Ein Browser kommuniziert mit Servern, anderen Computern und Systemen, er empfängt und verschickt Daten. Er kann daher auch für den eigenen Computer schädliche Daten empfangen. Auf welchen Wegen das geschieht, wollen wir Ihnen in diesem Kapitel darstellen.

Sicherheitslücken

Die Hersteller von Browsern versuchen zwar ihre Programme so sicher wie möglich zu entwickeln, doch das gelingt niemals zu 100 Prozent. Browser können immer Sicherheitslücken enthalten, die von Angreifern ausgenutzt werden können. Um diese aufzuspüren, gibt es für die Angreifer zwei Strategien: Entweder warten sie darauf, dass der Hersteller ein Update (auch "Patch" genannt, dt. "Flicken") veröffentlicht, das die Sicherheitslücke schließt. Dann wissen die Angreifer, welche Schwachstelle im Browser sie ausnutzen können. Diese Vorgehensweise ist überlicherweise erfolgreich, denn viele Anwender sind nachlässig mit der Installation von Browser-Updates.

Oder die Angreifer suchen selbst nach Sicherheitslücken, über die sie in ein Computer-System eindringen können. Sicherheitslücken können zum Beispiel für sogenannte Drive-by-Downloads ausgenutzt werden. Dabei verstecken Angreifer schädliche Programme auf Webseiten. Durch eine Sicherheitslücke lädt sich das Programm beim Besuch der Seite selbst auf den Rechner des Anwenders. Häufig wird derartige Schadsoftware verwendet, um Daten auszuspionieren oder Schaden auf dem Zielrechner zu verursachen.

Schadsoftware und gefährliche Links

Die wohl bekannteste Gefahr im Internet sind Viren, Trojaner und Spyware. Es existieren zahllose Möglichkeiten für Betrüger, diese Programme auf die Rechner potentieller Opfer zu laden. Ein unüberlegt eingesteckter USB-Stick oder der vermeintliche Gratisdownload eines sonst kostenpflichtigen Inhalts kann sich im Nachgang als Täuschung entpuppen. Häufige Überträger solcher Software sind Mails. Die Opfer erhalten eine unverfängliche E-Mail, beispielsweise mit einer gefälschten Lotteriebenachrichtigung, klicken den zugehörigen Link zum Gewinn an und starten auf diese Weise den Download. Zu allem Überfluss gibt es Schadprogramme, die sich selbst installieren können.

Der Download eines Virus oder Trojaners kann dabei weitreichende Folgen haben. Bestenfalls erhalten die Betroffenen unliebsame Werbung, schlimmstenfalls entstehen hohe finanzielle oder emotionale Schäden. Das Spektrum der Straftaten infolge einer Malware-Infektion ist äußerst groß – Ausspähung, Mobbing, Schaden an IT, Online-Diebstahl, erpresserische Verschlüsselung von Daten, Betrug, Datenverlust, Identitätsdiebstahl oder Verleumdung.

Man sieht: Kriminelle investieren viel Mühe in die Entwicklung und Verbreitung von Schadsoftware. So entstanden im Jahr 2018 mehr als 390.000 Schadprogramm-Varianten am Tag. Insgesamt wird die Zahl der kursierenden Malware auf über 800 Mio. Programme beziffert.

Werbebanner & Pop-Ups

Werbung am Bildschirmrand ist ein vielfach eingesetztes Mittel zur Finanzierung von Web-Inhalten. Zugleich können Kriminelle solche Werbeplätze kapern und Schadsoftware dahinter verbergen. Sobald ein User die Seite lädt, landet auch die maliziöse Software auf seinem Rechner. Der Computer wird also unbemerkt infiziert. Schädliche Werbebanner beschränken sich dabei nicht auf unseriös erscheinende oder unbekannte Webseiten. Oft werden Banner populärer Seiten missbraucht, um die Opferzahlen zu erhöhen. Die Seitenbetreiber haben in solchen Fällen nur wenig Handhabe, da die Werbeplätze von externen Anbietern vergeben werden.

