Sicherheit im Browser hat zwei Aspekte: Einmal geht es darum, das System vor Schadsoftware zu schützen, zweitens um den Schutz der privaten Daten und Kennwörter. Dieser Artikel erklärt Sicherheitsfunktionen für Firefox und Chrome/Chromium.
Insgesamt nehmen sich die beiden Browser in puncto Sicherheit nicht viel: Chrome schützt besser vor riskanten (Windows-)Downloads; Firefox bleibt unter Linux mit Masterpasswort und besserem Scriptschutz (mit Noscript) erste Wahl.
Schutzmechanismen von Chrome und Firefox
Firefox bietet unter „Extras -> Einstellungen -> Sicherheit“ drei Optionen, um betrügerische Webseiten zu blockieren. Hier sollten unter „Allgemein“ alle Kästchen aktiviert sein. Es handelt sich allerdings nur um einen Grundschutz, der unbedingt durch Add-ons erweitert werden sollte.
Chrome zeigt unter „Einstellungen -> Erweiterte Einstellungen anzeigen -> Datenschutz“ die Option „Mich und mein Gerät vor schädlichen Websites schützen“. Früher hieß diese Option technisch klarer „Phishing-und Malware-Schutz aktivieren“. Sie sorgt dafür, dass Chrome den Zugang auf gefährliche Sites blockiert und vor „ungewöhnlichen“ Downloads warnt. Ob es sich letztlich um eine harmlose Datei handelt, welche die Google-Datenbank nur nicht kennt, können Sie dann selbst entscheiden. Unter Linux ist dieser Downloadschutz nicht wirklich relevant.
Sicherheitserweiterungen für Firefox und Chrome
Bei den wichtigsten Sicherheitstools für Browser hat sich seit Jahren nichts Wesentliches geändert. Alle nachfolgend empfohlenen Browsererweiterungen finden und installieren Sie über „Add-ons“ in Firefox oder über „Einstellungen -> Erweiterungen“ in Chrome/Chromium.
Noscript: Das Firefox-Add-on Noscript verhindert, dass Webseiten Javascript, Java oder andere ausführbare Inhalte automatisch starten. Sie haben die Kontrolle, ob solche Scripts starten dürfen. Das ist nicht immer bequem, da auf vielen interaktiven Seiten mit Formularen oder Votings die Scripts explizit erlaubt werden müssen. Sie können auch Ausnahmen für vertrauenswürdige Seiten bestimmen - etwa www.pcwelt.de. Einmal erlaubte Sites landen in der Whitelist und müssen später nicht mehr ständig bestätigt werden.
Chrome zeigt unter „Einstellungen -> Erweiterte Einstellungen -> Inhaltseinstellungen -> JavaScript“ eine Option, Javascript generell zu verbieten. Das ist nicht praktikabel, da dann sehr viele interaktive Webseiten nicht mehr funktionieren (prominent etwa Google Drive, Google Store). Eine alltagstaugliche, mit Firefox-Noscript vergleichbare Lösung steht nach der Einstellung von Notscript 2014 aus: Die aktuell verfügbaren Add-ons „Noscript Suite Lite“, „ScriptSafe“, „ScriptBlock“ sind in Technik oder Bedienung allenfalls ausreichend.
HTTPS Everywhere: Die Erweiterung wählt, wo immer verfügbar, eine verschlüsselte HTTPS-Verbindung zu einer Website, auch wenn dies vom Benutzer nicht so angefordert wurde. Verschlüsseltes HTTPS ist vor allem bei Bankgeschäften und Einkäufen im Internet unverzichtbar, weil Sie Zugangsdaten oder Kreditkartendaten über das Netz versenden müssen. Der Browser zeigt eine verschlüsselte Verbindung zur zertifizierten Gegenstelle in der Adresszeile grün gefärbt. Verifizieren Sie das immer, bevor Sie Ihre Daten eingeben. Legen Sie ferner, um Irrtümer zu vermeiden, die Anmelde-URL Ihrer Bank als Lesezeichen ab und verwenden für den Zutritt ausschließlich dieses Lesezeichen.
