“Internet Explorer sicherer als Firefox”

EnterpriseSicherheit

Der Internet Explorer ist sicherer als Mozillas Firefox, behauptet Jeffrey R. Jones, Security Strategy Director bei Microsofts Trustworthy Computing Group.

Er beruft sich dabei auf die höhere Anzahl gestopfter Sicherheitslücken beim Mozilla-Browser. In einer ersten Reaktion hat Mozilla-Europe-Präsident Tristan Nitot die Ergebnisse der Studie naturgemäß zurückgewiesen. “Bei den in der Analyse verwendeten Zahlen werden Äpfel mit Orangen verglichen”, kritisiert Nitot. Aktuelles Thema im Streit um den sichereren Browser ist eine Langzeitstudie zur Browser-Sicherheit, die Jones in seinem Blog veröffentlicht hat. Ein unabhängiger Experte wiederum sieht berechtigte Argumente auf beiden Seiten.

Die erste Beobachtung von Jones birgt den größten Explosivstoff. Mozilla habe seit dem ersten Erscheinen von Firefox im November 2004 insgesamt 199 Sicherheitslücken in Firefox geschlossen, darunter 75 kritische. Beim Internet Explorer seien es im Vergleichszeitraum lediglich 87 Lücken gewesen, davon 54 kritische. Mit diesen Zahlen als Sicherheits-Argument geht Mozilla erwartungsgemäß hart ins Gericht. Denn, so Nitot: “Die Zahlen sind im Grunde bedeutungslos.” Er verweist auf Ausführungen von Mozilla-Mitarbeiter Mike Shaver. Dieser hält fest, dass Mozilla im Umgang mit Informationen über Lücken sehr offen sei, während bei Microsoft die Zählung der Sicherheitslücken nicht so durchsichtig ist. Im speziellen gäbe es bei Microsoft eine Reihe gebündelter Fixes, bei denen mehrere Fehler als eine Sicherheitslücke gezählt werden. Dazu würde gänzlich undokumentierte Patches im Rahmen von Service Packs kommen.

“Die Kritik von Mozilla klingt berechtigt”, meint dazu Frank Pallas, wissenschaftlicher Mitarbeiter für das Fachgebiet ‘Informatik und Gesellschaft‘ an der TU Berlin. Außerdem meint Pallas: “Bei Firefox 1.0 sind ganz zu Beginn relativ viele Fehler herausgekommen. Hätte die Studie erst ein halbes Jahr später begonnen, sähen die Zahlen eventuell ganz anders aus.” Mozilla wiederum betont weiters, dass auch der Faktor der Reaktionszeit zu berücksichtigen wäre. Nitot stellt dazu fest: “Wenn es darum geht, Fehler schnell zu beheben, ist Mozilla deutlich effizienter als Microsoft.”

Ein weiterer Kritikpunkt von Jones in Richtung Mozilla ist die Richtlinie, sechs Monate nach dem Erscheinen einer neuen Hauptversion den Support für den Vorgänger einzustellen. Damit gäbe es aktuell nur noch offiziellen Support für Firefox 2.0. Würde Microsoft ebenso verfahren, so Jones, wäre der Support für den Internet Explorer 6 im Mai 2007 eingestellt worden. Außerdem gäbe es von Microsoft immer noch Unterstützung für Internet Explorer 5.01 SP4, wie ihn manche Windows-2000-Nutzer noch verwenden. “Bei großen Unternehmen dauert es oft mehr als sechs Monate, ehe sie die Version einer Systemkomponente wechseln”, zeigt Pallas Verständnis für diese Kritik. “Allerdings”, so Pallas, “ist Firefox nicht so stark mit dem Betriebssystem verflochten wie der Internet Explorer unter Windows. Das Update der Browser-Komponente allein ist daher leichter.”

Jones erwähnt in seiner Analyse auch Punkte, in denen er sowohl Microsoft als auch Mozilla positive Entwicklungen zugesteht. So weist er darauf hin, dass sowohl Internet Explorer 7 als auch Firefox 2.0 sicherer erscheinen als die jeweiligen Vorgänger. Bei der Zahl der derzeit bekannten, nicht behobenen Sicherheitslücken gibt Jones in seiner Analyse zu, dass der Internet Explorer 7 zwar insgesamt weniger Lücken, dafür aber mehr von hoher Bedeutung habe. Sowohl Mozilla als auch Microsoft haben sich Jones zufolge im Bereich Sicherheit engagiert und Verbesserungen erzielt. Nitot führt diese Verbesserungen zu einem Gutteil auch auf den Erfolg von Firefox zurück: “Dadurch, dass die Nutzer nun anstelle einer Monopol-Situation eine echte Wahl haben, konnten wir die Industrie dahingehend positiv beeinflussen, sich noch mehr für die Sicherheit einzusetzen.”