Orientierungshilfe zu
Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet
 |
1. Einleitung |
 |
2 | VORBEREITUNG UND PLANUNG |
Grundlage für eine datenschutzgerechte Nutzung des Internet ist eine genaue Planung der Internet-Aktivitäten einer Verwaltung. Je nach dem Informations- und Kommunikations-Bedarf ist eine der möglichen Nutzungsarten unter Berücksichtigung einer der Anschlussmöglichkeiten vorzusehen. Es bedarf einer genauen Analyse sowohl dieses Bedarfs als auch der mit der jeweiligen Anschlussart verbundenen Risiken.
2.1 Nutzungs- und Anschlussmöglichkeiten
Grundsätzlich sind drei Konstellationen der
Internet-Nutzung einer Behörde zu unterscheiden:
- Eine Behörde nutzt einen Internet-Zugang nur, um Informationen im Internet suchen zu können, und/oder
- eine Behörde stellt eigene Informationen im Internet zum (potentiell weltweiten) Abruf zur Verfügung (wobei im Internet von Informationsanbietern erwartet wird, dass sie auch per E-Mail erreichbar sind [siehe 3.]) oder
- eine Behörde stellt eigene Informationen im Internet zum Abruf zur Verfügung und bietet zusätzlich die Interaktion mit Bürgerinnen und Bürgern, z. B. per E-Mail, an.
Diese drei Konstellationen
können auf verschiedene Art und Weise technisch umgesetzt werden und
verlangen unterschiedliche Maßnahmen, um den Datenschutz und die
Datensicherheit zu gewährleisten.
2.1.2 Anschlußarten
2.1.2 Anschlußarten
Die Anschlussarten an das Internet können in drei verschiedene Szenarien unterteilt werden, die unterschiedliche Sicherheitsrisiken mit sich bringen:
2.1.2.1 Direktanschluß eines Rechners an das Internet
Hier wird ein einzelner, nicht lokal vernetzter Rechner per Modem und Telefonleitung über einen Provider (dies kann ein verwaltungsinterner oder ein externer sein) an das Internet angeschlossen (Abbildung 2.1). Diese Variante spielt besonders bei kleinen Behörden und im privaten Bereich eine große Rolle. Bei eventuellen Angriffen besteht ein Sicherheitsrisiko nur für den einzelnen Rechner. Es lässt sich durch entsprechende Maßnahmen reduzieren (z. B. ausschließliche Verwendung des Rechners für den Zugang zum Internet; sicherstellen, dass Ressourcen des Rechners – wie etwa Festplattenverzeichnisse – nicht für den Zugriff über das Netz freigegeben sind).
 Abbildung 2.1: Direktanschluß eines Rechners an das Internet |
2.1.2.2 Zentrale Kopplung eines lokalen Netzes an das Internet
Hier hat der Rechner (evtl. über ein LAN oder aber direkt per Modem oder ISDN) einen Zugang zum Intranet der Verwaltung. Von dort besteht ein einziger zentraler Zugang zum Internet (Abbildung 2.2). Eventuelle Angriffe aus dem Internet können bereits an der zentralen Übergangsstelle vom Internet zum Intranet zum großen Teil abgefangen werden. Der Rechner bzw. das LAN ist zusätzlich aus dem Intranet heraus angreifbar.
 Abbildung 2.2: Zentrale Kopplung eines lokalen Netzes an das Internet |
2.1.2.3 Dezentrale Zugänge zum Internet
Neben einem direkten Internet-Anschluss über einen Provider verfügt der Rechner gleichzeitig über eine Verbindung zu einem Intranet (Abbildung 2.3). Bei eventuellen Angriffen besteht nicht nur ein Sicherheitsrisiko für den an das Internet angeschlossenen Rechner, sondern auch für das LAN, in dem sich der Rechner befindet, und das Intranet. Daher ist von dieser Konstellation generell abzuraten.
 Abbildung 2.3: Dezentraler Anschluß eines lokal vernetzten Rechners an das Internet |
2.2 Kommunikations- und Risikoanalyse
Vor einem Anschluss an das Internet ist eine Analyse des
Kommunikationsbedarfs durchzuführen. Bei der Beurteilung der
Erforderlichkeit eines Internet-Anschlusses ist ein strenger Maßstab
anzulegen. Auch wenn die Erforderlichkeit bejaht wird, ist zu prüfen, ob
der Verwendungszweck nicht schon durch den Anschluss eines isolierten Rechners
erreicht werden kann.
