Reportage und Interview mit Ivo Gabrowitsch
Von dem chinesischen Hacker-Angriff auf Google, den Sicherheitsexperten inzwischen ›Operation Aurora‹ getauft haben, sind über 30 weitere High-Tech-Firmen betroffen, darunter Adobe, Yahoo, Symantec und Dow Chemical. Bei den Anschlägen handelt es sich um ausgeklügelte Phishing-Attacken, die sich einer Microsoft-Font-Technologie mit dem Namen Embedded OpenType (EOT) bedienen (vgl. ZDNet: Another critical font engine vulnerability). EOT-Fonts sind eine kompakte Variante von OpenType-Schriften mit der Endung .eot, die mittels der Microsoft Web Embedding Font Tools (WEFT) aus bestehenden TrueType-Fonts generiert werden. Die Technik dient unter anderem dazu, Internetseiten mit vom Webdesigner ausgesuchten Schriften zu gestalten, die den Empfängern solcher Seiten mitgeliefert werden, so dass diese den Text der Seite in der gleichen typografischen Qualität betrachten können, wie sie gestaltet wurden. EOT ist eine von mehreren Font-Techniken, die das verbindliche Gestalten von Webseiten möglich machen soll, und von der sich Webdesigner und Schriftanbeiter neue Aufträge erhoffen.
EOT ist ein proprietärer Standard, der auf Browser-Ebene alleine vom Internet Explorer unterstützt wird. Laut Untersuchungen von Microsoft und des Security-Unternehmens McAffee wurde bei den Attacken im Dezember 2009 EOT eingesetzt, um eine Sicherheitslücke im Internet Explorer auszunutzen (vgl. Microsoft: Security Bulletin MS10-001 – Critical). Gegenüber Spiegel Online spricht der McAffee-Security-Experte Dmitri Alperovitch von einem »Angriff mit nie da gewesener Raffinesse«. Angestellte der oben zitierten US-Unternehmen hätten Ende des Jahres E-Mails erhalten, die sie dazu bewegen sollten, mit dem Internet Explorer eine präparierte Website zu besuchen. Das bloße Aufrufen dieser Seite hätte für die Infiltration des Rechners genügt, eine so genannte Drive-By-Infektion.
Angriffspunkt der Schadsoftware war die für die Dekodierung der OpenType-Schriften eingesetzte Rendering-Engine, die nicht nur im Explorer zum Einsatz kommt, sondern ebenso in den Office-Programmen und in Powerpoint. Im Verlauf dieses Dekodierungs- und Dekomprimierungsprozesses wurde die eingeschleuste Schadsoftware montiert und aktiviert, weil der dekomprimierte Datenstrom nicht streng genug geprüft wird (Microsoft zu diesem Thema).
Wie gefährlich sind OpenType-Webfonts? Wie gefährlich ist der Besuch einer mit Webfonts gestalteten Internetseite? Fontblog hat zu diesem Thema einen Freund und international angesehenen Kollegen befragt, der bereits in seiner Diplomarbeit über Webfonts schrieb, Vorträge zu diesem Thema hält und im Moment bei FSI FontShop International (FontFont) für die Entwicklung und Einführung einer eigenen Webfont-Bibliothek verantwortlich ist: Ivo Gabrowitsch.
Fontblog: Fonts, also digitalisierte Schriften, galten jahrzehntelang als passives Datenmaterial, das keinen Schaden anrichten kann. Die Schriften der neueren Generation nach dem OpenType-Standard erfreuten Designer zuletzt mit typografischer Intelligenz, wie Buchstabenverknüpfungen oder automatischen Ligaturen. Hättest Du jemals gedacht, dass diese Technik ein fahrbarer Untersatz für Hackerangriff werden könnte?
Ivo: In Bezug auf die Sicherheit im Internet halte ich einiges für möglich. Fonts weisen eine ähnliche Struktur auf wie viele andere im Netz übertragenen und aufgerufenen Daten. Es hat in der Vergangenheit bereits Angriffe mit manipulierten Dateien gegeben, die Fehler in Betriebssystemroutinen ausgenutzt haben, zum Beispiel bei der Verarbeitung und Darstellung von Fotos. Insofern ist es also nicht gerade eine Sensation, dass nun auch Fonts als Wolf im typografischen Schafspelz missbraucht werden.
Die Fontindustrie hat fast 10 Jahre für die Anerkennung des zweifellos komfortablen OpenType-Formats gekämpft. Nun war der Durchbruch gerade geschafft, jetzt dieser Missbrauch, der dem Ruf des Formats schaden könnten. Ist das Image der OT-Fonts in Gefahr?
