(Vor­be­mer­kung: Es folgt ein lang­wei­li­ger Bei­trag über Sicher­heits­vor­keh­run­gen von Micro­soft Win­dows. Bei Des­in­ter­es­se an die­sem The­ma ist sanf­tes Igno­rie­ren die emp­foh­le­ne Vor­ge­hens­wei­se.)

Das Gejam­mer ist mal wie­der groß:

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) hat eine aktu­el­le Sicher­heits­war­nung für den Inter­net Explo­rer von Micro­soft her­aus­ge­ge­gen. Das Amt weist Inter­net­nut­zer auf eine bis­her unbe­kann­te, kri­ti­sche Schwach­stel­le in dem Inter­net-Zugangs­pro­gramm hin.

(Wie man auf etwas hin­wei­sen kann, was „unbe­kannt“ ist, erschließt sich mir nicht.)

Die Lösung?

Ein Sicher­heits­up­date des Her­stel­lers ist der­zeit nicht ver­füg­bar. Daher emp­fiehlt das BSI allen Nut­zern des Inter­net Explo­rers, so lan­ge einen alter­na­ti­ven Brow­ser für die Inter­net­nut­zung zu ver­wen­den, bis der Her­stel­ler ein Sicher­heits­up­date zur Ver­fü­gung gestellt hat.

Tja, geht halt nicht.

Vie­le Win­dows­an­wen­dun­gen, dar­un­ter eini­ge RSS-Leser und sogar Datei­ma­na­ger wie (der anson­sten sehr gute) xplo­rer², set­zen intern auf die Inter­net-Explo­rer-engi­ne Trident zum Anzei­gen eini­ger Inhal­te, ver­wen­den also „den Inter­net Explo­rer“. Die betref­fen­de Sicher­heits­lücke ist also auch mit einem alter­na­ti­ven Brow­ser nicht zu behe­ben.

Es gibt Not­lö­sun­gen wie das Mozil­la Activ­eX Con­trol nebst pas­sen­dem „Patcher“ (unten auf der Sei­te); jedoch ist der Mehr­wert in Zwei­fel zu zie­hen: Zum Einen ist nicht gewähr­lei­stet, dass die betref­fen­de Anwen­dung nach dem Ein­spie­len des Mozil­la-con­trols noch pro­blem­los funk­tio­niert, zum Ande­ren muss fest­ge­hal­ten wer­den:

Es gibt kei­nen siche­ren Brow­ser.

Was heu­te den Inter­net Explo­rer befällt, kann mor­gen auch Fire­fox, Ope­ra oder den Goog­le-Müll befal­len. Die Liste von bekann­ten exploits (also Code zum Aus­nut­zen der Schwach­stel­len) wächst stän­dig, gele­gent­lich sind auch ver­schie­de­ne Web­brow­ser betrof­fen. Win­dows selbst besitzt diver­se ein­ge­bau­te Tech­ni­ken, um sol­che exploits zu behin­dern, etwa ASLR (Address Space Lay­out Ran­do­mizati­on, also Adress­ver­wür­fe­lung), DEP (Data Exe­cu­ti­on Pre­ven­ti­on, also – blö­der Name – Daten­aus­füh­rungs­ver­hin­de­rung), SEHOP, EAF und noch eini­ge lusti­ge Abkür­zun­gen, jedoch müs­sen die­se struk­tur­be­dingt sepa­rat für jede Anwen­dung akti­viert wer­den, sofern sie im System nicht glo­bal vor­ge­ge­ben sind.

Zum Glück gibt es EMET.

EMET ist ein Micro­soft­pro­gramm, das erwähn­te Sicher­heits­maß­nah­men für jede Anwen­dung sepa­rat „scharf schal­ten“ kann, im Fal­le von SEHOP, ASLR und DEP sogar system­weit. Das sieht unge­fähr so aus:

Oben im Fen­ster ist zu sehen, dass DEP und SEHOP noch optio­nal sind. Es ist mög­lich, über die Schalt­flä­che „Con­fi­gu­re System“ bei­de Tech­ni­ken glo­bal zu akti­vie­ren. Dies könn­te aller­dings zu Pro­ble­men mit eini­gen Anwen­dun­gen füh­ren, die sich ein­zeln aus­neh­men las­sen; da dies aber oft viel Auf­wand wäre, emp­feh­le ich, sich im Fol­gen­den auf Pro­gram­me zu beschrän­ken, die die häu­fig­sten Ein­falls­to­re für Schad­pro­gram­me dar­stel­len, näm­lich Mail­pro­gram­me und Web­brow­ser.

Da DEP (drit­te Spal­te) von vie­len Pro­gram­men bereits stan­dard­mä­ßig unter­stützt wird, ist die ent­spre­chen­de Spal­te bereits gut befüllt. Ich habe beschlos­sen, dass mein Thun­der­bird best­mög­lich gesi­chert wird. Hier­für sind über die Schalt­flä­che „Con­fi­gu­re Apps“ über „Add“ die aus­führ­ba­re Datei thunderbird.exe aus­zu­wäh­len – wohl dem, der sich merkt, wo er sei­ne Pro­gram­me hin­in­stal­liert – und die gewünsch­ten Häk­chen zu set­zen:

Dies ist ana­log bei allen wei­te­ren gewünsch­ten Anwen­dun­gen (RSS-Leser, Soli­tär, …) durch­zu­füh­ren. Emp­feh­lens­wert scheint es zu sein, die Aus­wahl auf ein Mini­mum zu redu­zie­ren. Nach erfolg­ter Anpas­sung müs­sen die betrof­fe­nen Anwen­dun­gen neu gestar­tet wer­den; fort­an wacht EMET (unter ande­rem mit einem Wäch­ter­pro­gramm im Benach­rich­ti­gungs­feld) über sie.

Man las­se den­noch Vor­sicht wal­ten: Prak­tisch jede Sicher­heits­maß­nah­me lässt sich irgend­wie umge­hen. Der Ein­satz sämt­li­cher Schil­de des Systems erhöht den nöti­gen Auf­wand jedoch bei­zei­ten beträcht­lich.

Beschrie­be­nes gilt übri­gens nicht nur für Win­dows: DEP etwa (als Pro­zes­sor­funk­ti­on) ist auch unter ande­ren Betriebs­sy­ste­men bekannt. Ein Betriebs­sy­stem ist aller­dings stets nur so sicher wie das Sicher­heits­kon­zept sei­nes Anwen­ders, sei­ne Inte­gri­tät steht und fällt mit dem Sach­ver­stand des­sen, der es bedient. Anstel­le jedoch auf Schlan­gen­öl wie per­so­nal fire­walls zu ver­trau­en, soll­ten sich Win­dows­nut­zer bes­ser mit den Schutz­funk­tio­nen ihres Systems ver­traut machen. Der ein­ma­li­ge Auf­wand kann spä­ter Frust und Unsi­cher­heit erspa­ren.