Browser-Hersteller erschweren Filterung von Webseiten: Die Sicherheit leidet

Für die Filterung von Webinhalten gibt es viele Gründe: Sicherheitslösungen wie G DATA Total Security schützen im Browser vor Schadsoftware, Phishing-Angriffen und betrügerischen Inhalten. Andererseits lässt sich eine Filterung zur Durchsetzung von Compliance-Richtlinien in Unternehmen nutzen, um zum Beispiel das Surfen auf Spiele-Webseiten zu unterbinden.

Darüber hinaus gibt es den verständlichen Wunsch von Schulen oder Eltern, den Zugriff von Minderjährigen auf jugendschutzgefährdende Webseiten zu unterbinden. Dazu gehören zum Beispiel pornographische Webseiten und politisch extreme Webseiten oder aber Inhalte, die zu gefährlichem Verhalten wie Magersucht oder gar Selbstverstümmelung bis hin zum Selbstmord animieren. Der häufigste Grund für Filtering ist zu guter Letzt aber das Blocken von Werbung durch Endanwender.

Adblocker könnten ein Grund sein, um die Schnittstelle abzuschalten. Denn insbesondere Adblocker widersprechen dem Geschäftsmodell des Chrome-Herstellers Google. Schließlich macht das Unternehmen jährlich vor allem mit Werbung Milliardenumsätze. Zum Vergleich: Der durchschnittliche aus Werbung generierte Umsatz von Google liegt höher als das Bruttoinlandsprodukt von Ländern wie zum Beispiel der Ukraine, der Slowakei oder Luxemburg.

Was auch immer am Ende der konkrete Grund für die Abschaltung seitens Google ist – die Konsequenzen für die IT-Sicherheit sind bereits absehbar. Denn wenn Security-Lösungen nicht mehr lokal filtern, braucht es andere Mechanismen zum Schutz des Endpoints. Dabei kommt dann meistens das von vielen Sicherheitsexperten kritisierte Aufbrechen verschlüsselter Verbindungen zum Einsatz.

Statt entsprechender APIs implementieren verschiedene Hersteller von Filtermechanismen wie etwa Sicherheitshersteller sogenannte „Man-in-the-Middle“-Zertifikate. Dabei wird das eigentlich von einer Webseite verwendete Sicherheitszertifikat durch die Software eines Herstellers letztlich ausgetauscht, so dass die übertragenen Inhalte mitgelesen werden können.  

Das Prinzip ähnelt dem, das Kriminelle nutzen, um unerlaubt auf Daten zuzugreifen. Daher lehnen wir dieses Verfahren aus Sicherheitsgründen ab, da es ohne Not die Sicherheitskette unterbricht und so eine potenzielle Schwachstelle schafft.

Eine brauchbare Alternative zum bisherigen, etablierten Verfahren liefert Google in seiner Ankündigung nicht mit. Eine allgemeine Empfehlung lautet, die API declarativeNetRequest zu nutzen. Das Problem: Diese API ermöglicht es nur, die Nutzeranfragen gegen eine URL-Liste abzugleichen. Laut der aktuellen Dokumentation von Google ist diese Liste auf 30.000 Einträge begrenzt, wobei Google laut eigener Aussage angeblich eine Erhöhung auf 150.000 Einträge plant.

Allerdings steht dem die Tatsache gegenüber, dass bereits die vor einem Jahrzehnt erschienene Malware „Conficker“ über einen sogenannten „Domain Generation Algorithm“ (DGA) bis zu 50.000 Domain-Namen pro Tag erstellt hat. Vor diesem Hintergrund wäre effektives Blocken über eine Liste mit statischen Einträgen vielleicht vor 20 Jahren praktikabel gewesen. Für moderne Bedürfnisse reicht das nicht ansatzweise aus.

Grundsätzlich könnten Sicherheitslösungen auch an einer anderen Stelle als an der Filterung von URLs im Browser ansetzen. Und zwar in der Namensauflösung von Nutzeranfragen an Provider über das Domain-Name-Service-System. Doch auch hier finden aktuell weitreichende Änderungen statt, die Konsequenzen für Sicherheit und Privatsphäre der Nutzer haben.

