(Vorbe­merkung: Es fol­gt ein lang­weiliger Beitrag über Sicher­heitsvorkehrun­gen von Microsoft Win­dows. Bei Desin­ter­esse an diesem The­ma ist san­ftes Ignori­eren die emp­foh­lene Vorge­hensweise.)

Das Gejam­mer ist mal wieder groß:

Das Bun­de­samt für Sicher­heit in der Infor­ma­tion­stech­nik (BSI) hat eine aktuelle Sicher­heitswar­nung für den Inter­net Explor­er von Microsoft her­aus­gege­gen. Das Amt weist Inter­net­nutzer auf eine bish­er unbekan­nte, kri­tis­che Schwach­stelle in dem Inter­net-Zugang­spro­gramm hin.

(Wie man auf etwas hin­weisen kann, was “unbekan­nt” ist, erschließt sich mir nicht.)

Die Lösung?

Ein Sicher­heit­sup­date des Her­stellers ist derzeit nicht ver­füg­bar. Daher emp­fiehlt das BSI allen Nutzern des Inter­net Explor­ers, so lange einen alter­na­tiv­en Brows­er für die Inter­net­nutzung zu ver­wen­den, bis der Her­steller ein Sicher­heit­sup­date zur Ver­fü­gung gestellt hat.

Tja, geht halt nicht.

Viele Win­dowsan­wen­dun­gen, darunter einige RSS-Leser und sog­ar Dateiman­ag­er wie (der anson­sten sehr gute) xplor­er², set­zen intern auf die Inter­net-Explor­er-engine Tri­dent zum Anzeigen einiger Inhalte, ver­wen­den also “den Inter­net Explor­er”. Die betr­e­f­fende Sicher­heit­slücke ist also auch mit einem alter­na­tiv­en Brows­er nicht zu beheben.

Es gibt Notlö­sun­gen wie das Mozil­la ActiveX Con­trol neb­st passen­dem “Patch­er” (unten auf der Seite); jedoch ist der Mehrw­ert in Zweifel zu ziehen: Zum Einen ist nicht gewährleis­tet, dass die betr­e­f­fende Anwen­dung nach dem Ein­spie­len des Mozil­la-con­trols noch prob­lem­los funk­tion­iert, zum Anderen muss fest­ge­hal­ten wer­den:

Es gibt keinen sicheren Brows­er.

Was heute den Inter­net Explor­er befällt, kann mor­gen auch Fire­fox, Opera oder den Google-Müll befall­en. Die Liste von bekan­nten exploits (also Code zum Aus­nutzen der Schwach­stellen) wächst ständig, gele­gentlich sind auch ver­schiedene Web­brows­er betrof­fen. Win­dows selb­st besitzt diverse einge­baute Tech­niken, um solche exploits zu behin­dern, etwa ASLR (Address Space Lay­out Ran­dom­iza­tion, also Adressver­wür­felung), DEP (Data Exe­cu­tion Pre­ven­tion, also — blöder Name — Date­naus­führungsver­hin­derung), SEHOP, EAF und noch einige lustige Abkürzun­gen, jedoch müssen diese struk­turbe­d­ingt sep­a­rat für jede Anwen­dung aktiviert wer­den, sofern sie im Sys­tem nicht glob­al vorgegeben sind.

Zum Glück gibt es EMET.

EMET ist ein Microsoft­pro­gramm, das erwäh­nte Sicher­heits­maß­nah­men für jede Anwen­dung sep­a­rat “scharf schal­ten” kann, im Falle von SEHOP, ASLR und DEP sog­ar sys­temweit. Das sieht unge­fähr so aus:

Oben im Fen­ster ist zu sehen, dass DEP und SEHOP noch option­al sind. Es ist möglich, über die Schalt­fläche “Con­fig­ure Sys­tem” bei­de Tech­niken glob­al zu aktivieren. Dies kön­nte allerd­ings zu Prob­le­men mit eini­gen Anwen­dun­gen führen, die sich einzeln aus­nehmen lassen; da dies aber oft viel Aufwand wäre, empfehle ich, sich im Fol­gen­den auf Pro­gramme zu beschränken, die die häu­fig­sten Ein­fall­store für Schad­pro­gramme darstellen, näm­lich Mail­pro­gramme und Web­brows­er.

Da DEP (dritte Spalte) von vie­len Pro­gram­men bere­its stan­dard­mäßig unter­stützt wird, ist die entsprechende Spalte bere­its gut befüllt. Ich habe beschlossen, dass mein Thun­der­bird best­möglich gesichert wird. Hier­für sind über die Schalt­fläche “Con­fig­ure Apps” über “Add” die aus­führbare Datei thunderbird.exe auszuwählen — wohl dem, der sich merkt, wo er seine Pro­gramme hinin­stal­liert — und die gewün­scht­en Häkchen zu set­zen:

Dies ist ana­log bei allen weit­eren gewün­scht­en Anwen­dun­gen (RSS-Leser, Solitär, …) durchzuführen. Empfehlenswert scheint es zu sein, die Auswahl auf ein Min­i­mum zu reduzieren. Nach erfol­gter Anpas­sung müssen die betrof­fe­nen Anwen­dun­gen neu ges­tartet wer­den; for­t­an wacht EMET (unter anderem mit einem Wächter­pro­gramm im Benachrich­ti­gungs­feld) über sie.

Man lasse den­noch Vor­sicht wal­ten: Prak­tisch jede Sicher­heits­maß­nahme lässt sich irgend­wie umge­hen. Der Ein­satz sämtlich­er Schilde des Sys­tems erhöht den nöti­gen Aufwand jedoch beizeit­en beträchtlich.

Beschriebenes gilt übri­gens nicht nur für Win­dows: DEP etwa (als Prozes­sor­funk­tion) ist auch unter anderen Betrieb­ssys­te­men bekan­nt. Ein Betrieb­ssys­tem ist allerd­ings stets nur so sich­er wie das Sicher­heit­skonzept seines Anwen­ders, seine Integrität ste­ht und fällt mit dem Sachver­stand dessen, der es bedi­ent. Anstelle jedoch auf Schlangenöl wie per­son­al fire­walls zu ver­trauen, soll­ten sich Win­dows­nutzer bess­er mit den Schutz­funk­tio­nen ihres Sys­tems ver­traut machen. Der ein­ma­lige Aufwand kann später Frust und Unsicher­heit ers­paren.