BSI: Schmeißen Sie den Internet Explorer schnell weg

Das Bundesamt für Sicherheit in der Informationstechnologie warnt aktuell vor der Verwendung des Internet Explorers: BSI empfiehlt die vorübergehende Nutzung alternativer Browser.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

26 Ergänzungen

  1. Naja, aber eben nur „vorübergehend“.

    Deshalb empfiehlt das BSI, *bis zum Vorliegen eine Patches von Microsoft* auf einen alternativen Browser umzusteigen.

    Danach heißt es dann eben Kommando zurück.
    Dass der IE generell eher (sicherheits-)problematisch zu sehen ist, dazu vernimmt man vom BSI nichts.

    Zudem gibt es im IE (wie in anderen Browsern und Software überhaupt) ständig irgendwelche Lücken, auch immer wieder Zero-Days.
    Ich finde es daher etwas lächerlich, dass das BSI die aktuelle Lücke wegen der vermuteten Betroffenheit Googles jetzt an die große Glocke hängt.

    1. klar betrifft das auch den avant, das einzige was gegen fast alle lücken der letzten jahre hilft ist javascript ausschalten
      avant ändert am IE eigentlich nur das drumherum aber im prinzip läuft in der mitte der IE

  2. Auf diesen staatlichen Service kann man echt verzichten. Das erledigen private Akteure wie secunia und heise security.

    Naja, und jetzt hat halt der IE mal 2 Wochen eine kritische Lücke. Die Zahl der Lücken war in letzter Zeit eher geringer als beim Firefox, oder?

  3. Yay, Browser-Wars auf netzpolitik.org! ;-)

    Wo wir grad dabei sind: ich empfehle Opera 10.10.
    Einen Nischen-Brower zu nutzen hat durchaus auch seine sicherheitsrelevanten Vorteile.

  4. Schade, dass sie nur „Vorübergehend“ schreiben.
    Ich versuche schon seit Jahren meine Freundin davpn zu überzeugen, doch endlich den IE über Bord zu werfen – vergebens.
    So eine Meldung könnte die Unterstützung sein, die ich brauche.

  5. „Auf diesen staatlichen Service kann man echt verzichten. Das erledigen private Akteure wie secunia und heise security.“

    In die Tagesschau haben die es aber bisher noch nicht geschafft ;-) – die breite Öffentlichkeit wird durch das BSI besser erreicht, und das ist doch schonmal was.

  6. „Auf diesen staatlichen Service kann man echt verzichten. Das erledigen private Akteure wie secunia und heise security.“

    so ein absoluter blödsinn.
    die Meldung ist nicht für Leute gedacht, die sich für die security interessieren und secunia benutzen oder bei heise vorbei schauen, die benutzen eh mehrheitlich nen alternativen browser.

    Für alle anderen Leute (und das ist ne verdammt große Zahl) macht eine Warnung von einem Bundesamt durchaus Sinn!

    aber manchen Leuten kann man es wohl nie recht machen. Wenn das Internet vom Staat nicht beachtet wird, wird gemeckert, wenn der Staat etwas sinnvolles dazu sagt, wird auch gemeckert.

    Ich benutze seit Jahren Firefox und Opera auf Linux, benutze NoScript.
    Ich les die Meldung mit einem schmunzeln, kann sie sogar noch benutzen um hartnäckige Unwissende vom IE wegzubringen !

    Achja…der Internet Explorer mag in seiner jeweils aktuellen Version möglicherweise von der Sicherheit mit anderen mithalten oder besser sein können.
    Aber überlegt mal wieviele Leute ihr System ohne jegliche Windows Updates betreiben.
    Wenn der BSI seine Warnung wegen der Schließung der Lücke wieder aufhebt, kann man nur hoffen dass sie auch den Leuten sagen, dass das nur gilt, wenn sie auch die aktuellste Version benutzen!! Das sehe ich bei IE und Windows als das größte Problem an.

  7. Das vorübergehend haben sie bestimmt da stehen, damit sie keinen Ärger mit Microsoft kriegen.

    Schlimm finde ich dann halt immer, wenn grosse Geschäfte und behördliche Institutionen, die sensible Daten der Bürger auf den Mitarbeiterrechnern haben, die Mitarbeiter mit dem IE arbeiten lassen.

  8. [..]Aber überlegt mal wieviele Leute ihr System ohne jegliche Windows Updates betreiben.[..]

    Dieses Problem wird durch die Nutzung z.B. des Firefox überhaupt nicht gelöst. Wenn ich nen Firefox 2.1 ohne jegliches Update laufen lasse, ist der im Zweifel genauso unsicher wie ein ungepatchter IE.

    Solange sicherheitskritische Patches nicht automatisch eingespielt werden, hilft das alles nix.

    Zero Day Exploits wird es auch im Firefox immer wieder geben.

    [..]Schlimm finde ich dann halt immer, wenn grosse Geschäfte und behördliche Institutionen, die sensible Daten der Bürger auf den Mitarbeiterrechnern haben, die Mitarbeiter mit dem IE arbeiten lassen[..]

    Wenigstens lässt der IE sich zentral vergleichsweise simpel mit Patches versorgen.

    Ich persönlich hoffe doch, das der Windows Update Service bald mehr Updates für andere Produkte verteilen kann, das war und ist ein großer Vorteil(manchmal auch Nachteil) von den Linux Update Routinen.

    Die ungepatchen Heimrechner werden wohl aber noch länger das Hauptproblem bleiben. Egal welcher Browser darauf ungepatched ist.

