Internet Explorer und Cyber-Sicherheitsrisiken | Stormshield

Zu Jahresbeginn wies Microsoft die Internetnutzer auf die Gefahren bei der Verwendung von Internet Explorer hin: Der Browser erhält keine Updates mehr und weist immer mehr Sicherheitslücken auf. Sollte es also Unbelehrbare geben, die IE immer noch verwenden?

Internet Explorer ist der Browser einer Zeit, die die Internetnutzer unter 20 Jahren nicht mehr kennen können. Nachdem er seit rund 10 Jahren von Firefox und dann Chrome verdrängt wurde, dachte man, dass IE auf dem Altar der (vielen) gefallenen Sterne der digitalen Technik geopfert wurde. Über den Browser gab es sogar einen populären Witz unter Geeks: Als er traurig fragte „What is my purpose?“, wurde Internet Explorer geantwortet: „You download Chrome“. Damit ist schon alles gesagt.

Und doch gibt es auch 2019 noch viele Unternehmen, die Internet Explorer für ihre internen webgestützten Anwendungen nutzen. Exzentrik? Sturer Widerstand gegen das Imperium Alphabet? Nein. Wenn es Unternehmen gibt, die immer noch IE benutzen, dann im Wesentlichen aus Gewohnheit oder weil ihnen die Mittel für die Migration fehlen. Und wegen eines fehlenden Cyber-Bewusstseins…

 

Aufstieg und Fall von Internet Explorer

Um dies zu verstehen, muss man bis zur Einführung von IE 6 im Jahr 2001 zurückgehen. Vor 20 Jahren war IE praktisch der einzige Browser, der genutzt wurde, weil er mit Windows bereitgestellt wurde“, erinnert sich Robert Wakim, Offers Manager Stormshield. Gleichzeitig steckten die Webentwicklung und die damit verbundenen Technologien wie JavaScript und CSS noch in den Kinderschuhen. Es gab noch keinen Standard und Microsoft benutzte seine IE-Plattform, um es seinen Partnern zu ermöglichen, seinen Kunden Anwendungen von Drittanbietern bereitzustellen.“ Kennen Sie den Ausdruck, alles auf eine Karte zu setzen? Die Unternehmen entwickelten damals interne Anwendungen, die vollständig auf Internet Explorer basieren und die nicht standardisierten internen Mechanismen von IE verwenden. Was sie noch nicht wussten: Der bevorstehende Wettbewerb zwischen den Browsern würde Folgen für ihre Tätigkeit haben.

20 Jahre später wurde das Spitzentrio der Browser durch die Ankunft von Firefox (2002) und danach Chrome (2008) aufgemischt, die der Vorherrschaft von IE ein Ende setzten. Heute ist Chrome der weltweit meistverwendete Browser (Marktanteil im März 2019: 67,88 %, in Frankreich im Februar 2019: 63,29 %), gefolgt von Firefox (9,27 % im März 2019, 14,31 % in Frankreich im Februar 2019). Weit entfernt von seiner vergangenen Vormachtstellung ging der Marktanteil von Internet Explorer auf 7,34 % zurück (rund 5 % in Frankreich, Quelle: ZDNet). Resultat: Die Unternehmen, die ihr internes Ökosystem auf IE aufgebaut haben, arbeiten immer noch mit Anwendungen, die unter anderen Browsern nicht genutzt werden können. „Man findet sich mit zwei Versionen von Web-Anwendungen wieder: die standardisierte Version für jedermann und die proprietäre Version für IE 6 und für Microsoft. Hinsichtlich der Cybersicherheit entstehen dadurch echte Probleme, denn es zwingt die Benutzer dieser Anwendungen, IE 6 oder die entsprechende IE-Version auf ihrem Computer installiert zu haben“, warnt Robert Wakim. Doch diese Versionen werden nicht mehr aktualisiert. Und schließlich hat Microsoft beschlossen, seinen Browser ganz einzustellen.

 

RIP IE?

In einem Blogbeitrag mit dem Titel „Die Gefahren bei der Verwendung des Internet Explorer als Standardbrowser“, der im Februar 2019 auf dem offiziellen Microsoft-Blog veröffentlicht wurde, warnte Chris Jackson: „Internet Explorer ist nicht an die neuen Internetstandards angepasst, und auch wenn viele Websites weiterhin korrekt funktionieren, testen die Entwickler ihre Website nicht mehr darauf“.Aus Sicht der Cybersicherheit ist dies der ungünstigste Fall“, warnt Robert Wakim. „Das bedeutet, dass der Technologie-Baustein, der zur Unterstützung des Geschäfts eines Unternehmens verwendet wird, absolut nicht mehr aktualisiert wird.“ So wurde im April eine Zero-Day-Lücke im IE 11 entdeckt. Kurz zuvor musste Microsoft im Dezember 2018 aufgrund einer kritischen Lücke einen Notfall-Patch für Internet Explorer veröffentlichen.