Die Art des zu realisierenden Zugangs hängt wesentlich
davon ab, welche Dienste des Internet genutzt werden müssen. Bei der
Beurteilung der Erforderlichkeit ist ebenfalls ein strenger Maßstab
anzulegen. Dabei ist zu unterscheiden zwischen Diensten, die von lokalen
Benutzern im Internet abgerufen werden, und Diensten, die von lokalen Rechnern
für Benutzer im Internet erbracht werden. Diese Kommunikationsanforderungen
müssen aufgrund der unterschiedlichen Aufgaben sowohl für den
zentralen Zugang zum Internet als auch für jeden einzelnen Rechner
analysiert werden.
Ausgangspunkte einer derartigen Analyse sind der Schutzbedarf
der zu verarbeitenden Daten und die Sicherheitsziele der öffentlichen
Stelle sowie die Risiken der unterschiedlichen Dienste.
In Anlehnung an die Empfehlungen des BSI-Grundschutzhandbuchs
sind im Rahmen einer Risikoanalyse zur Feststellung des Schutzbedarfs folgende
Fragen zu beantworten:
- Welche Datenpakete dürfen auf der Grundlage welchen Protokolls bis zu welchem Rechner im Netz weitergeleitet werden?
- Welche Informationen sollen nicht nach außen gelangen?
- Wie können z. B. die interne Netzstruktur und Benutzernamen nach außen unsichtbar gemacht werden?
- Welche Authentisierungsverfahren sollen benutzt werden; sind benutzerspezifische Authentisierungsverfahren notwendig?
- Welche Zugänge werden benötigt (z. B. nur über einen Internet-Service-Provider)?
- Welche Datenmengen werden voraussichtlich übertragen?
- Welche Rechner mit welchen Daten befinden sich im Netz, die geschützt werden müssen?
- Welche Nutzer gibt es im Netz, und welche Dienste sollen dem einzelnen Nutzer zur Verfügung gestellt werden?
- Welche Aktivitäten im Netz sollen protokolliert werden? (Dabei werden ggf. Fragen des Arbeitnehmerdatenschutzes tangiert.)
- Welche Dienste sollen auf keinen Fall genutzt werden?
- Wird sichergestellt, dass nur die Dienste genutzt werden können, die ausdrücklich freigegeben worden sind (was nicht erlaubt ist, ist verboten)?
- Welcher Schaden kann im zu schützenden Netz verursacht werden, wenn Unberechtigte Zugang erhalten?
- Welche Restrisiken verbleiben, wenn die vorgesehenen Schutzmaßnahmen realisiert wurden?
- Welche Einschränkungen würden Benutzer durch den Einsatz von Schutzmaßnahmen akzeptieren?
Um im Rahmen der empfohlenen
Kommunikationsanalyse beurteilen zu können, welche Dienste von welchem
Nutzer an welchem Rechner tatsächlich benötigt werden, sollten die
jeweiligen Stellen zunächst versuchen, genaue Kenntnisse über die
Möglichkeiten und Gefährdungen der angebotenen
Kommunikationsmöglichkeiten zu erlangen.
| Verwaltungsnetze dürfen an das Internet nur angeschlossen
werden, wenn und soweit dies erforderlich ist. Die
Kommunikationsmöglichkeiten haben sich am Kommunikationsbedarf zu
orientieren. Dabei ist auch zu prüfen, inwieweit das Behördennetz in
anschließbare, nicht anschließbare und bedingt anschließbare
Teile segmentiert werden muss und ob die Aufgabe mit einem nicht in das
Verwaltungsnetz eingebundenen Rechner erfüllt werden kann. Bei einem unvertretbaren Restrisiko muss auf einen Anschluss des jeweiligen Netzes an das Internet verzichtet werden. Der Zugriff auf Internet-Dienste kann in diesem Fall nur über solche Systeme erfolgen, die nicht mit dem Verwaltungsnetz verbunden sind und auf denen ansonsten keine sensiblen Daten verarbeitet werden. |
2.3 Sicherheitsrisiken und Schutzmaßnahmen
Mit dem Zugang zum Internet sind Risiken verbunden, die großenteils daraus resultieren, dass das Datennetz nicht unter Sicherheitsaspekten entwickelt wurde. Schwächen finden sich in den Protokollen für die Datenübertragung, in den Implementierungen und Installationen der Programme für die Internet-Dienste und in den angeschlossenen Rechnersystemen. So stellt das zugrunde liegende Protokoll beispielsweise keine sicheren Mechanismen zur Identifikation und Authentisierung bereit.