  9. Okay, mal abgesehen davon, daß Microsoft sowieso „evil“ ist, wie eine Kollegin von mir zu sagen pflegt…
    … aber… wer sagt mir eigentlich, daß die ganzen anderen Browser nicht auch unbekannte Bugs haben???

  10. @Thomas

    Jede Software, und damit auch jeder Browser hat (unbekannte) Bugs. Der durchschnittliche Hacker nimmt sich allerdings hauptsächlich diejenigen Browser und Programme vor, die am häufigsten benutzt werden, z.B. IE, FF Adobe Reader, Adobe Flash etc.

  11. Da kann ich dann ja auch gleich das Internet und meinen gesamten Computer wegschmeißen, wenn ich danach gehen würde. :-)

  12. Ähhmmm ist das etwa was Neues? War der IE über haupt schon mal zu 100% sicher??? ;-).

    Microsoft sollte nicht immer alles so schnell rausgeben. Dann lieber noch einen Monat warten und besser auf Sicherheit testen…

    Also ich bin auf jeden Fall ein zufriedener Firefoxler. Aber manchmal muss ich auch den IE nutzen (habe eh noch den 6, da WinXP), da ein paar Webseiten nur diesen unterstützen.

    Gruß aus Stuttgart

    Bender
    http://bertfan.de

  13. @Bender: „Aber manchmal muss ich auch den IE nutzen (habe eh noch den 6, da WinXP)“

    Verstehe jetzt die Kausalität nicht. Windows-Update sollte dir auch auf XP schon längst den IE8 beschert haben.

    Hagen

  14. Lobbyismus in Vollendung und alle machen wieder mit, meist ohne es gar zu wissen:
    Sicherheitslöcher, sog. Exploits finden sich quasi in jeder Software. Dass nun mal wieder ein solches Ding ausgerechnet im Microsoft- Browser gefunden wurde (übrigens kann man nur über bekannte Exploits berichten) und das arme Google scheibar davon betroffen gewesen sein soll, scheint das Thema auch mal wieder für die Medien interessant geworden zu sein. Betrachtet man es mathematisch, erhöht sich die Angriffsfläche eines Computersystems proportional mit der Anzahl von Softwareinstallationen. Der Expertenrat des BSI ist geradezu lächerlich, einen Alternativ- Browser anstatt dem Internet Explorer zu verwenden. Das liegt einfach daran, dass sich der IE nicht einfach so wie irgendwelche andere Third Party Software aus dem System deinstallieren läßt. Wenn man auch lediglich diesen Browser dann fortan nicht mehr benutzt, bleiben die Sicherheitslöcher dennoch vorhanden. Faktisch erhöht sich die Exploitdichte durch die Installation von Alternativ- Browsern, die eben auch diverse Sicherheitslöcher aufweisen (bekannte wie unbekannte, jedoch die Messung der Exploitdichte kann halt nur aufgrund der bekannten ermittelt werden). Desweiteren bleibt der IE sozusagen als „Schläfer“ im System vorhanden und wird sogar gelegentlich benutzt, wenn auch nicht unbedingt bewusst (Updates usw.). Wie man sieht, ist der Ratschlag der BSI- Experten sehr suspekt zu betrachten, zumal die sog. Experten einen wichtigen, wenn nicht gar den wichtigsten Ratschlag mit keiner Silbe erwähnen. Das Verwenden des Eingeschränkten Benutzerkontos auf einem Produktivsystem würde jegliche Gefahr, die von Malware ausgeht, prinzipbedingt unterbinden. Das liegt am Rechtesystem des Betriebssystems, welches bewirkt, dass Software, die mit einem Benuzterkonto installiert wird, welches nicht die nötigen Rechte besitzt, vom System regelrecht abgelehnt wird. Es sind weder Installationen noch Zugriffe auf Systemdateien möglich, was demzufolge auch für die Malware gilt. Die Sicherheitslücke im IE, die das Einschleusen von Malware ermöglichen soll, wäre quasi geschlossen. Im Übrigen gelangt Schadcode nicht ohne Mitwirkung des Anwenders auf dessen System. Man muss schon aktiv mitmachen, um das System zu infizieren, wenn es auch gerne anders kommuniziert wird. Hier beginnt bzw. endet die erfolgreiche Lobbyarbeit. Es wird einfach davon ausgegangen, dass jeder Anwender mit administrativen Rechten im Internet surft und dass dies so sein müsse. Schließlich eröffnet dies einen lukrativen Softwaremarkt, den es ansonsten nicht in dieser Dimension gäbe. Sicherheitssoftwareprodukte boomen durch das Schüren der Angst vor allerlei Schädlingen und Gefahren aus dem Internet, obwohl mit wenigen simplen Mouseklicks dem Spuk ein jähes Ende bereitet werden könnte. Ich behaupte sogar, dass der Ratschlag nach der richtigen Nutzung des Rechtesystems absichtlich unterschlagen wird, um die kommerziellen Ziele der Lobby nicht zu gefährden. Das kann nur so sein, denn das BSI habe ich selbst schon mehrfach auf diesen Umstand hingewiesen.

  15. Naja die Leute sind ja auch nicht dumm.
    Sollte das BSI noch ein paar weitere Male eine Sicherheitswarnung gegenüber den Internet Explorer aussprechen werden mehr und mehr zu Firefox und Co abwandern.

  16. Irgendwie verblüffend was alles Google so mit ein paar Schreckensmeldungen bewirkt. Auf einmal wird der IE als Sicherheitsrisiko von staatlicher Seite angegeben, nur weil es eine von den 1000 Sicherheitslücken direkt Google getroffen hat. Naja vllt schaffts ja dann auch Google wenigstens in der Zukunft den IE komplett zu „verbieten“ das wär mal eine erfreuliche Meldung!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.