Bis vor einigen Jahren war es noch die E-Mail, über die schädliche Programme wie Viren, Würmer und Trojaner vorzugsweise ihren Weg auf die Rechner der Anwender und damit auch in die Firmennetzwerke fanden. Mittlerweile aber haben die unterschiedlichen Browser die E-Mail als Haupteinfallstor für solche Bedrohungen abgelöst. Obwohl die aktuellen Versionen der Browser in der Regel bereits eine Reihe von Konfigurationsmöglichkeiten zu bieten haben, mit deren Hilfe Nutzer die Sicherheit erhöhen und Risiken minimieren können, geht es doch immer noch besser und sicherer.
Wir haben uns das große Angebot an Browser Add-ons für die drei Produkte Mozilla Firefox, Google Chrome und Microsoft Internet Explorer angeschaut und die besten zehn Add-ons ausgewählt, mit deren Einsatz Anwender die Sicherheit beim Surfen deutlich erhöhen können. Bei den Browser kamen jeweils die zum Testzeitpunkt Mitte Mai 2014 aktuellen Versionen auf zwei Systemen unter Windows 8.1 zum Einsatz: Firefox 29.01, Chrome 34. 0.1847.137 und Internet Explorer 11.09600.17107.
Platz 10: McAfee SiteAdvisor
Wie sicher ist die Web-Seite wirklich, auf der ich mich gerade befinde? Wie sicher ist dieser Link, der mir aktuell von der Suchmaschine vorgeschlagen wird? Ganz sicher können sich die Anwender im Netz wohl nie sein. Eine reine Bauchentscheidung oder die Ansicht "Das wird schon sicher sein" helfen auch nicht weiter. Security-Anbieter McAfee, Teil des Intel-Konzerns, stellt mit dem SiteAdvisor eine kostenlose Lösung bereit, die den Nutzern bei diesen Einschätzungen helfen soll. Nach der Installation erhält der Browser eine zusätzliche Schaltfläche und ein optionales Suchfeld. Darin werden die Nutzer auf potenziell gefährliche Seiten aufmerksam gemacht.
Vorteile des SiteAdvisor:
Kostenloses Add-on für Google Chrome, Firefox und den Internet Explorer, das eine komplette Unterstützung in deutscher Sprache bietet.
Einfache und schnelle Installation. Auch das Entfernen dieses Add-ons verlief auf unseren Testsystemen problemlos.
Sehr gelungen ist die Einbindung in die Suchergebnisse, bei denen der Nutzer direkt vor gefährlichen Seiten gewarnt wird.
Fazit: Ein nützliches Add-on, dass sich gut in die drei wichtigsten Browser einfügt und auch wieder entfernen lässt. Die Reputationsmessung der Web-Seiten bewerkstelligt der Hersteller nach eigenen Angaben durch sehr häufige tägliche Aufrufe der Seiten bei gleichzeitiger Prüfung gegen eine umfassende Liste von Sicherheitsbedrohungen. Einzig der dauernde Hinweis auf die erweiterte Kaufversion der Software hat uns etwas gestört.
Platz 9: Click & Clean
Die Erweiterung Click & Clean steht sowohl für den Firefox- als auch für den Chrome-Browser zum kostenlosen Download bereit. Im Gegensatz zu vielen anderen Add-ons, die wir uns im Rahmen der Recherche für diesen Beitrag angeschaut haben, ist hier nicht die Firefox- sondern die Chrome-Version deutlich weiterentwickelt, - vor allem, was die Integration in den Browser angeht. Der Fokus der Click & Clean-Lösung liegt dabei auf eine möglichst gründliche Beseitigung etwaiger Spuren, die im Browser vorhanden sind oder vom Browser auf dem System hinterlassen wurden. Das Tool kann:
sowohl die persönlichen Daten als auch den Cache des Browsers sicher löschen als auch
den Browser "sicher schließen", wobei alle Löschvorgänge automatisch vorgenommen werden, ohne dass der Nutzer dazu die entsprechenden Einstellungen im Browser suchen muss.
unter anderem auch die Daten von Plug-ins entfernen oder einen Test vornehmen, der anzeigt, welche Daten der Browser preisgibt.