Die Bedeutung des „Inkognito-Modus“
Das Browsen im „Inkognito-Fenster“ (Chrome) oder im „Privaten Fenster“ (Firefox) ist eine Datenschutzmaßnahme: Es vermeidet Surfspuren auf dem Rechner, die Mitbenutzer lesen könnten, zweitens unterbindet es den Großteil der Tracking-Schnüffelei der Website-Betreiber. Ein manchmal wichtiger Nebenaspekt ist ferner, dass Sie hier ohne Cookies und Webprotokolle unterwegs sind und daher neutrale und ungefilterte Ergebnisse erhalten (gelegentlich wichtig bei Suchmaschinen und Onlineshops). In Chrome und Firefox starten die Tastenkombinationen Strg-Umschalt-N und Strg-Umschalt-P am schnellsten ein privates Fenster.
„Inkognito“ Surfen bietet aber keinerlei technischen Schutz vor digitalen Schädlingen oder betrügerischen Webseiten. Es anonymisiert auch nicht die IP-Nummer und verschleiert keine strafbaren Handlungen.
Firefox: Masterpasswort gegen Datenklau
Jeder Browser fragt bei einer Webanmeldung nach, ob das Passwort gespeichert werden soll. Solches Speichern ist bequem, weil Sie sich das Passwort dann nicht länger merken müssen. Andererseits bedeutet das, dass jeder, der Zugriff auf Ihr Gerät hat, auch Ihre persönlichen Zugänge nutzen kann. Schlimmer noch: Unter „Einstellungen -> Sicherheit -> Gespeicherte Zugangsdaten“ lassen sich alle Kennwörter auch noch in Gesamtschau bequem auslesen.
Beim Firefox hilft das Masterpasswort, das Sie über „Firefox > Einstellungen > Sicherheit -> Master-Passwort verwenden“ einrichten. Das Masterpasswort schützt und verschlüsselt die in Firefox hinterlegten Webkennwörter. Der Komfortverlust dieser Sicherheitsmaßnahme ist vertretbar: Das Masterpasswort wird pro Firefox-Sitzung grundsätzlich nur einmal abgefragt, eventuell auch gar nicht, falls Sie keinen Zugriff auf die gespeicherten Kennwörter benötigen.
Skepsis gegenüber der Synchronisierung?
Die Browsersynchronisierung von Lesezeichen, Einstellungen, Erweiterungen bedeutet für Nutzer mehrerer Geräte einen unschätzbaren Komfort. Weniger erfreulich ist der Nebenaspekt, dass dabei Mengen von persönlichen Daten auf Google-oder Mozilla-Servern hinterlegt werden müssen.
Firefox: Der Mozilla-Browser verschlüsselt standardmäßig alle Daten, wobei der Schlüssel auf dem Gerät des Benutzers verbleibt. Generell darf die Mozilla-Foundation zu den „Guten“ gerechnet werden, die ein Auswerten von Nutzerdaten nicht selbst betreibt, sondern allenfalls zulassen muss.
Chrome/Chromium: Standardmäßig werden nur Kennwörter verschlüsselt. Aber unter „Einstellungen -> Erweiterte Synchronisierungseinstellungen“ (vorherige Google-Anmeldung vorausgesetzt) gibt es die zusätzliche Option „Alle synchronisierten Daten […] verschlüsseln“, bei der Sie ein individuelles Kennwort zur Sync-Verschlüsselung vergeben, das unabhängig vom Google-Kennwort ist. Der Komfortverlust ist nicht gravierend, da Sie dieses Kennwort auf jedem weiteren Gerät nur ein einziges Mal eingeben müssen. Alle Daten landen dann verschlüsselt auf dem Google-Server, der Schlüssel dazu (Kennwort) verbleibt auf dem lokalen Gerät.
Wohlgemerkt: Es handelt sich um eine Datenschutzmaßnahme gegen die Datenschnüffelei von Google. Die Maßnahme hilft nichts gegen Datenklau am lokalen Gerät.