Benjamin Hammer: Das BSI warnt vor einem Zero-Day-Exploit beim Internet Explorer. Was genau ist das?
Manfred Kloiber: Ein Zero-Day-Exploit ist ein geheim gehaltener Programmierfehler, der von Internet-Betrügern ausgenutzt wird. Zero-Day heißt die Sicherheitslücke deshalb, weil sie bis zum Tag ihrer Enttarnung, dem Tag 1 eben, unerkannt bleibt. Bei großen Software-Projekten schleichen sich immer Fehler ein, das lässt sich einfach nicht vermeiden. Deshalb testen die Hersteller ihre Produkte meist systematisch auf Fehler – und dennoch bleiben unentdeckte Probleme übrig, zum Beispiel weil sie nur unter ganz seltenen Umständen auftauchen. Auf der anderen Seite gibt es eine halbseidene Hacker-Szene, die sich genau auf diese unentdeckten Sicherheitslücken spezialisiert hat und gezielt danach sucht. Diese Hacker verkaufen Zero-Day-Exploits auf dem grauen Markt an Kriminelle, vermutlich aber auch an Geheimdienste. Also: Um genau solch eine Programmierlücke handelt es sich hier. Sie wird von kriminellen Webseiten ausgenutzt – und wenn man in die Falle tappt, dann kann es passieren, dass die Website Schädlinge auf meinen Computer platziert.
Hammer: Wer ist denn jetzt genau davon betroffen?
Kloiber: Laut Bundesamt für Sicherheit in der Informationstechnik ist jeder Nutzer des Internet-Explorers Version 7 bis 9 einschließlich davon betroffen. Microsoft aber hat eingeräumt, dass auch die Version 6 gefährdet ist. Wenn man sich die Markt-Anteile der verschiedenen Browser ansieht, dann kommt der Internet Explorer auf ca. 25 Prozent in Deutschland. Das betrifft also potentiell etliche Millionen Surfer im Lande. Schaden entsteht aber erst, wenn Sie sich mit dem Internet Explorer auf Seiten tummeln, die die Lücke ausnutzen. Von denen ist bislang nur bekannt, dass es sie gibt, mehr nicht.
Hammer: Klingt potentiell gefährlich. Wie kann ich mich schützen?
Kloiber: Microsoft arbeitet zur Zeit an einem Software-Flicken für das Problem, an einem Patch. Bis dahin bietet der Konzern nur eine Übergangslösung zur Nach-Installation an, die einen Angriff erschwert. Das BSI ist da deutlicher: Es empfiehlt, bis das Problem gelöst ist, auf einen anderen Browser auszuweichen.
Hammer: Ist das kompliziert?
Kloiber: Keineswegs, man lädt sich einfach alternative Browser aus dem Internet herunter und installiert sie parallel. Den Internet Explorer läßt man so lange links liegen, bis man ihn mit einem Patch wieder sicher machen kann. Und bis dahin installiert man eben zum Beispiel den sehr beliebten Firefox, oder aber das Traditionsprogramm Opera, den Apple-Browser Safari oder Googles Chrome. Diese Browser haben alle ihre Vor- und Nachteile. Man kann diese Zeit also prima nutzen, auch mal Alternativen zu testen. Doch über eines sollte man sich im Klaren sein: Solch ein Zero-Day-Exploit kann irgendwann jeden Browser betreffen – wie gesagt, kein Programm ist davor wirklich gefeit.
Hammer: Gibt es denn eine Art Generalschutz gegen diese Gefahr?
Kloiber: Doch den gibt es – der nennt sich "Virtuelle Maschine". Das ist eine Art simulierter Computer, der auf meinem echten Computer läuft, quasi ein Computer auf dem Computer. Wenn dann ein Schädling meinen virtuellen Computer angreift, dann lösche ich einfach die befallene virtuellen Maschine und erzeuge einen neue. Das ist ein Konzept, was mehr und mehr in Unternehmen eingeführt wird, und im Prinzip auf jedem Computer ohne großen Aufwand umgesetzt werden kann. Das kostet noch nicht mal viel Geld – man muss nur wissen, wie es geht. Und das ist leider eher eine Sache für Expertinnen und Experten.