Pop-Ups sind Fenster, die im Browser auftauchen, um Ihnen Warnungen, Werbung oder Zusatzinformationen anzuzeigen. Diese Pop-Ups können jedoch auch dazu verwendet werden, Ihnen schadhafte Downloads oder Webseiten anzubieten. Klicken Sie dann auf den Link, kann dies zu einer Infektion Ihres Systems führen. Werden Sie z.B. in einem solchen Fenster zu einer Aktualisierung eines Ihrer Programme aufgefordert, obwohl Sie automatische Updates aktiviert haben, deutet dies auf einen schädlichen Download hin. Pop-Ups können Sie durch Ihren Browser meist vollständig blockieren lassen.

Aktive Inhalte

Java ist eine objektorientierte Programmiersprache, die die Möglichkeit bietet, Programme plattformübergreifend direkt im Browser einzubinden und auszuführen. Zugleich ist Java ein beliebtes Ziel für Angriffe und Missbrauch. Das BSI empfiehlt das Ausführen von Java-Anwendungen im Browser zu deaktivieren. Mehr hierzu erfahren Sie in dem Text Sicherheit von Java.

JavaScript ist eine an Java angelehnte Skriptsprache. Sie eignet sich beispielsweise zur Überprüfung von Formulareingaben innerhalb von Webseiten. Einer Webseite ist nicht anzusehen, ob JavaScript aktiv ist oder nicht. Unter JScript – einer Variante von JavaScript – gibt es die Möglichkeit, ActiveX-Controls anzusprechen, die einmal auf den Rechner geladen die gleichen Rechte wie ein installiertes Programm besitzen und dem Angreifer viele Wege bieten, das System zu manipulieren. Hierdurch entsteht für den Anwender ein unüberschaubares Risiko. Viele Browser bieten die Option, JavaScript zu blockieren. Dies verringert die Gefahr, kann aber dazu führen, dass gewisse Webelemente nicht mehr funktionieren.

Java und JavaScript gehören zu den sogenannten aktiven Inhalten. Das sind kleine, ausführbare Programme innerhalb eines Browsers. Weil diese "ausführbar" sind, können sie von Angreifern missbraucht werden, um Schadcode auf Ihrem System zu installieren. Lesen Sie im Text "Aktive Inhalte", wie diese im Browser zum Sicherheitsrisiko werden können.

Die Daten, die der Browser abruft, um daraus die anzuzeigende Webseite zusammenzusetzen, enthalten häufig nicht sichtbare Programmteile oder Skripte. Sie sind für verschiedene Funktionen wie animierte Menüs oder Videos zuständig und werden als "Aktive Inhalte" bezeichnet. Die bekanntesten sind Java, ActiveX-Controls, JavaScript/JScript und Flash/Silverlight.

An der im Browser angezeigten Webseite ist nicht erkennbar, welche Funktionen sich im einzelnen hinter den Aktiven Inhalten verbergen. Es könnte sich also auch mitunter um Schadprogramme handeln. Jede Art von Aktiven Inhalten hat ein unterschiedliches Schadpotenzial:

Java

Java-Programme, die im Rahmen einer Website ausgeführt werden, werden auch "Java-Applets" genannt. Durch Aufrufen der Webseite werden die Applets auf den PC heruntergeladen und ausgeführt. Die Java-Applets laufen also wie ein direkt auf dem Rechner installiertes Programm ab.
Java-Applets können normalerweise nicht ohne Ihre Erlaubnis auf lokale Daten zugreifen. Wenn ein betrügerisch veranlagter Seitenersteller sich Ihre Erlaubnis jedoch erschleicht oder in der Implementierung der Java Virtual Machine Fehler enthalten sind, kann trotz allem der uneingeschränkte Zugriff auf Ihren Rechner und Ihre Daten möglich werden.

ActiveX-Controls

ActiveX ist eine von Microsoft entwickelte Technik, die im Internet Explorer zum Einsatz kommt. Die ActiveX-Elemente, die als Aktiver Inhalt in Webseiten eingefügt werden können, werden ActiveX-Controls genannt. Sie werden z. B. verwendet für Videos und Musik, aber auch für komplexere Inhalte wie Aktienticker. Leider werden auch häufig Schadprogramme auf diesem Weg verbreitet.
Dies ist so einfach möglich, da es keine umfassenden Sicherheitsrichtlinien gibt. Es gibt zwar signierte ActiveX-Controls, doch die Signatur bestätigt letztlich nur, von wem das ActiveX-Control stammt. Läuft das ActiveX-Programm erst einmal, dann ist sein Funktionsumfang in keiner Weise eingeschränkt. Das ActiveX-Programm besitzt alle Rechte des angemeldeten Benutzers.