Foto: Frank-Michael Schlede / Thomas Bär
Fazit: Insgesamt ein gelungenes Add-on, das sich besonders für die Nutzer eignet, die sich beim Chrome- und beim Firefox-Browser nicht selbst durch alle Untermenü kämpfen wollen, um die richtigen Einstellungen für das sichere Löschen der Daten zu finden. Gut gefallen hat uns die integrierte Oberfläche im Windows-Kachel-Design bei Chrome, während uns die teilweise sehr prominent in den Ergebnissen der Tests der Privatsphäre platzierte Werbung gestört hat.
Platz 8: Facebook Disconnect
Facebook ist neugierig und lebt von den Daten seiner Nutzer. Aber selbst wer nicht bei Facebook ist, gerät fast zwangläufig immer wieder ins Visiert dieser Datenkrake: Auf vielen Web-Seiten finden sich die Empfehlungs- und Like-Buttons von Facebook. Selbst wenn der Nutzer diese Verbindungen zu Facebook nicht aktiv benutzt, werden Daten über den Seitenbesuch in die USA übermittelt. Mit dem Add-on Facebook Disconnect, das für den Firefox- und den Chrome-Browser zur Verfügung steht, kann das verhindert werden. Dabei führt dieser Erweiterung folgenden Funktionen aus:
Sie blockt alle Verbindungen, die Drittseiten zum Facebook-Server aufzubauen versuchen.
In der Adresszeile des Browser erscheint ein kleines Symbol, das anzeigt, wenn solche Verbindungen aufgebaut werden sollen.
Der Nutzer wird dabei aber nicht an der normalen Nutzung seines Facebook-Kontos oder der Seite von Facebook verhindert.
Foto: Frank-Michael Schlede / Thomas Bär
Fazit: Diese Erweiterung ist auch für Administratoren interessant, sorgt sie doch so manches Mal für Überraschungen, wenn eine Seite unvermutet versucht, eine Meldung an Facebook abzusetzen. Während die Erweiterung in unseren Tests im Firefox-Browser problemlos funktioniert, wurden Verbindungen unter Chrome leider nicht immer korrekt angezeigt.
Platz 7: AVG PrivacyFix
Mit dem PrivacyFix stellt AVG eine Erweiterung für Firefox/Google Chrome und auch als App für iOS und Android bereit. Sie kümmert sich vornehmlich um die Einstellungen der Privatsphäre, die der Nutzer bei den unterschiedlichen sozialen Netzwerk vorgenommen oder vielleicht auch vergessen hat. Dieses Add-on kann:
laut Angaben des Anbieters AVG mehr als 1200 Tracker aufspüren, die versuchen, das Verhalten des Nutzers aufzuzeichnen.
die persönlichen Daten und Einstellungen beispielsweise bei Facebook, Twitter und Google begutachten und dem Nutzer entsprechende Ratschläge für eine sichere Konfiguration geben.
Foto: Frank-Michael Schlede / Thomas Bär
Fazit: Natürlich muss sich der Nutzer an der jeweiligen Seite zunächst einmal mit seinem Passwort anmelden, damit das Add-on dann die Daten untersuchen kann. Die Anmeldedaten werden aber nicht über die AVG-Seite gesendet; überhaupt legt der Hersteller insgesamt besonderen Wert auf die Privatsphäre der Nutzer. So ist es im Gegensatz zu vielen anderen Erweiterungen nicht nötig, sich in irgendeiner Weise auf der Herstellerseite anzumelden, um das Add-on und seine Fähigkeiten zu nutzen.
Platz 6: ShowIP
Namen, die für Web-Seiten angegeben und in der Adresszeile des Browsers angezeigt werden, lassen sich relativ leicht von böswilligen Anbietern oder auch Hackern manipulieren. Der Nutzer ist dann vielleicht auf einer ganz anderen Seite unterwegs, als er meint. Bei kritischen Anwendungen wie dem Online-Banking kann das fatale Folgen haben. ShowIP schafft Abhilfe, indem es dem Nutzer genauere Informationen zur Verfügung stellt - beispielsweise über:
die echte IP-Adresse des Servers, die das Add-on im Browser anzeigt.
den Namen des Host-Providers oder eine Whois-Abfrage auf die originäre IP-Adresse. Diese Funktionen stehen dem Nutzer via Kontextmenü ab der Add-on-Version 2.4 für Firefox zur Verfügung
Foto: Frank-Michael Schlede / Thomas Bär
Das Add-on steht zwar auch für den Chrome-Browser im Chrome Web Store bereit, befindet sich aber auf dem Stand der Version 1.0 und kann leider nicht mehr als die reine Anzeige der IP-Adresse bieten.