Nein, absolut nicht. Die Vorteile des Formats sind unbestritten und wie schon angedeutet sind Fonts letztlich Daten bzw. Software, die beim Aufruf entsprechend erstellter Websites auf den eigenen Rechner übertragen werden, genauso wie Flash-Dateien, MP3s, PDFs usw. Font Software ist insofern etwas Besonderes, als dass ihre Funktion vergleichsweise eng mit dem Betriebssystem verzahnt ist.
Der einzige Ruf, der leiden wird, ist der des Internet Explorers. Im Grunde könnte man auch ein positives Fazit ziehen: Erneut wird Benutzern als auch den Browser-Entwicklern in Erinnerung gerufen, alle nötigen Vorkehrungen zu treffen, sich selbst bzw. die Anwender vor solchen Angriffen zu schützen.
In den vergangene Jahren hat FontShop International bereits Tausende von OpenType-FontFonts in Umlauf gebracht. Ist die Benutzung dieser Schriften gefährlich?
OpenType-Fonts – egal von welchem Schriftenhaus – stellen per se keine Gefahr dar. Natürlich verlassen auch unsere Produkte die Produktion in einem einwandfreien und sicheren Zustand. Alle OpenType-FontFonts sind digital signiert. Bei Manipulationen am Font wird die Signatur ungültig bzw. entfernt. Ein Browser prüft diese Signatur bei Webfonts allerdings (noch) nicht. Vielleicht müssen die Browserentwickler auf solche Mechanismen zukünftig mehr Rücksicht nehmen, als sie es heute tun. Für Dritte, die Font-Software unerlaubt für ihre Zwecke missbrauchen, kann also kein Hersteller eine Verantwortung übernehmen.
Was müssen die Benutzer von OpenType-Schriften beachten.
Es sind also nur EOT-Fonts betroffen. Normale OpenType-Fonts haben keine interne Kompression und werden auch nicht von der fehlerhaften Programmbibliothek (»t2embed.dll«) verarbeitet. Beachten müssen die Benutzer allenfalls die Lizenzbestimmungen und die Wahl des für den konkreten Fall geeigneten Formats. In unserem Fall sind die OT-Fonts für den meist kreativen Druckvorstufen-Bereich und die Office-Fonts für den Einsatz mit Programmen wie z. B. Microsoft Word, Excel und Powerpoint oder OpenOffice optimiert … und sicher.
Wie gefährlich ist es für Internet-Surfer Webseiten zu besuchen, die eingebettete OpenType-Schriften einsetzen?
Genauso gefährlich wie bei Websites, die auf lokale Systemfonts zurückgreifen. Wenn von einer Website Gefahr ausgeht, dann sind übertragene Fonts genauso mögliche Träger von schädlichem Code wie alle anderen übertragenen Daten auch. So oder so, Benutzer von Microsofts Internet Explorer sowie Benutzer nicht regelmäßig aktualisierter Browser sind auf jeden Fall deutlich häufiger betroffen als diejenigen, die a) mit Alternativbrowsern und b) mit Browsern auf dem neuesten technischen Stand unterwegs sind, zum Beispiel Firefox 3.5 oder Safari 4.
Glaubst Du, dass ein Webdesigner gut beraten ist, seinem Auftraggeber eine eingebettete OpenType-Schrift für die Gestaltung seiner Webseite zu empfehlen?
Absolut. Das Problem ist hier bisher ja eher ein anderes, nämlich die technische Beschränkung durch die Browser. Der Internet Explorer erlaubt bisher als einziger Browser ein Format, welches prinzipiell jede nicht auf dem Zielrechner installierte Schrift verfügbar macht, nämlich das bereits erwähnten EOT-Format. Ein weiteres Format schickt sich allerdings gerade an EOT langfristig zu verdrängen. Mozillas Firefox wird mit der in den nächsten Tagen zu erwartenden Version 3.6 der erste Browser sein, der das sogenannte WOFF (Web Open Font Format) unterstützt. Es ist damit zu rechnen, dass die Schrifthersteller bald reagieren und sowohl entsprechende Fonts also auch entsprechende Lizenzen anbieten werden. Dann heißt es für viele Webgestalter »Goodbye, Arial.«
Vielen Dank für das Gespräch, Ivo.
Seit heute zeigt der Axel Springer Verlag in seiner Hamburger Passage (Caffamacherreihe 1) die Ausstellung »The Best of Newspaper Design« der Society for News Design (bis 12. Februar 2010), präsentiert vom Hamburger Abendblatt. 364 Zeitungen aus 43 Ländern hatten sich im vergangenen Jahr darum beworben, einen der begehrten Awards zu gewinnen. Auszeichnungen in 19 Kategorien wurden vergeben, vom typografischen Gesamtkonzept über den Umgang mit Bildern und Infografiken bis hin zur Farbanmutung.
Die 
Nur 13,– € statt 37,– € (zzgl. MwSt.). 
Zur Zeit läuft in Berlin die Messe 
Startseite
Über Fontblog
Impressum
Werbung im Fontblog
Archiv
