Internet Explorer: Behörde warnt vor breitflächigem Angriff

Von STEPHAN DÖRNER

Vor einer kritische Lücke in Microsofts Webbrowser Internet Explorer warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Eine seit Montag bekannte Lücke des Standard-Webbrowsers von Windows würde bereits aktiv ausgenutzt. Dabei handelt es sich um eine sogenannte Drive-by-Attacke – eine Lücke, die ohne aktives Eingreifen des Nutzers ausgenutzt werden kann. Ein Opfer muss nur auf eine entsprechend manipulierte Website gelockt werden, damit der Angreifer einen beliebigen Code auf dem PC ausführen und ihn damit komplett kontrollieren kann. „Somit steht Online-Kriminellen quasi die Tür zum Rechner der Nutzer offen und sie können jegliche Schadsoftware auf die Rechner aufspielen – je nachdem, welche Zwecke sie verfolgen“, sagte ein Behörden-Sprecher.

Bild vergrößern

Schließen

dapd

Microsofts Internet Explorer und Googles Chrome - das BSI rät zum Umstieg auf einen alternativen Browser.

Die Sicherheitslücke betreffe die Versionen 7, 8 und 9 des Programms unter den Windows-Versionen XP, Vista und 7. Das BSI weist darauf hin, dass derzeit kein Software-Update von Microsoft für die Sicherheitslücke zur Verfügung gestellt wird und rät daher vorübergehend von der Nutzung des Webbrowsers ab. Alternative kostenlose Webbrowser für Windows sind beispielsweise Googles Chrome, der Mozilla Firefox, Apples Safari und der Browser Opera.

Microsoft Deutschland kritisierte die Warnung des BSI im Gespräch mit dem Wall Street Journal Deutschland. „Es gibt keinen Grund zur Panik“, sagte ein Sprecher. Es handle sich nur um einzelne gezielte Attacken. „Angesichts der Bedrohungslage, von der alle Browser betroffen sind, halten wir es für nicht sinnvoll, den Leuten zu empfehlen, ständig den Browser zu wechseln“. Das BSI widerspricht dieser Einschätzung. „Da der Angriffscode bereits frei im Internet verfügbar ist, ist mit einer breitflächigen Ausnutzung zu rechnen“ teilte die Behörde auf Anfrage mit.

Zu Opfern, Tätern oder Zahl der Attacken konnten weder Microsoft noch das BSI Angaben machen. Das Software-Unternehmen will so „schnell wie möglich“ ein Software-Update für die Lücke zur Verfügung stellen, „möglicherweise auch abseits des offiziellen Patchdays am 9. Oktober“, sagte der Sprecher. Weniger kritische Software-Fehler behebt Microsoft normalerweise gebündelt an einem so genannten Patchday.

Microsoft wurde durch das BSI auf die Lücke aufmerksam gemacht. Dem Software-Konzern zufolge hat die deutsche Behörde das Sicherheitsproblem auf einem Fach-Blog entdeckt. Microsoft rät Nutzern, das Sicherheitslevel in den Einstellungen des Internet Explorers hochzusetzen, so dass ein Code nur noch nach Nachfrage ausgeführt wird. Außerdem verweist Microsoft auf das Enhanced Mitigation Experience Toolkit (EMET) mit dem die Attacke verhindert werden könne. Der Einsatz des Tools könne Anwendern mit wenig Computerkenntnissen aber nicht empfohlen werden, schränkte der Sprecher ein.

Vor wenigen Wochen hatte das BSI schon einmal vor dem Internet Explorer gewarnt. Damals ging es um eine Sicherheitslücke in dem Java-Programm, für die Microsoft keinen ausreichenden Schutz zur Verfügung gestellt hatte.

Das Bundesamt für Sicherheit in der Informationstechnik ist eine in Bonn ansässige Bundesbehörde, die in Deutschland für die IT-Sicherheit zuständig ist.

Kontakt zum Autor: stephan.doerner@wsj.com