Das hab ich nun davon :(

Erstens, der Text "Der Internet Explorer ist gefährlich" ist im Orginal vom März 2009 und bezieht sich auf die zu der Zeit aktuellen Versionen vom IE. Explizit werden Version 6 und 7 angesprochen. An der (schon recht reißerischen) Kritik an diesen Versionen hat sich bisher nichts geändert. Selbst Microsoft hat für den 6er bereits Warungen rausgegeben. Der 7er ist dabei nur unwesendlich besser.

Problem bei der Debatte ist, dass hier der Zusammenhang, sprich die Einzelfaktoren die ebenfalls eine gewichtige Rolle spielen außen vor gelassen wird.

Der Herr aus der Mailingliste z.B. stellt einen Kausalzusammenhang auf. Er klingt erstmal plausiebel, ist aber nicht belegt. Wenn Deutschland ein verseuchtes Land ist, trotz das Firefox weit verbreitet ist, lässt diesen Schluss natürlich auch nahe legen. So einfach ist das aber nicht. Das ist platte Stammtischlyrik.

Zu den Fakten: Ein System das Firefox nutzt, muss nicht automatisch sicher sein. Ein System das einen IE nutzt nicht automatisch unsicher. Ein System besteht nämlich aus mehr als aus einem Browser.

Der durchschnittliche Nutzer nutzt nach wie vor ein Windows XP. Surft dort als Administrator. Und hat mindestens 10 Plugins (Flash, Windows Media Player, Quicktime, Java, usw.) im Browser installiert. Selbst wenn der Browser (egal ob IE oder Firefox) komplett sicher ist, wenn die Plugins (oder noch schlimmer, das Betriebssystem) nicht aktuell gehalten werden, dann hilft ein sicherer Browser nichts. Statistisch gesehen sind die meisten Infektionen nicht auf den Browser zurück zu führen, sondern auf ein Sicherheitsloch in einem Plugin (Flash!), dass dann über volle Adminrechte verfügt.

Da hilft einem im Übrigen dann auch kein Virenscanner oder Firewall mehr.

Firefox aktuallisiert sich von Haus aus selbst. Der IE macht das solang das Windows Update aktiv ist. Letzeres ist aber erschreckend selten der Fall. Die Standardberündung ist dabei meist, dass man nicht will das Windows "nach Hause telefoniert", man Microsoft also nicht traut. Viele arbeiten lieber mit einem unsicheren System, als dass sie Microsoft "ins Haus" lassen würden. Lieber ist denen offensichtlich jede Art von Schadsoftware. Genauso selten wie Windowsupdate wird ein Konto mit eingeschränkten Rechten verwendet (weil Admin sein ja viel komfortabler ist).

In dem Szenario ist natürlich auch der IE hoffnungslos veraltet. Was auch dann noch problemlatisch ist, wenn man Firefox nutzt. Denn viele Programme "embedden" (Einbetten) den IE. Diese Programme sind dann ebenfalls anfällig für IE-Lücken. Den meisten ist dieser Umstand ebenfalls nicht klar. Auch muss eine Versuchung gar nicht über den Browser erfolgen. Oft sind es Dateien, die in anderen Programmen geöffnet werden. Z.B. PDFs, DOC, usw. Sind die jeweiligen Programme nicht aktuell, sind diese für präparierte Dateien anfällig. Werden sie mit Adminrechten ausgeführt, war es das mit der Sicherheit.

Da der IE auf viele Windowsbibliotheken zurückgreift, ist er auch für entsprechende Lückenanfällig. Z.B. präparierte Bilder die er automatisch in einer Voransicht öffnet.

Der Grund warum ein System also evtl. verseucht ist, ist nicht allein auf den genutzen Browser zurück zu führen. Wer da Kausalzusammenhänge erstellt, zeigt wie oberflächlich er das Thema behandelt.

Neuere Browser nehmen sich in Thema Sicherheit nicht viel. Solang das System gepflegt ist, ist ein aktueller IE nicht weniger sicher wie ein aktueller Firefox. Da gibt es sicher noch Unterschiede in der Ausprägung bestimmter Aspekte (z.B. ist Mozilla schneller im Patchen von neuen Lücken wie Microsoft und auch sind nach wie vor die meisten Schädlinge für Software, die überall verhanden ist (wie den IE), diese Bauen aber auch alle darauf, dass Nutzer unsichere Systeme haben), aber an der Stelle ist der Nutzer vor dem Rechner nach wie vor das größte Risiko.

