Studie: Internet Explorer erkennt Malware besser als andere

In einer Untersuchung aktueller Browser kommt das Fraunhofer-Institut für Sichere Informationstechnik (SIT) zu der Erkenntnis, dass in einem Teilbereich Microsofts Internet Explorer (IE) seine Nutzer besser vor Malware-Angriffen schütze als andere Browser. Einige der betrachteten Konkurrenten sind allerdings mittlerweile durch neuere Versionen abgelöst.

Die Studie (PDF) betrachtet ausschließlich "reputationsbasierten Malware-Schutz". Damit sind Schwarze Listen gemeint, die sowohl Schadcode verteilende Webseiten als auch Schadprogramme selbst registrieren. Ein inhaltsorientiertes Reputationssystem bot während der Untersuchungszeit jedoch nur der IE 9. Für ihre Ende 2011 durchgeführte Studie betrachteten die Forscher 261 URLs, die Malware verteilten.

Bei der Aufnahme dieser URLs in ihre Schwarzen Listen während der Untersuchungszeit lagen die IE-Versionen 8 und 9 mit Erkennungsraten um 34 Prozent deutlich vor den damals aktuellen Konkurrenz Chrome 14, Safari 5 und Firefox 6. Diese drei nutzen Googles "Safe Browsing List" und blockierten nur zwischen 8 und 11 Prozent der URLs.

Auch bei der Erkennung einmal heruntergeladener Malware lag der IE 9 vorne, allerdings identifizierte er nur zwischen 3,1 und 7,3 Prozent der Programme. Mit dieser Technik konnte er seine Erkennungsrate um 5 Punkte auf insgesamt 39 Prozent steigern. Die Forscher weisen darauf hin, dass inzwischen auch Chrome 17 eine solche inhaltsorientierte Malware-Erkennung bietet. Er war jedoch während der Untersuchung noch nicht verfügbar, sodass sie keine Aussagen über ihn trifft.

Methodisch erscheinen die Ergebnisse unklar, denn es gibt keine Informationen darüber, welche Browser von den untersuchten URLs betroffen sind. Angesichts des IE-Marktanteils liegt die Vermutung nahe, dass er immer noch Hauptziel von Attacken ist. Dies könnte sich in einem Übergewicht von IE-spezifischen in den betrachteten URLs widerspiegeln, sodass ein höherer Erkennungsgrad des IE nicht erstaunen würde. Denn Microsoft speichert in seinen Blacklists nur URLs, die seinen eigenen Browser betreffen – umgekehrt betrachtet Google nur Sites, die Chrome, Firefox und Safari gefährden.

Eine Studie von Accuvant, die auch die SIT-Forscher erwähnen, kam Mitte 2011 zu anderen Ergebnissen (PDF) als das SIT. Sie untersuchte rund 3000 aktive, publizierte Malware-URLs über einen Zeitraum von einer Woche. Davon identifizierten sowohl Googles als auch Microsofts Technik nur rund 13 Prozent, allerdings jeweils andere. Ob die unterschiedlichen Verfahren auch nur ihre "eigenen" URLs erkennen oder ob es eine Schnittmenge gibt, sagt die deutsche Studie nicht.

Die SIT-Untersuchung wurde von Microsoft und Center for Advanced Security Research Darmstadt (CASED) finanziert. An mehreren Stellen weisen die Autoren ausdrücklich darauf hin, dass keiner der Browser-Hersteller Einfluss genommen habe und alle Verfahren unabhängig und ausschließlich von ihnen selbst entwickelt wurden. Außerdem seien Malware-URLs nur eine Form von Angriffen, aus ihren Ergebnissen ließen sich deshalb keine allgemeinen Aussagen über die Sicherheit von Browsern ableiten. (ck)