Vor nicht allzu langer Zeit waren die IT-Sicherheitsmedien wieder einmal voller freudiger Meldungen, dass Microsoft den Internet Explorer (IE) endgültig zu Grabe tragen würde. Wir wollen die langjährige Geschichte des einst beliebtesten Browsers der Welt rekapitulieren und herausfinden, ob es nun endlich Zeit zum Jubeln ist (Spoiler: ist es nicht).
Internet Explorer: Chroniken über Leben und Tod
Wer die 2000er Jahre nicht miterlebt (oder vergessen) hat, sei daran erinnert, dass der Internet Explorer damals mit einem Browser-Marktanteil von über 90 % das Web beherrschte. Es ist heute kaum zu glauben, aber der Explorer war sogar noch dominanter als der aktuelle Champion, Google Chrome, es heute ist.
Doch seit der Einführung von Chrome im Jahr 2008 ist die Popularität des Explorers immer weiter gesunken. Das Jahr 2012 kann als das Ende der Explorer-Ära angesehen werden, als Chrome ihn endgültig ablöste. Das erste offizielle Eingeständnis von Microsoft zu dieser Tatsache kam jedoch erst 2015.
Damals kündigte das Unternehmen zusammen mit der Vorstellung von Windows 10 an, die Weiterentwicklung des Internet Explorers einzustellen und Edge als Standardbrowser für Windows einzuführen, womit die erste Phase der Ausmusterung des IE eingeleitet wurde. Die Ursprungsversion von Edge wurde von Microsofts eigener EdgeHTML-Engine betrieben, einer Abwandlung von MSHTML (auch bekannt als Trident), auf dem der Internet Explorer basierte.
Selbstverständlich verfügte Edge auch über einen IE-Kompatibilitätsmodus. Dennoch war der Explorer auch in seiner elften und letzten Version noch in das Betriebssystem integriert. So begann die Dual-Browser-Periode, in der sowohl Edge als auch Explorer auf Windows vorinstalliert waren, die (ein weiterer Spoiler) bis zum heutigen Tag andauert.
Drei Jahre später, im Dezember 2018, folgte Phase zwei: Microsoft gab weitere Versuche, eine eigene Engine zu entwickeln, auf und stellte eine völlig neue Version von Edge vor, die dieses Mal auf Chromium basierte. Und auch dieser Browser verfügte über einen IE-Kompatibilitätsmodus… und Explorer blieb weiterhin im System bestehen.
Im Jahr 2021 veröffentlichte Microsoft sein neues Windows 11. Von nun an war es nicht mehr möglich, den Explorer als eigenständigen Browser zu starten und zu verwenden – zumindest theoretisch. Doch Edge behielt weiterhin seinen IE-Kompatibilitätsmodus bei. Und auch der Explorer selbst war weiterhin im System vorhanden, weshalb er nach ein wenig Bastelarbeit immer noch ausgeführt werden konnte.
Einige Jahre später, erst kürzlich im Februar 2023, machte die Nachricht die Runde, dass Microsoft den Explorer mit seinem letzten Update endgültig abgeschafft hatte. Ein Gnadenstoß, der diese grausame Qual beendete. Doch bei genauerem Hinsehen stellt sich heraus, dass der gute alte Explorer noch immer lebt!…
Deaktivieren heißt nicht löschen
Zunächst einmal muss man sich darüber im Klaren sein, dass das Windows-Update den Explorer nicht aus dem Betriebssystem entfernt, sondern ihn deaktiviert. Das bedeutet in der Praxis, dass der Explorer nicht mehr als eigenständiger Browser gestartet werden kann (dieses Mal definitiv). Edge, der offiziell einzige Browser unter Windows, verfügt jedoch weiterhin über einen IE-Kompatibilitätsmodus. Das bedeutet, dass der Explorer nach wie vor am Leben ist – wenn auch nicht mehr mit voller Kraft: Er dient nur noch dazu, den Betrieb dieses Modus sicherzustellen.
Wenn Sie versuchen, den Explorer zu öffnen, wird stattdessen Edge ausgeführt. Und dort können Sie, wenn Sie es wirklich wollen, den IE-Kompatibilitätsmodus auswählen. Folglich wird der Explorer so lange weiter unter Windows laufen, bis Microsoft beschließt, den IE-Kompatibilitätsmodus endgültig zu begraben.
