Langweilig dürfte Parisa Tabriz eher selten werden: Sie ist nicht nur seit mehr als sechs Jahren federführend für die Sicherheit des Chrome-Browsers verantwortlich ist, sondern leitet auch das Project Zero – jenes Google-Team, das seit Jahren regelmäßig mit der Aufdeckung von spektakulären Sicherheitslücken für Schlagzeilen sorgt. Das passiert nicht immer zur Freude der davon betroffenen Unternehmen. So war es etwa ein Forscher aus diesem Team, der die unter den Namen "Meltdown" und "Spectre" bekannt gewordenen Sicherheitslücken in aktuellen Prozessoren als Erster aufgespürt hat – und damit Tabriz' anderem Aufgabenbereich ganz gehörig Arbeit verschafft hat, wie die Sicherheitsexpertin im Gespräch mit dem STANDARD freimütig bekennt.

Meltdown

"Im Moment sind wir bei Chrome noch stark mit den Folgen von Meltdown und Spectre beschäftigt", betont Tabriz. Dabei gehe es nicht zuletzt darum, dass die vorgenommenen Fehlerbereinigungen keine allzu negativen Auswirkungen auf die Performance des Browsers haben. Ganz lassen sich solche Effekte zwar nicht vermeiden, durch Optimierungen an anderer Stelle sollen die Einbußen für die Nutzer aber subjektiv nicht merkbar sein. Trotzdem ist es natürlich immer schwierig, Softwareentwicklern zu sagen, dass sie Änderungen vornehmen müssen, die ihr Produkt langsamer machen. Tabriz versichert aber, dass es intern in dieser Hinsicht keinerlei Widerstände gegeben habe. Die Entwickler wüssten sehr genau, wie wichtig die Sicherheit des Browsers sei.

Eine Frage des Blickpunkts

Ganz generell betont die Sicherheitsexpertin, dass ausgeklügelte Attacken auf Hardwareebene zwar sehr spannend seien, für die breite Masse aber viel profanere Dinge eine wesentlich relevantere Bedrohung darstellen. Phishing-Angriffe, bei denen es darum geht, sensible Daten wie Passwörter oder Kreditkarteninformationen zu erheischen, würden nicht nur weiter zunehmen, sondern auch immer ausgeklügelter werden. Vor allem gezielte Attacken gegen einzelne Personen, das sogenannte "Spear Phishing", hätten mittlerweile ein sehr hohes Niveau erreicht. Solche Nachrichten seien für viele Laien kaum mehr von echten Mails zu unterscheiden, da sie sich öffentliche verfügbarer Informationen von LinkedIn, Facebook und Co bedienen, um die Zielperson in die Falle zu locken.

Eine Einschätzung, die auch Mark Risher, zuständig für die Account-Sicherheit bei Google, teilt. Laut Risher führe der aktuelle Boom bei Kryptowährungen dazu, dass solche gezielten Angriffe derzeit stark zunehmen. Man könne etwa anhand von Gmail beobachten, dass Personen, die öffentlich via Twitter über Bitcoin diskutieren, wesentlich öfter Ziel von Spear-Phishing-Attacken werden als andere – dies natürlich mit der Motivation, nach einem Einbruch das virtuelle Geld zu entwenden.

Sicherheit auf vielen Ebenen

Welch großes Unterfangen es ist, ein Produkt wie Chrome sicher zu halten, verdeutlicht Tabriz mit einer Zahl: Der Google-Browser setzt sich mittlerweile aus mehr als zwei Millionen Zeilen C++-Code zusammen. Hier keine Fehler zu machen sei angesichts dessen, dass schon simple Tippfehler Sicherheitskonsequenzen haben können, praktisch unmöglich. Also habe man in den letzten Jahren viel investiert, um solche Fehler möglichst früh zu finden. Das passiert etwa über automatisierte Tests, die die Software laufend auf sicherheitsrelevante Bugs untersuchen, oder auch über das Bug-Bounty-Programm, mit dem ein finanzieller Anreiz geschaffen wird, damit externe Sicherheitsforscher aktiv nach Bugs suchen – und diese unter temporärer Verschwiegenheit an Google melden.