Dies ist eine interessante Situation“, analysiert Florian Bonnet, Direktor für Produktmanagement bei Stormshield. „Ok, für IE werden keine Updates mehr herausgebracht. Doch wenn man näher hinschaut, stellt man fest, dass Microsoft bei schweren Lücken IE im Hinblick auf die Sicherheit weiter unterstützt. Sie sind in der Lage, Patchs zu realisieren, um Schwachstellen zu korrigieren. Und sie tun dies, weil sie sehr gut wissen, dass es heute einen großen Bestand von IE-Anwendungen gibt, und sie es sich nicht erlauben können zu sagen, dass sie nichts mehr tun.“ Die Nutzer damit nicht allein zu lassen, wäre also eine Frage des Images, oder doch ein echtes Bewusstsein für Cybersicherheit bei Microsoft? Darüber kann man diskutieren.

Wie groß ist dieser Bestand tatsächlich? Wer benutzt heute noch Internet Explorer? Schwer zu sagen. „Es gibt kein besonderes Segment, denn Internet Explorer findet man genauso gut in der Verwaltung wie zum Beispiel in der Gesundheitsbranche oder in der Industrie“, betont Florian Bonnet. „Es ist schwer zu beurteilen, welcher Anteil der Unternehmen IE benutzt. Es handelt sich um Anwendungen, die intern verwendet werden. Deshalb haben wir keine Daten dazu“, pflichtet Robert Wakim bei, der allerdings präzisiert: „Dies betrifft interne Software-Programme, die sehr oft für ein Unternehmen maßgeschneidert wurden: Intranet, Buchhaltungssoftware, Lagermanagement…“ Es sind strategische Anwendungen für das Unternehmen, die bei einer Gefährdung seine Tätigkeit ganz oder teilweise lahmlegen könnten.

 

Migrieren oder weiter unter Internet Explorer arbeiten?

Den betroffenen Unternehmen bleibt für ihre Anpassung ein immer kleineres Zeitfenster, da das Ende der Sicherheitsupdates für Internet Explorer für 2025 erwartet wird. Erster Reflex: Seinen User-PC schützen. Eine Lösung wie Stormshield Endpoint Security (SES) basiert auf einer Verhaltensanalyse, mit der man eine Reihe von böswilligen Aktionen schnell identifizieren kann. So kann man einen Angriff erkennen und reagieren. „Mit dieser Lösung kann man sich gegen bestimmte Angriffe wappnen. SES kann insbesondere Änderungen von Rechten erkennen, indem es dem Verhalten der Programme folgt, um festzustellen, ob sie versuchen, etwas Anormales zu tun“, erklärt Florian Bonnet.

Eine andere Option wäre es, Internet Explorer in eine virtuelle Maschine zu stellen und seine User aufzufordern, sie zu starten, wenn sie die Anwendung benötigen. „Dadurch kann man bei jeder Benutzung eine eigene Version von IE erstellen“, erläutert Robert Wakim. „Doch dies ist eine kurzfristige Lösung. Es ist offensichtlich, dass langfristig die einzige Möglichkeit zur Aufrechterhaltung von Sicherheit ist, zu anderen Browsern zu migrieren, was bedeutet, dass die Anwendung komplett erneuert werden muss.“ 

Für manche Unternehmen oder Institutionen kann dies bis zu 40 oder 50 Anwendungen umfassen, und dahinter steht ein großes Problem in Bezug auf Wettbewerbsfähigkeit und die Fortführung der Aktivität. Da ist es besser, zu antizipieren und heute schon damit zu beginnen. „Sie haben noch sechs Jahre lang Zeit, um die finanziellen Mittel zu bilden und die Migration ihrer Anwendungen durchzuführen“, betont Florian Bonnet. „2025 ist bald! Und je komplizierter die internen Softwares sind, desto mehr Zeit wird notwendig sein für Analyse, Redesign, Entwicklung, Migration der alten Daten, Validierung und Übernahme... Wir haben es schnell mit Projekten zu tun, für die 24 oder sogar 36 Monate nötig sind“, warnt Robert Wakim. Und wenn die Unternehmen nichts tun? Für Florian Bonnet gehen sie dann ein echtes Risiko ein: „Sie werden Internet Explorer weiterhin intern nutzen können, haben aber keinen Sicherheits-Patch mehr. Sie benutzen ihn dann auf eigene Gefahr.“

Teilen auf

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Bei gezielten oder raffinierten Attacken überwacht und blockiert unsere Stormshield Endpoint Security-Lösung in Echtzeit verdächtiges Programmverhalten - wie Speicherzugriffe, Keylogger oder die Ausnutzung von Schwachstellen - einschließlich der zweckentfremdeten Nutzung von legitimer Software.
Über den Autor
mm
Victor Poitevin Editorial & Digital Manager, Stormshield

Victor ist Digital Manager bei Stormshield. Er gehört zur Marketingdirektion und hat die Aufgabe, die Sichtbarkeit der Gruppe im Web zu verbessern. Websites, soziale Netzwerke, Blogs – das gesamte Ökosystem von Stormshield wird dafür herangezogen. Um die anderen digitalen Ambitionen der Gruppe umzusetzen, stützt er sich auf verschiedene Erfahrungen in einigen großen französischen und internationalen Konzernen sowie bei einer Publikationsagentur.