Weitere Informationen:
Das Bundesamt für Sicherheit in der Informationstechnik über die kritische Zero-Day-Schwachstelle im Internet Explorer
Sicherheitshinweise von Microsofts zur Schwachstelle im Internet Explorer
Manfred Kloiber: Ein Zero-Day-Exploit ist ein geheim gehaltener Programmierfehler, der von Internet-Betrügern ausgenutzt wird. Zero-Day heißt die Sicherheitslücke deshalb, weil sie bis zum Tag ihrer Enttarnung, dem Tag 1 eben, unerkannt bleibt. Bei großen Software-Projekten schleichen sich immer Fehler ein, das lässt sich einfach nicht vermeiden. Deshalb testen die Hersteller ihre Produkte meist systematisch auf Fehler – und dennoch bleiben unentdeckte Probleme übrig, zum Beispiel weil sie nur unter ganz seltenen Umständen auftauchen. Auf der anderen Seite gibt es eine halbseidene Hacker-Szene, die sich genau auf diese unentdeckten Sicherheitslücken spezialisiert hat und gezielt danach sucht. Diese Hacker verkaufen Zero-Day-Exploits auf dem grauen Markt an Kriminelle, vermutlich aber auch an Geheimdienste. Also: Um genau solch eine Programmierlücke handelt es sich hier. Sie wird von kriminellen Webseiten ausgenutzt – und wenn man in die Falle tappt, dann kann es passieren, dass die Website Schädlinge auf meinen Computer platziert.
Hammer: Wer ist denn jetzt genau davon betroffen?
Kloiber: Laut Bundesamt für Sicherheit in der Informationstechnik ist jeder Nutzer des Internet-Explorers Version 7 bis 9 einschließlich davon betroffen. Microsoft aber hat eingeräumt, dass auch die Version 6 gefährdet ist. Wenn man sich die Markt-Anteile der verschiedenen Browser ansieht, dann kommt der Internet Explorer auf ca. 25 Prozent in Deutschland. Das betrifft also potentiell etliche Millionen Surfer im Lande. Schaden entsteht aber erst, wenn Sie sich mit dem Internet Explorer auf Seiten tummeln, die die Lücke ausnutzen. Von denen ist bislang nur bekannt, dass es sie gibt, mehr nicht.
Hammer: Klingt potentiell gefährlich. Wie kann ich mich schützen?
Kloiber: Microsoft arbeitet zur Zeit an einem Software-Flicken für das Problem, an einem Patch. Bis dahin bietet der Konzern nur eine Übergangslösung zur Nach-Installation an, die einen Angriff erschwert. Das BSI ist da deutlicher: Es empfiehlt, bis das Problem gelöst ist, auf einen anderen Browser auszuweichen.
Hammer: Ist das kompliziert?
Kloiber: Keineswegs, man lädt sich einfach alternative Browser aus dem Internet herunter und installiert sie parallel. Den Internet Explorer läßt man so lange links liegen, bis man ihn mit einem Patch wieder sicher machen kann. Und bis dahin installiert man eben zum Beispiel den sehr beliebten Firefox, oder aber das Traditionsprogramm Opera, den Apple-Browser Safari oder Googles Chrome. Diese Browser haben alle ihre Vor- und Nachteile. Man kann diese Zeit also prima nutzen, auch mal Alternativen zu testen. Doch über eines sollte man sich im Klaren sein: Solch ein Zero-Day-Exploit kann irgendwann jeden Browser betreffen – wie gesagt, kein Programm ist davor wirklich gefeit.
Hammer: Gibt es denn eine Art Generalschutz gegen diese Gefahr?
Kloiber: Doch den gibt es – der nennt sich "Virtuelle Maschine". Das ist eine Art simulierter Computer, der auf meinem echten Computer läuft, quasi ein Computer auf dem Computer. Wenn dann ein Schädling meinen virtuellen Computer angreift, dann lösche ich einfach die befallene virtuellen Maschine und erzeuge einen neue. Das ist ein Konzept, was mehr und mehr in Unternehmen eingeführt wird, und im Prinzip auf jedem Computer ohne großen Aufwand umgesetzt werden kann. Das kostet noch nicht mal viel Geld – man muss nur wissen, wie es geht. Und das ist leider eher eine Sache für Expertinnen und Experten.
Weitere Informationen:
Das Bundesamt für Sicherheit in der Informationstechnik über die kritische Zero-Day-Schwachstelle im Internet Explorer
Sicherheitshinweise von Microsofts zur Schwachstelle im Internet Explorer