Ab seiner Version 55 wird der Browser Firefox die riskante Animationssoftware Flash von Adobe nicht mehr automatisch unterstützen. Doch reicht das als Positionierung von Open-Source-Projekten in Sachen IT-Sicherheit aus? Von Ludger Schmitz*

Voraussichtlich am 8. August 2017 wird Firefox 55 erscheinen, und vermutlich wird die größte Neuheit darin bestehen, dass es etwas nicht mehr gibt: Flash-Unterstützung – jedenfalls nicht in den Standard-Settings. Denn der Plug-in wird ab Firefox 55 nicht mehr per Default funktionieren, sondern der User muss ihn selbst aktivieren: „Ask to Activate“ nennt man das. Statt Flash ist dann HTML5 das einzige von Haus aus durch Firefox unterstützte Format für Animationen.

Das größte Sicherheitsproblem – nach Microsoft

Flash dürfte das am weitesten verbreitete Sicherheitsproblem in der IT sein, das nicht aus dem Hause Microsoft stammt. Das Programm hat diverse Male schwerste Lücken gezeigt, über die sich Schadsoftware auf Rechner einschleusen lässt. Die Defekte hatten solche Ausmaße, dass Adobe nicht in der Lage war, schnell Patches zu liefern. Browser-Anbieter haben ihre Anwender mehrmals aufgefordert, Flash zu deaktivieren. Adobe konnte immer nur Flickwerk liefern, das noch von Macromedia stammende, proprietäre Format aber nie grundsätzlich neu und sicherer gestalten.

Irgendwann war es dann genug. Mit HTML5 entstand eine offene Alternative, und die Browser-Hersteller begannen umzudenken. Das Mozilla-Projekt kündigte für Firefox das Flash-Ende schon für 2016 an. Was aber auf sich warten ließ – und genau genommen auch jetzt nicht kommt: Wer will, kann ja auch nach dem 8. August Flash weiter aktivieren. Allerdings wird das nur für Animationen funktionieren, die von HTTP- oder HTTPS-Adressen kommen. Bei lokalen Dateien oder solchen von FTP-Servern wird das nicht klappen.

Risiko zum beiderseitigem Nutzen?

Es verwundert vielleicht, warum es so lange gedauert hat, bis das Mozilla-Projekt bei Firefox die Drohung des Flash-Rauswurfs (halbwegs) Ernst gemacht hat. Der Autor ist kein Insider dieses Projekts, kann sich aber die internen Diskussionen gut vorstellen. Ein gewichtiges Argument gegen die Entfernung der letzten für Flash noch beibehaltenen „Netscape-Pugin-API“ (NPAPI) war vermutlich die Verbreitung – im doppelten Sinn: Flash ist so verbreitet, dass Firefox es für die eigene Verbreitung braucht.

Die Firefox-Macher haben sich entschieden, den radikalen Schnitt, Flash überhaupt nicht mehr zu unterstützen, nicht zu machen. Ist die Opt-in-Variante nichts anderes als eine Reflektion der IT-Realität, eine Anpassung an „the world as we know it“? „Entscheide halt selber, User“ klingt demokratisch. Dieses Argument läuft darauf hinaus, zunächst die User erziehen zu müssen. Tatsächlich kommt langsam die Sicherheit der IT ins allgemeine Bewusstsein, während die Anwender ihre Abhängigkeit als unumgängliches Übel hinzunehmen scheinen – weswegen manche ohne zu zögern von Microsoft zu Apple wechseln. BTW: Wenn man das voraussetzt, könnte die weit bessere Sicherheit im Vergleich zu Herstellerunabhängigkeit das schlagkräftigere Argument für Open Source sein.

Was ist konsequent für Open Source?

Gegen das Firefox-Vorgehen spricht vor allem ein Argument:
Open-Source-Software, in diesem Fall Firefox, würde mit der Option, Flash doch zu nutzen, dazu beitragen, dass sich äußerst sicherheitsriskante Software verbreitet. Dass dieses Risiko dabei von einer proprietären Software ausgeht, nicht von der Open-Source-Applikation, ist in der Wahrnehmung letztlich egal. Es geht um mehr, es steht zu viel in Frage, das Funktionieren von Krankenhäusern, Wasser- und Stromversorgung, alles, was man als kritische Infrastrukturen bezeichnet. Da wäre es keine Bevormundung, den Usern zu sagen: Open Source öffnet Angreifern nicht die Türen. Alle reden von Sicherheit – wir machen ernst.

Der Autor kann sich nicht für die eine oder andere Seite entscheiden. Beide haben einleuchtende Argumente. Das Team hinter Firefox hat letztlich einen Mittelweg gewählt. Es ist klar, dass dies nicht das letzte Wort in Sachen Flash war. Es ist aber ein Anstoß für alle Browser-Hersteller, sich über ihren Weg Gedanken zu machen. Je schneller, häufiger und entschiedener sie sich gegen Flash positionieren, desto eher wird diese Gefahr für die IT-Sicherheit endgültig vom Markt verschwinden.

*Ludger Schmitz ist freiberuflicher Journalist in Kelheim.