JavaScript/JScript

JavaScript ist eine an Java angelehnte Skriptsprache. Skriptsprache heißt dabei, dass es sich um eine Programmiersprache handelt, die beim Anwender im Textformat vorliegt und durch ein eigens dafür vorgesehenes "Übersetzungsprogramm" (Interpreter) ausgeführt wird. JavaScript wurde speziell für den Einsatz als Aktiver Inhalt in Webseiten von der Firma Netscape entwickelt. JavaScript eignet sich beispielsweise zur Überprüfung von Formulareingaben innerhalb von Webseiten.

Wie die Java-Applets kommen auch die in JavaScript geschriebenen Aktiven Inhalte mehr oder weniger ungefragt auf Ihren Rechner. An der angezeigten Webseite ist nicht erkennbar, was sich so alles dahinter verbirgt. Hierdurch entsteht für den Anwender ein unüberschaubares Risiko. Schließlich sind auch bei JavaScript Fehler in der Implementierung nicht ausgeschlossen.

In der JScript genannten Variante von JavaScript, die Microsoft für den Internet Explorer entwickelt hat, gibt es Funktionen, die missbräuchlich eingesetzt einen großen Schaden auf dem Rechner des Anwenders verursachen können. So gibt es unter JScript beispielsweise die Möglichkeit, ActiveX-Controls anzusprechen, die einmal auf den Rechner geladen die gleichen Rechte wie ein lokal installiertes Programm besitzen.

Flash/Silverlight

Über die von Adobe erstellte Software "Flash Player" wie auch über "Silverlight" von Microsoft können interaktive Inhalte und Anwendungen (z. B. interaktive Präsentationen, Spiele oder komplette Webseiten) angezeigt werden. Da Flash- und Silverlight-Inhalte über ein eigenes Plugin wiedergegeben werden, können diese alleine schon Sicherheitslücken enthalten, durch die Ihr Rechner angegriffen werden und Schadsoftware installiert werden könnte. Ebenso könnten diese Sicherheitslücken durch Angreifer ausgenutzt werden, um auf Ihre Webcam oder das Mikrofon Ihres Computers zugreifen zu können.

Cookies und Fingerprinting

Nicht unmittelbar ein Sicherheitsrisiko, aber doch ein mögliches Datenschutzproblem stellen Cookies dar – kleine Dateien, die bestimmte Informationen über Ihren Besuch auf einer Webseite auf Ihrem Computer speichern. Bei einem erneuten Besuch auf dieser Webseite werden die auf Ihrem Computer gespeicherten Informationen ausgelesen. Sie merken das z.B. daran, dass Sie beim Ausfüllen des Online-Bestellzettels Daten, die sie einmal eingetragen haben, nicht immer wieder eintippen müssen. In den Browseroptionen können Sie einstellen, ob und von welcher Webseite Cookies gespeichert werden und wann diese gelöscht werden sollen.
Weil Cookies keine ausführbaren Programme sind, stellen sie kein direktes Sicherheitsrisiko dar. Dennoch sind sie nicht unproblematisch: Cookies werden auch eingesetzt, um Internetseiten auf Ihre persönlichen Wünsche zuzuschneiden. Problematisch ist, dass hierbei ein sehr genaues Nutzerprofil angelegt werden kann. Unternehmen setzen solche Cookies zum Beispiel ein, um passende Werbung anzuzeigen.

Fingerprinting

Das sogenannte Fingerprinting erfüllt einen ähnlichen Zweck wie Cookies. Das Online-Verhalten von Internetnutzern und -nutzerinnen soll verfolgt und gemessen werden. Mit den gesammelten Daten lassen sich folglich genaue Profile erstellen, die Aussagen darüber ermöglichen, für welche Produkte sich eine Person interessiert oder mit welchem sozialen Umfeld sie interagiert. Der Fingerprint ist dem Cookie vor allem deshalb überlegen, weil das Tracking über verschiedene Browser hinweg möglich wird.

IP-Adresse, verwendeter Browser oder Betriebssystem-Informationen werden genauso gesammelt wie Daten zu Zeitzone, verwendeten Schriftarten, eingestellter Sprache oder Display-Auflösung. Selbst die Information, ob und welcher Adblocker eingesetzt wird, kann in den Fingerprint einfließen. Die Kombination all dieser Informationen ergibt ein in der Regel individuelles Bild, das sich einem Anwender oder einer Anwenderin genau zuordnen lässt.