Alles eine Frage der Umgebung/Situation. Ein IE 6 kann auch sicher sein, sofern ein Proxy davor steht, der alles schädliche aktuell herausfiltert. Und ein Topaktueller Firefox hilft nichts, wenn das System hoffnungslos veraltet ist.

Da Deutschland zu den Ländern mit den meisten Computern, Internetdomains und interessantesten Nutzern (im kriminellen Sinn) zählt, ist es auch nicht weiter verwunderlich, "dass Deutschland eines der Länder ist, in denen die meisten infizierten Computer stehen". Ich denke, niemand wird bei so ungenauen Angaben etwas anderes erwartet haben.

Um die Sicherheit von Browsern zu diskutieren, gibt es mit Sicherheit Seiten, die sich als Ausgangbasis besser eigen als dieses. (Und schlecht gepflegte, somit nicht aktuelle Seiten haben den dummen Beigeschmack, eher als Argumentation dafür zu dienen, daß IE-Gegner keine fundierte Datenbasis haben und sich deswegen auf gestriges und vorgestriges beziehen.)

Die Seite wird zwar mit dem 14. März 2010 als letztes Aktualisierungsdatum angegeben, doch es fällt schwer, etwas derart aktuelles auf der Seite wirklich zu entdecken; die aufgestellten "Belege" sind von anno dunnemal und halten einer ernsthaften Prüfung nicht stand.

Schon die erste Belegstelle ist von 2004, also völlig irrelevant. Erst in 2004 erschien das SP2 von XP, ein wichtiges Datum, weil MS endlich die jahrelang praktizierte Haltung, nur mühsamst die gröbsten Sicherheitslücken (in Windows und IE) auszumerzen aufgegeben hatte. Dieser Sicherheits-Schlendrian hatte begonnen, nachdem MS um die Jahrhundertwende den damaligen Browser-Krieg gewonnen hatte und die IE-Abteilung - vordem mehr Leute als der vormalige Gegner Netscape insgesamt an Mitarbeitern hatte - auf ein kleines Häuflein eingedampft worden war. Folglich ist es ein leichtes, aus den damaligen Jahren die tollsten Studien - damals durchaus sachlich zutreffend - aus dem Hut zu zaubern, doch in ernsthaften Diskussionen kann man mit so etwas nur eins, nämlich auf die Schnauze fallen und sich auf Ärgste lächerlich machen. (Das wäre etwa so wie wenn ich dem VW Golf eine schlechte Heizung attestieren würde, weil ich aus alten Tests über dessen Vorgänger, den Käfer, belegen kann, daß der mit seinem luftgekühlten Boxermotor da nun wirklich systembedingte Probleme hatte.) - Im übrigen kann man diese Studie auch deswegen komplett vergessen, weil der Link dahin gar nicht mehr funktioniert - und dem Autor ist das bis heute noch nicht aufgefallen.

Der zweite Link aus dem Jahr 2006 - auch nicht gerade aktuell - funktioniert ebensowenig und taugt somit als Beleg ebenfalls nur dafür, daß dem Autor der Seite Argumente zu scheinen fehlen, diese Seite in diesem Zustand überhaupt noch online zu stellen.

Der dritte Link, der vortäuscht auf das US-Homeland-Security-Ministerium zu verweisen, sieht nur wenig besser aus. Erstens wird das HS-Ministerium munter mit dem US-CERT durcheinander gewürfelt, zweitens geht der Link keineswegs zu der Originalquelle, sondern zu einer Nachrichten-Seite eines Drittanbieters, und drittens "erfreut" sich diese Meldung wieder erneut der einzigartigen Aktualität von 2004.

Als nächstes finden wir eine auf Secunia-Report basierende Tabelle über Sicherheitslücken, bei denen eine nachvollziehbare Quellenangabe gleich ganz fehlt. (Das wär etwa so, wie wenn man sich auf einen ganz bestimmten Artikel der MS-Knowledgebase beziehen würde, als Quelle aber nur microsoft.com verlinken würde.) Diese Aufstellung datiert von Februar 2009, also 1 Monat vor Erscheinen des IE8 und ist somit heute wertlos. Und man fragt sich unwillkürlich, warum der Seitenautor keine aktuellere Informationen herangezogen hat, wenn er seinen Artikel doch angeblich mehr als 1 Jahr später aktualisiert hat (womit nur?). Ebenso findet sich kein Hinweis dazu, daß der Safari in dieser Tabelle - die angeblich (ich habe es nicht nachgeprüft, weil sinnlos) - die Daten seit 2004 (warum eigentlich seit 2004 und nicht irgend ein anderes willkürliches Jahr?) kumulativ aufarbeitet, erstmals Mitte 2007 als Betaversion für Windows-Plattformen erschien, in 2008 als stabile Version.