Gleichzeitig unternehme man viele Anstrengungen, um Angriffe gegen Chrome ganz prinzipiell möglichst schwer zu machen – immerhin heißt eine Sicherheitslücke noch nicht automatisch, dass diese auch für eine funktionstüchtige Attacke genutzt werden kann. So verwendet der Google-Browser seit seinen Anfängen Sandboxing, um verschiedene Seiten voneinander zu isolieren. Unter dem Namen "Site Isolation" will man dieses Konzept nun weiter ausbauen: Dabei werden künftig auch sämtliche Fremdinhalte – also etwa ein eingebettetes Video – von der restlichen Seite isoliert, was die Sicherheit des Browsers noch einmal erheblich erhöht. In aktuellen Chrome-Versionen kann die Site Isolation bereits über eine versteckte Einstellung aktiviert werden. "Bis Ende des Jahres wollen wir das zumindest auf sämtlichen Desktop-Systemen und auch bei High-End-Smartphones von Haus aus aktivieren", betont Tabriz im Gespräch. Schwieriger sehe es bei Einsteigergeräten aus, da die Site Isolation auch mehr Speicher braucht – und dieser auf solchen Smartphones üblicherweise Mangelware ist.

Erweiterungen als Angriffspunkt

Von solchen grundlegenden Umbauten abgesehen bereiten aber auch andere Themen der Sicherheitsforscherin Kopfzerbrechen. Gerade in den letzten Monaten haben sich Chrome-Erweiterungen immer öfter als Angriffspunkt gegen den Browser entpuppt. Kommt es doch mit einer gewissen Regelmäßigkeit vor, dass Entwickler-Accounts übernommen werden und Dritte dann Schadsoftware einschmuggeln, die bei Nutzern automatisch als Update installiert werden. Solchen Angriffen will man künftig verstärkt entgegentreten. So sei etwa denkbar, dass nur jene Entwickler Erweiterungen hochladen können, die Zwei-Faktor-Authentifizierung zur Absicherung ihres Google-Accounts verwenden, sagt Tabriz. Eine endgültige Entscheidung sei in dieser Hinsicht aber noch nicht gefallen.

Privacy

Neben Sicherheit ist für viele Nutzer aber auch die Wahrung der Privatsphäre von großer Bedeutung. Dafür bietet Chrome einen eigenen Incognito-Modus an, bei dessen Nutzung keinerlei Daten fix abgespeichert werden. Einen perfekten Schutz kann dieser natürlich nicht bieten: Einerseits, weil viel Kommunikation im Netz noch unverschlüsselt erfolgt und bei solchen Seiten dann Dritte mitlesen könnten – egal ob der Incognito-Modus aktiv ist oder nicht; andererseits, weil Seiten immer wieder Tricks finden, die Nutzer trotzdem zu tracken. Insofern versucht man hier immer wieder nachzubessern, um zumindest das Tracken zu verhindern.

Zusätzlich stellt die Google-Entwicklerin aber noch eine weitere Alternative in den Raum: Derzeit denke man über einen Advanced-Protection-Modus nach, der den Browser zusätzlich absichern soll. Ähnlich wie es einen solchen Dienst bereits für die Absicherung von Google-Accounts gibt, würde dieser natürlich mit einem gewissen Funktionsverlust einhergehen, gleichzeitig aber eine höher Sicherheit für jene bieten, die von gezielten Angriffen besonders gefährdet sind – etwa politische Aktivisten oder Journalisten.

Das Adblocker-Thema

Angesichts dessen, dass Google zu weiten Teilen vom Verkauf von Werbung lebt, ist es nicht sonderlich überraschend, dass Tabriz ein zwiespältiges Verhältnis zum Thema Adblocker hat. Natürlich sei es nicht zu leugnen, dass die Nutzung eines Tools zum Teil die Sicherheit erhöhen kann, da es leider auch bösartige Werbung im Netz gebe, die die Nutzer zur Installation von Schadsoftware bewegen will. Gleichzeitig sei es aber Realität, dass ein bedeutender Teil aller Seiten und Dienste im Netz – und zwar nicht nur jene großer Hersteller – von Werbung lebt. Würden nun sämtliche Nutzer generell Werbung blocken, würde einem bedeutenden Teil des Webs die finanzielle Grundlage entzogen – und diese Dienste schlicht wegfallen. Dieser Realität sollten sich alle bewusst sein.

