Fraunhofer-Institut für sichere Informationstechnologie
Die Studie „Untersuchung von reputationsbasierten Schutzmechanismen gegen Malware-Angriffe in Browsern“ des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) analysiert die Effektivität und Leistungsfähigkeit von Sicherheitsmechanismen, die in modernen Webbrowsern zum Schutz vor Malware integriert sind. Diese Mechanismen basieren auf der Reputation von URLs und heruntergeladenen Dateien und sollen verhindern, dass Nutzer unwissentlich gefährliche Inhalte öffnen oder schädliche Webseiten besuchen.
Hintergrund und Motivation
Browser sind heute eine der häufigsten Angriffsflächen für Malware, da sie als Schnittstelle zwischen dem Benutzer und dem Internet fungieren. Schadsoftware, die über manipulierte Webseiten oder Downloads auf den Rechner gelangt, kann erheblichen Schaden anrichten, vom Ausspionieren persönlicher Daten bis zur Übernahme des Systems. Aus diesem Grund haben moderne Browser Schutzmechanismen integriert, die auf Reputationssystemen basieren, um den Benutzer vor solchen Gefahren zu schützen. Diese Systeme arbeiten mit Blacklists, die bekannte schädliche URLs oder Dateien blockieren, und teilweise auch mit Whitelists, die sichere Inhalte explizit zulassen.
Untersuchungsaufbau
Die Studie konzentriert sich auf fünf gängige Browser: Google Chrome, Mozilla Firefox, Internet Explorer 8, Internet Explorer 9 und Safari. Die reputationsbasierten Schutzmechanismen dieser Browser wurden über einen Zeitraum von vier Wochen getestet, wobei reale Malware-URLs gesammelt und in kontrollierten Testumgebungen abgerufen wurden. Der Schwerpunkt lag auf der Frage, wie effektiv die Browser diese Malware erkennen und blockieren können.
Die Untersuchung nutzt dabei einen sogenannten „Black-Box-Ansatz“, bei dem nur die Eingaben und Ausgaben der Browser analysiert werden, ohne die internen Abläufe der Programme zu betrachten. Besonders interessant ist hierbei die Kombination von adressbasierten und inhaltsbasierten Reputationssystemen, die in Browsern wie dem Internet Explorer 9 integriert sind. Diese Systeme prüfen nicht nur die URL der besuchten Webseite, sondern auch den heruntergeladenen Inhalt auf bekannte Malware.
Ergebnisse
Die Ergebnisse zeigen, dass der Internet Explorer 9 die besten Ergebnisse in der Malware-Erkennung erzielt hat, insbesondere durch die Kombination von URL- und Inhaltsüberprüfung. Hier konnte die Schutzwirkung deutlich verbessert werden, da der Browser nicht nur gefährliche Webseiten blockierte, sondern auch Dateien, die über vertrauenswürdige Webseiten heruntergeladen wurden, noch einmal separat überprüfte.
Google Chrome und Safari, die beide auf Googles Safe Browsing-Technologie setzen, schnitten ebenfalls gut ab, waren jedoch langsamer in der Aktualisierung ihrer Blacklists. Mozilla Firefox belegte den letzten Platz, da er in der Erkennung von Malware-URLs und dem Schutz vor schädlichen Downloads weniger effektiv war als die Konkurrenz.
Technologische Unterschiede
Ein zentraler Unterschied zwischen den Browsern liegt in den verwendeten Technologien. Microsofts SmartScreen-Filter, der in den Internet Explorer-Versionen implementiert ist, zeigt eine höhere Effektivität durch die Verwendung von Application Reputation, die heruntergeladene Dateien auf ihre Sicherheit überprüft. Googles Safe Browsing-Technologie, die in Chrome und Safari eingesetzt wird, bietet ebenfalls einen soliden Schutz, konzentriert sich jedoch stärker auf die URL-Prüfung und weniger auf die Inhaltsanalyse.
Fazit und Empfehlungen
Die Studie kommt zu dem Schluss, dass reputationsbasierte Schutzmechanismen einen wichtigen Beitrag zur Browser-Sicherheit leisten, insbesondere in Kombination mit inhaltsbasierten Überprüfungen. Der Internet Explorer 9 zeigt hier die beste Leistung, während andere Browser in der Regel weniger effektiv sind, insbesondere wenn nur adressbasierte Systeme zum Einsatz kommen.
Die Untersuchung zeigt aber auch, dass diese Mechanismen allein nicht ausreichen, um umfassenden Schutz zu bieten. Nutzer sollten weiterhin vorsichtig mit Downloads und unbekannten Webseiten umgehen. Zudem müssen die Reputationssysteme regelmäßig aktualisiert werden, um neue Bedrohungen zeitnah zu erkennen.
Zukünftige Entwicklungen sollten darauf abzielen, die Kombination von adress- und inhaltsbasierten Schutzmechanismen weiter zu verbessern und diese auch in andere Browser zu integrieren.