Platz 5: Secure Sanitizer
Werden die Daten im Cache des Browsers auch wirklich gelöscht, oder könnten sie im speziellen Fall wiederhergestellt werden? Wer ganz sicher gehen will und den Firefox-Browser verwendet, kann ein sicheres Löschen mit Hilfe des Add-ons Secure Sanitizer erreichen. Ein kleines sehr spezialisiertes Tool, das nur eine Aufgabe ausführt: Es bietet dem Nutzer drei unterschiedliche Löschmethoden an, um die Daten in seinem Browser-Cache sicher zu löschen, so dass sie nicht wiederherzustellen sind. Es bietet
ein einfaches Löschen im Dateisystem,
zufälliges Überschreiben der Daten und
ein dreistufiges Überschreiben nach der amerikanischen DoD 5220-Methode.
Foto: Frank-Michael Schlede / Thomas Bär
Fazit: Ein Add-on für den paranoiden Firefox-Anwender. Mit diesem Zusatzprogramm kann er sicherstellen, dass die Daten in seinem Browser-Cache nicht nur gelöscht, sondern auch noch überschrieben werden. Das Add-on fügt sich einfach in die normalen Menüs des Browsers und steht im Firefox beispielsweise direkt unter "Chronik löschen" mit der Auswahl der Löschmethoden parat.
Platz 4: TrackMeNot
Wie kann sich ein Nutzer davor schützen, dass seine Suchanfragen im Internet aktiv mitgelesen und untersucht werden? Eine Lösung bietet das Add-on TrackMeNot an, das aktuell für Google Chrome und den Firefox zum kostenlosen Download bereitsteht. Dieses Add-on arbeitet nicht mit Verschlüsselung oder anderen Mittel der Geheimhaltung, sondern wählt den entgegengesetzten Weg:
Das Add-on läuft in den Browsern als Hintergrundprozess mit geringer Priorität.
Es sendet dabei regelmäßig zufällige Suchanfragen an große Suchmaschinen wie Google, Bing oder auch Yahoo ab.
Dadurch entstehen eine Menge "Störgeräusche", die es für einen Spionierenden sehr schwer machen, die eigentlichen Suchanfragen des Nutzers aus dieser Menge an Daten herauszufiltern.
Foto: Frank-Michael Schlede / Thomas Bär
Fazit: Eine sehr clevere Methode, die es auch Behörden deutlich erschweren kann, die Suchanfragen und -begriffe eines einzelnen Nutzers nachzuvollziehen. In Zeiten des NSA-Skandals eine sinnvolle Ergänzung, die für ihre Arbeit als einen weiteren Vorteil keinerlei Server-Komponenten im Web braucht: Alle Features des Add-ons laufen auf dem System des Nutzers unter seiner Kontrolle ab.
Platz 3: TrashMail
Ein guter Schutz gegen Spam sind nach wie vor Wegwerf-Adressen, wie sie auch von TrashMail angeboten werden. Noch einfacher und praktischer funktioniert das, wenn der Nutzer solche Adressen direkt über ein Add-in in seinem Firefox- oder Chrome-Browser erzeugen kann.
Nach Installation des Add-ins und einmaliger kostenloser Anmeldung bei TrashMail, können Nutzer einfach über einen Rechtsklick ein Formular öffnen und dort neue Pseudo-Mail-Adressen anlegen und gleich verwenden.
Die Adressen werden nach einer gewissen Zeit automatisch wieder gelöscht.
Foto: Frank-Michael Schlede / Thomas Bär
Fazit: Es gibt sicher eine Vielzahl von Möglichkeiten, die es Nutzern ermöglicht, solche zusätzlichen Mail-Adressen zur Abwehr der Spam-Flut auf ihrem eigentlichen Mail-Konto zu erstellen. Mit diesem Add-in steht aber eine der elegantesten und am einfachsten zu bedienenden Möglichkeiten bereit, die der Nutzer direkt beim Surfen im Web im Browser zur Hand hat.