Bei Google wählt man entsprechend einen anderen Ansatz: Ein minimaler Adblocker soll garantieren, dass nur "akzeptable" und nichtbösartige Werbung angezeigt wird. Dieser wird Mitte Februar in einer ersten Version bei allen Chrome-Usern aktiviert. Zudem betreibe man seit Jahren die"Safe Browsing"-Initiative, die die User vor potentiell gefährlichen Seiten warnt – und übrigens auch von anderen Browserherstellern genutzt wird, wie Tabriz betont. Mindestens so wichtig ist aber die Umstellung aller Webseiten auf HTTPS: Die verschlüsselte Datenübertragung stellt nämlich nicht nur sicher, dass am Weg zum Seitenanbieter keine Dritten mitlesen oder Inhalte manipulieren können, sondern garantiert auch die Authentizität einer Webpage. Zumindest in dieser Hinsicht habe man glücklicherweise in den letzten Jahren erhebliche Fortschritte gemacht, so erfolgen etwa in den USA mittlerweile 79 Prozent aller Seitenaufrufe im Chrome mittels HTTPS. Und Google will hier den Druck noch weiter erhöhen. So sollen ab Mitte Juli nicht-verschlüsselte Seiten im Chrome generell als "nicht sicher" markiert werden.

Project Zero

Beim Project Zero verfolgt man hingegen ein ganz anderes Ziel Hier geht es lediglich um das Aufspüren von Sicherheitslücken. Um das Beheben dieser müssen sich andere kümmern – und dabei gelten übrigens für Google-Projekte die gleichen Regeln wie für andere Firmen, wie Tabriz unterstreicht. Die Idee hinter der Elite-Hacker-Gruppe ist, Fehler in viel genutzter Software aufzuspüren, bevor sie Akteure mit weniger hehren Absichten entdecken. Eine fixe Regel, welchen Projekten man sich dabei zuwendet, gebe es nicht, erklärt die Sicherheitsexpertin, aber man überlege sich natürlich vorher, was für Angreifer besonders lohnende Ziele sind. So hat das Projekt in den letzten Jahren denn auch eine Vielzahl an sicherheitsrelevanten Fehlern in unterschiedlichsten Softwareprodukten aufgedeckt – von Betriebssystemen wie Windows, macOS, Android und iOS bis hin zu Antivirensoftware oder Passwort-Managern.

Antivirenproblematik

Apropos Antivirensoftware: Im Gespräch macht Tabriz keinen Hehl daraus, dass sie keine große Freundin solcher Tools ist: "Es gibt leider viele Antivirenprogramme, die mehr Risiko mit sich bringen als sie Nutzen haben, weil sie einfach selbst schlecht geschrieben sind, aber einen sehr weitreichenden Zugriff auf das System haben", betont die Sicherheitsexpertin. Es gebe natürlich auch Ausnahmen, der Windows Defender etwa sei so eine, da er durchaus sinnvolle Funktionen erfülle – auch wenn das Project Zero in diesem ebenfalls bereits verheerende Lücken aufgedeckt hat. Ganz generell stelle sich natürlich die Frage, was man überhaupt als Antivirensoftware bezeichnet. Bei Chrome nutze man etwa ein Cleanup-Tool, dass Manipulationen durch bösartige Erweiterungen wieder aufräumen kann. So etwas würden viele nicht als Antiviren-Tool bezeichnen, da dabei keine Schadsoftware im eigentlichen Sinne entfernt würde, für die Nutzer sei die Auswirkung aber sehr ähnlich.

Blick in die Zukunft

Auch wenn Tabriz natürlich nicht über aktuelle Forschungsprojekte des Project Zero sprechen kann, so sieht sie doch derzeit gewisse Schwerpunkt im Bereich der Sicherheitsforschung. Einerseits sind dies hardwarebasierte Attacken à la "Meltdown" und "Spectre" – hier werde sicher noch einiges nachkommen. Zudem stellen sich auch Firmware und Treiber immer mehr als echter Problembereich heraus.

Flash

Eines der ersten großen Schwerpunktthemen des Project Zero war übrigens der Flash Player von Adobe, hier habe man eng mit Adobe zusammengearbeitet, um dessen Sicherheit zu verbessern. Trotzdem bleibt dieser bis heute ein problematischer Bereich, aber zumindest einer mit Ablaufdatum. Ende 2020 soll dieser endgültig aus dem Chrome entfernt werden, ein Zeitrahmen auf den man sich mit anderen Herstellern verständigt hat. Ob Tabriz diesen Tag herbeisehnt? "Oh ja. Sehr. Da wird es eine Party geben", lässt die Google-Managerin keinerlei Zweifel an ihrer Meinung zu diesem Thema aufkommen. (Andreas Proschofsky, 13.2.2018)