Wie gut schützen Browser vor Malware?

Im zweiten Halbjahr 2011 ließ Fraunhofer SIT die damals aktuellen Browser-Versionen Internetadressen aufrufen, von denen bekannt war, dass von ihnen Malware-Angriffe ausgehen. Dabei wurde die Reaktion der Browser auf infizierte Seiten getestet. Wurde eine infizierte Seite beim ersten Mal nicht erkannt, wurde sie dem Browser nach wenigen Stunden erneut vorgelegt. So konnte auch die Lernfähigkeit der Malware-Filter beurteilt werden. Zur Untersuchung der Malware-Erkennung bei Downloads wurde eine Sammlung aktueller Malware angelegt. Diese Malware wurde wiederholt mittels Browser heruntergeladen. So wurde getestet, ob bzw. ab wann sie von dem Browser erkannt wird.

Das Ergebnis: Internet Explorer 8 und 9 erkennen mehr gefährliche Malware-Seiten und -Downloads als Google Chrome 14, Firefox 6 und Safari 5. Die Erfolgsquote des Internet Explorer 9 lag bei bei 39,1 Prozent. Damit waren seine Erkennungswerte besser als die des Internet Explorer 8 mit 34,1 Prozent, die von Chrome mit 11,1 Prozent, Safari mit 9,2 Prozent und Firefox mit 8,1 Prozent.

Die Studie wurde mit finanzieller Unterstützung von Microsoft erstellt. Das Unternehmen hatte nach Angaben des Fraunhofer SIT jedoch keinerlei Einfluss auf Methodik und Testkriterien und hat die Ergebnisse erst nach Abschluss der Studie erhalten.

Die Untersuchung des Fraunhofer SIT trifft auch keine Aussage über die Gesamtsicherheit der Browser. Wenngleich es sich bei Malware um eine wichtige Klasse von Angriffen handelt, gibt es viele weitere Angriffe, z.B. Phishing, Cross-Site-Scripting und Tracking. Auch gegen diese Angriffe haben heutige Browser Schutzfunktionen integriert. Die Behandlung anderer Angriffe und der hierfür existierenden Schutzmechanismen war jedoch nicht Gegenstand der Studie.

Auch beim Testsieger blieb über die Hälfte der Angriffe unerkannt. Aus Sicht der Studienautoren können die Funktionen der Browser zum Schutz vor Schadprogrammen noch stark verbessert werden. “Im Beobachtungszeitraum war der Schutz gegen Malware beim Internet Explorer 9 am Besten”, sagt Dr. Markus Schneider von Fraunhofer SIT. “Der Test beschreibt jedoch nur das beobachtete Verhalten der Browser hinsichtlich Malware im Testzeitraum – in einem halben Jahr kann das Ergebnis ganz anders aussehen.”

Alle Browser prüfen die Reputation von Internetadressen. Internet Explorer 9 verfügt als einzige der betrachteten Browserversionen über einen inhaltsbasierten Filter, die sogenannte Application Reputation. Wenn die Internet-Adresse nicht als Malware-Quelle erkannt wird, so greift diese zusätzliche Schutzfunktion und prüft, ob es sich bei einem heruntergeladenen Inhalt um eine bekannte Malware handelt. Der Internet Explorer 9 war den anderen Browsern jedoch auch ohne diese zweite Verteidigungslinie überlegen.