Und so geht das munter weiter: 2 Links zu Washington Post, die nicht funktionieren, ein paar hochwissenschaftlich aussehende Grafiken, die ebenfalls wieder auf das Jahr 2004 zurückgehen, ein weiterer Link, der die "Aktualität" des bisher gebotenen noch einmal mit dem Jahr 2003 toppt und so weiter.

Es gibt den berühmten Satz, daß es Freunde gibt, bei denen man keine Feinde mehr benötigt. Mit so einem "Anwalt" für den FF braucht man keinen mehr für den Internet Explorer. Ich erinnere mich, daß ich vor vielen Jahren, als ich mich zum ersten Mal für den FF interessiert hatte, auf einen offiziösen Artikel gestoßen war, bei dem allen Ernstes behauptet worden war, daß die MS-Verantwortlichen heimlich mit dem FF arbeiten würden (es aber natürlich nicht zugeben). Meine damalige Reaktion war: "Wenn die FF-Leute nichts besseres als Argumentation haben als diesen Schwachsinn, kann der Browser nicht viel taugen." Damit war der FF damals für mich erst einmal gestorben. Solche "Befürworter" hat der FF in Wirklichkeit nicht verdient. Das beste, was man mit dieser Seite machen kann: Ganz schnell vergessen.

Das Thema als solches ist wirklich zu ernst, als das man eine solche Lachnummer als Ausgangspunkt einer Diskussion verwenden sollte.

(Zu der impliziten Frage, ob es an 50% FF-Marktanteil liegt, wenn der Grad der Verseuchung so hoch liegt: Man könnte ja auch postulieren, daß es trotz FF so aussieht. Solche dumpen Statisiken besagen gar nichts. Sonst kommt der nächste und erklärt, daß es am Standard-Texteditor Notepad (oder, weniger ironisch: dem Media Player) liegt, weil der ja bei (fast) 100% aller Windows-Installationen dabei liegt. Statistik ersetzt keine Ursachenforschung, nicht einmal, wenn sie aus einem Museum stammen könnte.)

Ich kann mich da wie gesagt nur wiederholen. Aktuelle Browser-Versionen aller Browser sind im Grunde sehr sicher (solang man brav immer alle Sicherheitsupdates durchführt). Die machen inzwischen ein Wettrennen wer die tollsten Sicherheitsfeatueres hat. Nach wie vor ist der IE Marktführer und (statistisch gesehen) selbst dann noch auf dem System vorhanden, wenn man einen alternativen Browser nutzt. Daher ist der IE auch nach wie vor das Primärziel von Malware, die auf Browser zielt. Auch haben die Nutzer von IE eher die Gewohnheit ewig auf alten Versionen sitzen zu bleiben. Während bei Firefox, Opera und Co die Nutzer recht schnell zu neuen Major-Versionen upgraden, bleiben viele IE-Nutzer ewig bei alten Versionen. Beispiel:
http://www.w3counter.com/globalstats.php (Tendenzen, andere Statistiken, andere Ergebnisse, also nicht wundern)

1. Internet Explorer 8 26.66% (von 2009)
3. Internet Explorer 7 10.29% (von 2006)
5. Internet Explorer 6 6.27% (von 2001)

Vergleich dazu Firefox:
2 Firefox 3.6 23.98% (von 2010)
6 Firefox 3.5 4.47% (von 2009)
8 Firefox 3 2.29% (von 2008)

Von anderen Browsern wie Chrome, Opera oder Safari sind fast alle mit den neusten Versionen unterwegs. Der IE 8 ist sehr sicher. Aber der IE generell wird eher von Leuten genutzt, die es nicht besser wissen. Sprich keine Systemadministratoren sind und daher selten bis nie Updates/Upgrades machen. Der IE ist demnach nicht generell unsicher, sondern er ist statistisch gesehen in unsicheren Konstellationen zu finden.

Und wer sich schon nicht um den Browser und das Betriebssystem kümmert, der kümmert sich auch nicht um Plugins oder das Einschränken von Adminrechte. Und dann hat man eine wunderbare Zielgruppe für Schadsoftware.