Neben der Abschaffung effektiver direkter Filtermechanismen stellen Browserhersteller zurzeit intensiv die Auflösung von DNS-Namen standardmäßig auf das verschlüsselte „DNS over HTTPS“ (DoH) um. Der Browserhersteller Mozilla testet in seinem Firefox-Browser derzeit einen entsprechenden Dienst des CDN-Anbieters Cloudflare. Der Dienst wird als zusätzliche „Sicherheitsmaßnahme“ beworben, da die DNS-Abfragen nunmehr verschlüsselt übertragen werden. Verschlüsselte DNS-Abfragen sind seit Jahren immer wieder in der Diskussion – zuletzt forderten Hersteller eine Umsetzung mittels des DNSSec-Standards, der sich jedoch nicht bis zu Privatkunden durchgesetzt hat.

Dem ist entgegenzuhalten: Privatanwender und kleinere Betriebe nutzen typischerweise den Resolver ihres Providers. DNS-Anfragen verlassen das Provider-Netz daher nicht. Durch die Einführung von DoH wird der Provider – der im europäischen Falle zumindest europäische Datenschutzgesetze und -vorstellungen einhält – effektiv und ohne Not umgangen. Größere Betriebe betreiben typischerweise ihren eigenen DNS-Resolver. Auch dieser würde umgangen und die DNS-Daten werden ohne eine technische Notwendigkeit Drittparteien – typischerweise in den USA – zugänglich gemacht. Hier besteht durchaus auch die Möglichkeit, dass lokale DNS-Einträge wie etwa Intranet-Domains an die DoH-Provider abfließen. Einen Vertrag mit den entsprechenden Dienstleistern haben die betroffenen Nutzer in aller Regel nicht unterzeichnet.

Eine dauerhafte Nutzung verschlüsselter DNS-Abfragen ist nicht für alle Nutzer eine Notwendigkeit. Einen Mehrwehrt haben Nutzer, die ihrem eigenen ISP grundlegend misstrauen – etwa Anwender in totalitären Staaten. Einen Sicherheits- und Privatsphäregewinn könnte es außerdem in öffentlichen WLANs geben. Für Privatanwender oder im betrieblichen Umfeld bietet DoH derzeit keinen Mehrwert.

Tatsächlich stehen dem geringen Mehrwert aus unserer Sicht erhebliche Risiken gegenüber. Die von Mozilla eingesetzten DNS-Resolver unterliegen zwar bestimmten Bedingungen. Diese ermöglichen allerdings das personenbezogene Speichern von DNS-Auflösungen für einen Tag und stellen keine weitere Bedingung an die Nutzung – außer, dass die personenbezogenen Daten nicht weitergegeben werden dürfen. Interessant ist jedoch vor allem das, was dort nicht steht: Die Nutzung durch den Resolver selbst für etwa werbliche Zwecke ist nicht verboten.

Auch Microsoft hat unlängst angekündigt, bei Windows auf DoH zu setzen. Allerdings wird hier lediglich beim vom Benutzer bzw. Administrator konfigurierten DNS-Server geprüft, ob dieser auch DoH-tauglich ist. Es wird nicht – wie bei den Browser-Herstellern – einfach stillschweigend ein fremder DoH-Server konfiguriert.

Mit Google Safe Browsing ermöglicht Google sich selbst, was es anderen Sicherheitsherstellern versagt. Google könnte sogar in Chrome die Filterlisten von Plugin-Herstellern auslesen und für eigene Zwecke übernehmen. Damit wird Google de facto zum Monopolisten für diese Filterlisten, weil Hersteller von Filter-Plugins eines Hauptteils ihres Geschäftes verlieren.

Wettbewerbsrechtlich ist das mehr als fragwürdig. Außerdem sind dann alle Internetnutzer dem US-Unternehmen Google auf Gedeih und Verderb sowie mit allen datenschutzrechtlichen Konsequenzen ausgeliefert, ohne die Möglichkeit einer Kontrolle oder Alternative. Die Erkenntnis, dass solche zwangsweisen Umstrukturierungen gerade für das moderne Internet Gift sind, scheint immer noch nicht weit verbreitet zu sein.

Deshalb konstatieren wir bei G DATA: Zurzeit setzen Google und Mozilla in ihren Browsern politische Vorstellungen und rein kommerzielle Interessen durch – verdeckt durch ein dünnes rhetorisches Feigenblatt aus Datenschutz und Privatsphäre. Der Nutzen für die Anwender ist derzeit aber nicht klar ersichtlich, denn sie verlagern das Vertrauensproblem zum Beispiel mit DoH nur an eine andere Stelle.