Platz 2: Ghostery
Für die Unternehmen, deren Web-Seiten die Nutzer mit ihren Browsern aufsuchen, ist es wichtig, möglichst viel über die Nutzer und deren Tätigkeit auf der Seite (und am besten auch im weiteren Verlauf ihres Web-Surfens) zu erfahren. Das Zauberwort in diesem Zusammenhang heißt Tracking - das Nachverfolgen der Tätigkeiten eines Nutzers auf den Web-Seiten, die er besucht. Mit dem Add-on Ghostery, das neben Firefox und Chrome auch für die Browser Opera und Safari sowie für iOS und der Firefox Android-Version 5.2.1 bereitsteht, können Nutzer hier einen besseren Überblick darüber bekommen, wer ihre Spuren im Web wie verfolgt.
Laut Angaben des Anbieters kann Ghostery für die eigene Tracker-Datenbank aus 1900 Trackern und 2300 Tracking-Muster auswählen und entsprechend filtern.
Der Nutzer bekommt über das "Geist-Symbol" im Browser angezeigt, wie viele Tracker auf der aktuellen Web-Seite aktiv sind und kann dann selbst entscheiden, welche er blockt oder zulässt.
Das Führen einer White-List, für die Web-Seiten, auf denen das Tracking immer erlaubt sein soll, ist ebenfalls möglich.
Foto: Frank-Michael Schlede / Thomas Bär
Fazit: Selbst wer das Tracking nicht direkt grundsätzlich unterbinden will, bekommt mit dem Add-on Ghostery ein mächtiges Werkzeug in die Hand, das es ihm erlaubt, genau zu überwachen, wer wo Information abgreift. Besonders gut hat uns dabei gefallen, wie einfach das Tool zu bedienen ist und welche gute Übersicht mit zusätzlichen Informationen dem Nutzer geboten wird.
Platz 1: NoScript/NotScripts
Es gibt leider kaum noch Web-Seiten, deren Funktionalität nicht von Skripten abhängig ist, die im Browser ablaufen. Damit werden aktive Inhalte durch eine Web-Seite direkt auf dem System ausgeführt. Selbst wenn Browser wie der Google Chrome ein sehr weitgehendes Sandbox-Modell nutzen, das verhindern soll, dass ausführbare Programme und Skripte Schaden auf den Systemen anrichten können, bleibt eine Unsicherheit. Deshalb ist ein Skript-Blocker, der solche Eingriffe aktiv überwacht und unterbindet eines der Add-ons, die wir aus Sicherheitsgründen für jeden Nutzer empfehlen. Mit NoScript steht für den Firefox und alle Mozilla-basierten Browser wie beispielsweise SeaMonkey bereit.
Für Chrome-Nutzer gibt es NotScripts - es sorgt analog dafür, dass JavaScript-Anweisungen geblockt werden, der Nutzer sie aber wieder freigegen kann. Die Installation für die Chrome-Browser ist leider etwas umständlicher als bei NoScript und dem Firefox.
Was die Erweiterung NoScript leisten kann:
Standardmäßig werden zunächst alle JavaScript-Aktivitäten auf der besuchten Web-Seite unterbrochen - der Nutzer kann sie dann sukzessive wieder freigeben und diese Freigaben auch mittels White-Listing permanent machen.
Neben JavaScript blockt dieses Add-on auch Flash- und Silverlight-Animationen und die häufig recht gefährlichen Java-Applets.
Auch gegen die Gefahren, die durch das Cross-Site-Scripting (XSS) bei diversen Web-Anwendungen entstehen können, blockt das Add-on mit großer Sicherheit ab.
Foto: Frank-Michael Schlede / Thomas Bär
Fazit: NoScript ist nicht umsonst unsere Nummer 1 und kommt bei uns auf allen produktiven Systemen mit dem Firefox zum Einsatz. So viel Sicherheit hat allerdings ihren Preis: Manche Web-Seiten verweigern komplett den Zugriff, wenn JavaScript nicht aktiviert ist, was nach unserem Ermessen gerade für Firmen, die sich hauptsächlich mit dem Thema Sicherheit befassen, eher ein Armutszeugnis ist. Auch die vielfältigen Animationen und Hintergrundbeschallungen werden zunächst einmal nicht funktionieren. Viele Menüstrukturen, wie sie bei Online-Shops zum Einsatz kommen, funktionieren leider auch nicht ohne Einsatz von JavaScript. Beim Wiedereinschalten zeigen sich dann aber oft erstaunlich viele Scripting-Blöcke, die weniger dem Komfort des Anwenders als der genauen Verfolgung und Aufzeichnung seines Verhaltens dienen und die Wirksamkeit von NoScript eindrucksvoll verdeutlichen. (sh)