Zwei Arten von Cookies

Es sind zwei Arten von Cookies zu unterscheiden: Die dauerhaften Cookies und die Session-Cookies. Dauerhafte Cookies bleiben über Monate oder gar Jahre auf Ihrem Computer – zumindest dann, wenn sie nicht automatisch oder manuell gelöscht werden. Die Session-Cookies dagegen werden automatisch immer dann gelöscht, wenn der Browser geschlossen wird. Diese nutzten etwa Banken für das Online-Banking. Ein Sicherheitsrisiko stellen diese Cookies nicht dar. Problematisch sind die dauerhaften Cookies. Denn diese können über eine lange Zeit das Nutzungsverhalten des Anwenders protokollieren – etwa, nach welchen Produkten in welchen Online-Shops er sucht.

Ein weiteres Risiko bergen Cookies auf öffentlich zugänglichen Computern. Manche soziale Netzwerke sorgen durch Cookies dafür, dass Anwender angemeldet bleiben, wenn sie nur den Browser geschlossen, sich aber nicht aktiv ausgeloggt haben. Der nächste Benutzer des öffentlichen Computers kann dann im Profil des vorherigen Anwenders stöbern und gegebenenfalls Schaden anrichten

Cookies von Drittanbietern

Generell gilt, dass nur die Webseite die Cookies auslesen darf, die sie selbst gesetzt hat – Online-Shop A darf also nicht den Cookie von Online-Shop B auslesen. Allerdings gibt es auch noch sogenannte Drittanbieter, also zum Beispiel Werbeagenturen, die Werbebanner auf verschiedenen Webseiten platzieren. Solche Werbebanner setzen manchmal eigene Cookies. Wenn nun ein Anwender drei verschiedene Webseiten mit dem (zufällig) selben Werbebanner-Cookie besucht hat, kann die Werbeagentur theoretisch über ihren Cookie auslesen, welche drei Webseiten das waren. Sie enthält damit ein recht umfassendes Portfolio über das Surfverhalten einer Person. Cookies von Drittanbietern werden daher von Datenschützern als problematisch bewertet.

Browser-Entführung (Browser-Hijacking)

Mit dem Begriff Browser-Hijacking (dt.: Browser-Entführung) ist die Umleitung von Browser-Anfragen auf fremde Internetseiten gemeint. Statt auf Ihrer voreingestellten Startseite oder der eingegebenen Web-Adresse landen Sie also woanders, meist auf Werbeseiten – Ihr Browser wird dorthin entführt.

Verantwortlich für eine Browser-Entführung sind kleine Programme, die den Browser unter ihre Kontrolle bringen. Sie richten zwar keinen direkten Schaden an, sind aber lästig und lassen sich nur mit Mühe wieder entfernen. Auch das Suchfeld im Browser wird für solche Zwecke missbraucht und führt dann nicht zum gewünschten Suchergebnis, sondern ebenfalls auf Werbeseiten. Zusätzlich können Ihre Favoriten beziehungsweise Lesezeichen/Bookmarks verändert oder ergänzt werden.

Zunutze machen sich die Browser-Entführer Schwachstellen im Betriebssystem oder in Anwendungen. Dabei gibt es eine Reihe von Möglichkeiten für Browser-Entführer, sich im System hartnäckig festzusetzen.

Die Anwender

Als eines der kritischsten Einfallstore für IT-Systeme gilt nach wie vor der Mensch. Manipulation, gefälschte Dokumente und Irreführung sind häufig Ursache schädlicher Hackerangriffe. Damit das sogenannte Social Engineering bei Ihnen nicht funktioniert, sollten Sie sich stets mit gesundem Menschenverstand im Netz bewegen.

Dazu gehört beispielsweise, niemals unüberlegt auf Links zu klicken oder Mails zu öffnen, bei Downloads stets die Quelle zu überprüfen und die technische Widerstandsfähigkeit des eigenen Systems regelmäßig zu überprüfen. Das Surfen mit Browser birgt gewisse Risiken. Wenn Sie diese kennen und in der Lage sind, den Bedrohungen souverän zu begegnen, können Sie sich ein gutes Stück sicherer im Internet bewegen.