Der Patch zur Deaktivierung des IE funktioniert nicht auf allen Systemen
Selbst die Deaktivierung des Explorers war nicht endgültig. Es gibt eine ganze Reihe von Betriebssystemen, die von dem Update zur Deaktivierung des IE ausgeschlossen sind. Microsoft hat freundlicherweise eine Liste mit diesen Ausnahmen veröffentlicht:
– Windows 8.1
– Windows 7 Extended Security Updates (ESU)
– Windows Server Semi-Annual Channel (SAC), alle Versionen
– Windows 10 IoT Long-Term Servicing Channel (LTSC), alle Versionen
– Windows Server LTSC, alle Versionen
– Windows 10 Client LTSC, alle Versionen
– Windows 10 China Government Edition
Mit anderen Worten, die Nutzer dieser Betriebssysteme haben nicht einmal die oben genannten Änderungen erhalten. Sie werden weiterhin in der Lage sein, den Internet Explorer als eigenständigen Browser auszuführen.
Was ist das eigentliche Problem?
Das Problem ist, dass zusammen mit dem hoffnungslos veralteten Browser alle seine Schwachstellen (sowie noch nicht entdeckte) im System verbleiben. Das einzige wirkliche Unterscheidungsmerkmal zwischen „vor“ und „nach“ der Deaktivierung des IE ist, dass es etwas komplizierter werden könnte, diesen anfälligen Browser für bestimmte Arten von Angriffen auszunutzen.
Als anschauliches Beispiel dafür, was schief gehen kann, können wir die Sicherheitslücke CVE-2021-40444 wieder ins Gedächtnis rufen. Diese wurde 2021 in der MSHTML-Engine des Internet Explorer entdeckt. Zum Zeitpunkt der Entdeckung wurde die Sicherheitslücke bereits für Angriffe auf Microsoft Office-Benutzer ausgenutzt. Dabei fügten Angreifer Office-Dokumenten ein bösartiges ActiveX-Element hinzu, das die Ausführung von Remotecode ermöglichte, nachdem der Benutzer die trojanisierte Datei geöffnet hatte.
Wieso beerdigt Microsoft den Explorer also nicht einfach? Das Problem ist, dass dieser Browser zu lange die einzige praktikable Option für viele Unternehmen war und während dieser Zeit tiefe Wurzeln in ihrer Infrastruktur schlagen konnte. Manche dieser Unternehmen können sich noch immer nicht von dem Erbe dieser dunklen Vergangenheit trennen. So wird der inzwischen halbtote Browser aus Kompatibilitätsgründen (ein Heiligtum für Microsoft) seit über einem Jahrzehnt von Betriebssystem zu Betriebssystem geschleppt.
So können Sie sich schützen
So wie es aussieht, müssen wir wohl noch mindestens ein paar Jahre warten, bis der Internet Explorer endgültig von seinem Leid erlöst wird. Wenn Sie nicht darauf warten wollen, dass Microsoft dem IE ein für alle Mal den Gnadenschuss gibt (wovon wir dringend abraten), ist es besser, selbst die letzte Krankensalbung vorzunehmen:
- Wenn Ihr Unternehmen immer noch an den Internet Explorer gebundene Technologien verwendet, versuchen Sie, diese schrittweise abzuschaffen und auf moderne Technologien umzustellen. Ganz im Ernst: Das hätte man schon vor 10 Jahren tun sollen.
- Wenn Sie die IE-Kompatibilität nicht mehr benötigen, ist es sinnvoll, den Browser auf allen von Ihnen verwendeten Betriebssystemen zu deaktivieren. Bei den oben genannten Betriebssystemen müssen Sie dies manuell tun – auf der Microsoft-Website finden Sie eine nachvollziehbare Liste mit Anweisungen, wie Sie dies tun können. Bei allen anderen Systemen sollten Sie sicherstellen, dass der entsprechende Microsoft-Patch installiert ist.
- Nach den Empfehlungen von Microsoft müssen Sie Sicherheitsupdates, die für den Internet Explorer gelten, auch nach dessen Deaktivierung installieren, da einige Komponenten des Browsers auf dem System verbleiben.
- Und selbstverständlich sollten Sie auf allen Geräten in Ihrem Unternehmen zuverlässige Schutzlösungen