smiley | Bild: Motherboard

Was ist mit kleineren Browsern wie zum Beispiel Opera – sollte ich mir das als interessierter Nutzer näher ansehen?
Ja, diese Browser können mitunter Sinn machen. Der Firefox-Browser zieht zum Beispiel viel Arbeitsspeicher. Da hilft Opera, der weit weniger Rechenleistung benötigt. Auch bietet er ein integriertes VPN, mit dem die Privatsphäre geschützt werden kann. Diese kleinen Vorteile haben meist jedoch wenig mit Sicherheit zu tun. Hier gilt wie bei den anderen Browsern häufig auch: Entscheidend ist das Verhalten des Nutzers. Wer sich ungeschickt verhält, macht auch einen sicheren Browser angreifbar.

Welche zwei Sicherheitseinstellungen sollte jeder Nutzer sofort ändern?
Unbedingt sollte man die Plugins installieren, die ich vorhin erwähnt habe: NoScript und uBlock Origin. Ebenso sind regelmäßige Updates das A und O. Zusätzlich sollte man gefährliche und betrügerische Inhalte blockieren. Dafür lohnt sich ein Blick in die Einstellungen.


Auch bei Motherboard: Waffen aus dem Onlineshop


Als besonders sicher gilt der Tor-Browser, mit dem Nutzer auch Seiten im Darknet abrufen können. Ist der denn überhaupt alltagstauglich?
Für Nutzer, die viel Wert auf Anonymität legen, macht der Tor-Browser Sinn. Dazu gehören Politikerinnen, Aktivisten, Rechtsanwältinnen oder Journalisten. Tor verschleiert, woher eine Anfrage stammt, weil der Browser jede Information durch ein Netzwerk aus mehreren Servern schickt, die sich untereinander nicht alle kennen. Dadurch kann es zum Beispiel nicht auf meine IP-Adresse zurückgeführt werden, wenn ich eine Website öffne. Der Browser verhindert zudem, dass Skripte ausgeführt werden und er verbietet es Drittanbietern, mich zu verfolgen. Außerdem ist das Browserfenster nicht maximiert, wenn ich Tor öffne. Denn auch die Größe meines Bildschirms können zum Beispiel Seitenbetreiber einsehen und dadurch enger eingrenzen, wer ich bin. Der Nachteil: Weil Tor alles über ein Netzwerk aus Servern schickt, ist der Browser spürbar langsamer.

Wenn ich meinen Browser maximal sicher eingestellt habe, kann ich jede Website ansurfen?
Man muss davon ausgehen, dass Software nicht fehlerfrei ist. So könnte es sein, dass ein Angreifer eine bislang unbekannte Schwachstelle in einem Browser entdeckt. Dagegen schützt uns auch kein Plugin. Wenn ich aber meine Sicherheitsmaßnahmen verbessert habe, würde ich einfach dem Browser vertrauen, dubiose Websites meiden und mich normal im Internet bewegen.

Folgt Nico auf Twitter und Motherboard auf Facebook, Instagram, Snapchat und Twitter