Firefox ist aber auch inzwischen so verbreitet, dass viele die ihn nutzen auch nicht besser sind als manch ein IE-Nutzer. Die sich durch die Installation eines "sicheren Browsers" sicher fühlen, obwohl sie weiterhin sträflich das System nicht warten. Da hilft dann auch der sicherste Browser der Welt nicht. Der Umstand das noch immer 3% der Leute Firefox 3.0 nutzen, ist ein Beweis dafür. Denn Firefox 3.0 ist EoL (End of Life), der Support Seitens Mozilla wurde also eingestellt. Damit kann dieser Browser nicht mehr als sicher gelten und stellt ein potentes Risiko dar. Hier kommt nur der Vorteil, dass die Zielgruppe meist zu klein ist, darauf groß Angriffe zu führen.

Ich kann mich nur immer wieder wiederholen. Sicherheit ist ein viel zu vielschichtiges Thema als das man das einfach so über das Bein brechen kann.

Sicherheit ist vor allem nicht die größte Stärke des Firefox. Opera oder Chrome dürften "sicherer" sein. Nicht weil die Browser generell sicherer sind, sondern weil die Zielgruppe kleiner ist und damit der Aufwand sich bei anderen Browsern eher lohnen würde.

Die Stärken von Firefox sind andere. Zum Beispiel Anpassbarkeit. Und was mir am Herzen liegt: Offenheit. Mozilla setzt sich für ein offenes Netz sein, das nicht von Patenten und gewinnorientierten Unternehmen abhängig ist.

Biotops. Bei Sicherheit spreche ich immer von Systemsicherheit. Nicht vom Schutz der Privatsphäre.

Und du gehst davon aus das der durchschnittliche Nutzer die Rechte entsprechend einschränkt? Oder z-B- Sandboxen nutzt?

Es finden sich immer Argumentationen die die eigene Meinung stützen. Ob Religion oder Browser. Da hat jeder am Löffel der Weisheit gelutscht. Wenn man was schlechtes finden will, wird man fündig. Will man was gutes finden, dann geht das genauso. Insofern hilft das Debattieren in dem Bereich nicht. Eine objektive Einschätzung ist aufgrund des umfangreichen und weitreichenden Themas kaum möglich. Leute die allerdings ein "Schwarz/Weiss"-Denken an den Tag legen, kannst Du getrost ignorieren.

Zitat von Rothaut

Mein IE datet sichnur ab, wenn ich ihn mal wieder zufällig verwende, mit dem normalen Windowsupdate kam z. B. IE8 nicht freiwillig mit, erst als ich wieder mal zufällig den IE verwenden musste, weil ich von einer Microsoftseite was downloaden wollte, und das wurde nur mit dem IE zugelassen, und da hat er auch gleich gefragt, ob ich updaten will, habe ich schon gemacht, nur liegt der IE meist tatenlos auf meinem Rechner herum...

Das solltest du schleunigst ändern. Bedenke: Auch andere Microsoft-Software (z.B. Office)nutzt Teile des Internetexplorers. Wenn dieser nicht aktuell ist, können sich schnell Probleme einstellen. Grundsätzlich ist aus Sicherheitsgründen jede installierte Software, ob genutzt oder nicht, immer auf dem neuesten Stand zu halten. Alternativ, nichtgenutzte Software deinstallieren, was beim IE naturgemäß nicht geht.

Die Frage ist, wie Rothaut das gemeint hat. Selbst beim Update auf IE8 wurde dieser normalerweise über AU angeboten. MS hatte seinerzeit ein Tool angeboten, um das automatische Update auf den IE8 abzuschalten (das auch beim IE7 so); das heißt, ohne diesen Patch kam er sehr wohl über AU mit. Und innerhalb einer Version (6, 7 & 8 ) werden in jedem Fall wichtige IE-Updates über AU installiert (und bekanntlich benötigt AU keinen geöffneten Browser). Für das Updateverhalten auf IE8 könnte also besagter Patch (alternativ kann man auch manuell einen Registry-Wert setzen) verantwortlich sein, sollte letzteres nicht automatisch upgedatet werden, sollte das System mal näher inspiziert werden.

Im Übrigen, man könnte auch die Theorie aufstellen, dass in Deutschland trotz Firefox soviele verseuchte Systeme stehen, evtl. daran liegt, dass die Leute vergessen den IE aktuell zu halten "weil sie ihn ja nicht mehr nutzen". Ohne halt um die Gefahr die dadurch besteht zu wissen. Da kann man herrlich schöne Theorien und Vermutungen aufstellen. : )