Kluges Surfkonzept

Sicher surfen mit der “Zwei-Browser-Technik”

Dass es gut ist, einen Plan zu haben, und noch besser, wenn er funktioniert, wusste schon Hannibal Smith vom A-Team. Die "Zwei-Browser-Technik" hätte dem alten Haudegen ebenfalls gefallen, vorausgesetzt, er hat neben Recht und Ordnung auch etwas mit Internet am Hut - aber der Reihe nach: Rasmus Lerdorf ist der Erfinder der Computer-Programmiersprache PHP und ein Vertreter der so genannten „Zwei-Browser-Theorie“. Klingt kompliziert, ist im Grunde aber ganz einfach: Man nehme Firefox und IE7 und verfahre mit seinen Surfgewohnheiten nach dem Aschenputtel-Prinzip – Alltägliches ins Töpfchen, Heikles ins Kröpfchen. Das Ergebnis: Hacker und Spyware-Angreifer schauen durch die Finger. Selbst dann, wenn sie scheinbar erfolgreich zuschlagen...

Das Webmagazin „Computerworld“ hat Rasmus Lerdorf auf einer Tagung in Santa Clara, Kalifornien zum Thema PHP interviewt. Zwischen den Fragen der Redakteure ließ der Programmierer-Guru folgenden Satz fallen: „Heutzutage mit nur einem Browser zu arbeiten, ist schlichtweg verrückt.“ Er benutze prinzipiell zwei Browser. Weil er auf einem Mac arbeite, den Standard-Browser Safari für alltägliches Surfen und Mozillas Firefox für wichtige Bankgeschäfte oder zum Einkaufen mit Kreditkarte. Krone.at ist der Zwei-Browser-Theorie nachgegangen.

Die Theorie: Töpfchen und Kröpfchen
Legt man Lerdorfs Surf-Konzept auf PC-Benutzer um, so würden sich als logische Kandidaten Microsofts Internet Explorer 7 und Mozillas Firefox aufdrängen. Die Grundidee der Zwei-Browser-Technik ist es, einen Browser für das alltägliche Surfen, Googeln und Websites-Abgrasen zu benutzen – dasTöpfchen also, in das die Mehrheit der täglich vorm PC verbrachten Zeit fällt. Für Bankgeschäfte, Steuererklärungen und Einkäufe mit Kreditkarte, also die heiklen, besonders zu schützenden Tätigkeiten, die man im Web nicht täglich durchführt, benutzt man den zweiten Browser – das Kröpfcheneben.  

Von Sicherheitslücken und Cookies
Die Antwort auf die Frage, warum diese Technik effektiv sein soll, findet sich in der Programmierkunst. Lerdorfs PHP-Sprache wird von der Mehrheit der Websites im Internet benutzt und erfreut sich auch bei Amateuren großer Beliebtheit, da man mit wenigen Kenntnissen relativ anschauliche Ergebnisse erzielen kann. Gerade das verursacht aber laut Lerdorf eine Fülle an potenziellen Sicherheitslücken, neun von zehn Websites würden diese Lücken aufweisen. Für deren Nutzung wären allerdings so einiges Know-How und zudem eine ganze Latte an Gesetzesübertretungen von Nöten; aber sie sind da, zweifelsohne.

Aber zurück zur Zwei-Browser-Technik: Wer im Internet surft, „fängt“ sich allerhand Zeugs ein. Cookies, automatisierte Skripte, hin und wieder einen Virus, und, und, und; generell tendiert man aus Bequemlichkeit dazu, Passwörter und Zugangsdaten für Website-Accounts vom Browser speichern zu lassen und löscht nicht immer seinen Verlauf und Dinge, wie temporär gespeicherte Dateien – und so kommt eins ums andere und mit der Zeit eine hübsche Sammlung an persönlichen, im Browser gespeicherten Daten zusammen.

Wer mit demselben Browser auch noch empfindliche Tätigkeiten wie Online-Banking durchführt, hat bei einer erfolgreichen Attacke durch Hacker oder bei einer durch Spam untergejubelten Phishing-Website die Hosen kräftig runter - mit einem Rundumschlag können Kriminelle aus den Vollen schöpfen, wenn sie beispielsweise mit Spyware die Daten, die der Browser im Arbeitsspeicher hinterlässt bzw. hinterlassen hat, auslesen und auf diese Weise an einen Datenhaufen gelangen, in dem sich irgendwo Passwort und User-ID befinden, die man ein paar Stunden zuvor bei der Hausbank eingetippt hat.

Schadensbegrenzung durch die Zwei-Browser-Technik
Genau hier setzt die „Zwei-Browser-Technik“ als eine Möglichkeit zur effektiven Schadensbegrenzung an. Wer beispielsweise den IE7 fürs Alltags-Surfen benutzt und den Firefox für heikle Sachen, riskiert bei einer Attacke nur den Verlust weniger relevanter Daten, deren Missbrauch einem zumindest nicht finanziell schaden kann. Der Zugang zum E-Mail-Account ist für die meisten Hacker ohnehin wertlos und uninteressant, weil nicht zu Geld zu machen.

Der ausschließlich für Einkäufe mit Kreditkarte, Bankgeschäfte, Online-Steuererklärung und dergleichen genutzte Zweitbrowser kommt bei Lerdorfs Surfkonzept mit Websites, die potenzielle Sicherheitslücken aufweisen oder Trojaner verbreiten, erst gar nicht in Berührung. Setzt man den Alltags-Browser als Standard, wird der andere im Normalfall auch von Spyware außer Acht gelassen. Auch wenn ein Drittprogramm auf das Web zugreifen will, klappt ein Fenster des Standardbrowsers auf und der für die heiklen Dinge benutzte Browser bleibt unberührt.

Man kann das Kröpfchen als abgeriegelte, von schlechten Einflüssen stets frei gehaltene Naturschutzzone verstehen, in die man sich für heikle Geschäfte zurückzieht. Insgesamt ein simples wie effektvolles Konzept, bei dem allerdings eines nichts passieren darf – dass der Alltagsbrowser mit dem anderen Browser verwechselt wird…

Christoph Andert