Die nachfolgend dargestellten Sicherheitsrisiken spiegeln lediglich einen kleinen Ausschnitt der möglichen Angriffe auf Rechnersysteme mit Internet-Anschluss wider. Selbst wenn Maßnahmen gegen die bekannten Gefährdungen getroffen werden, lässt sich ein hundertprozentiger Schutz ohne Verzicht auf die Internet-Anbindung nicht realisieren. Sobald ein Computer Zugang zu einem Datennetz hat, ist er von anderen angeschlossenen Rechnern aus erreichbar. Damit wird das eigene System der Gefahr eines unberechtigten Gebrauches ausgesetzt. Es gibt jedoch eine Reihe von Schutzvorkehrungen, um das Sicherheitsrisiko zu minimieren.
2.3.1 Protokollimmanente Sicherheitsrisiken
Bei vielen gängigen Diensten werden die Inhaltsdaten im Klartext über das lokale Netz (z. B. Ethernet) und über das Internet übertragen. Mit Programmen, die unter der Bezeichnung LAN-Analyzer bekannt sind (z. B. Packet Sniffer), kann der Datenverkehr im Netz bzw. auf den Netzknoten belauscht und nach interessanten Informationen durchsucht werden.
| Gegenmaßnahmen: Verschlüsselung der Daten. |
Datenpakete können nicht nur abgehört, sondern auch manipuliert werden z. B. lassen sich die IP-Adressen von Sender und Empfänger fälschen, die TCP Sequence Number von Paketen kann häufig vorhergesagt werden, und der Übertragungsweg ist bei dynamischem Routing modifizierbar. Pakete können abgefangen werden, so dass sie nicht an ihrem Ziel ankommen; ein Angreifer kann sie durch eigene Pakete ersetzen. Weiterhin lässt sich die Kommunikation eines autorisierten Nutzers mitschneiden und später wiedereinspielen (Replay Attack), wodurch sich der Angreifer bei vielen Diensten die Rechte des Nutzers verschafft (z. B. beim Festplattenzugriff über NFS [Network File System]).
Gegenmaßnahmen:
Gegen eine unerkannte Manipulation von Nachrichteninhalten
können digitale Signaturen eingesetzt werden.
Für starke Authentisierung eignen sich
Einmalpasswörter oder Challenge-Response-Systeme gegen Replay
Attacks.
Für Router sollte nach Möglichkeit statisches
Routing konfiguriert werden. Außerdem sollte das „Source
Routing“ abgestellt sein. |
Bei vielen Internet-Diensten erfolgt die Authentisierung der
Rechner lediglich über die IP-Nummer des Nutzers. Dies kann sich ein
Angreifer zunutze machen, indem er IP-Pakete mit gefälschten
Absenderadressen (IP-Spoofing) ans fremde Rechnersystem schickt. Sofern das
System die IP-Adresse für vertrauenswürdig hält, wird dem
Eindringling ein Zugang, unter Umständen sogar mit unbeschränkter
Administratorberechtigung, gewährt.
| Gegenmaßnahmen: Konfiguration eines Packet Filters, so daß alle Pakete mit ungültigen IP-Adressen [definiert im RFC 1597] und mit offensichtlich gefälschten IP-Adressen (z.B. IP-Pakete von außen mit internen Adressen) verworfen werden und nicht ins System gelangen können. Hierbei sollte man ebenfalls verhindern, daß IP-Pakete mit ungültigen Adressen das eigene System verlassen können. [Weitere Hinweise: RFC 2267 (Network Ingress Filtering: Defeating Denial of Service Attacks Which Employ IP Source Address Spoofing) |
Angriffe mit gefälschten Paketen von ARP (Address
Resolution Protocol) oder ICMP (Internet Control Message Protocols) basieren
ebenfalls darauf, dass sich Rechner allein durch ihre IP-Adresse als legitimer
Absender ausgeben können. So kann ein Angreifer bei einem Missbrauch von
ARP die IP-Adresse eines anderen Benutzers in einem lokalen Netz übernehmen
und damit selbst Verbindungen herstellen oder die Erreichbarkeit des anderen
Rechners vollständig verhindern. Auch Firewalls, die aufgrund von
IP-Adressen entscheiden, ob eine Verbindung zulässig ist, lassen sich
dadurch täuschen. Bei ICMP-Angriffen werden gefälschte Statusmeldungen
verschickt, die beispielsweise eine Umleitung der Pakete über einen Router
des Angreifers bewirken oder die gesamte Kommunikation eines Rechners nach
außen verhindern (Denial of Service Attack). Der „Ping of
Death“ ist ein besonderer ICMP-Angriff, bei dem zu große Pakete beim
Empfänger einen Überlauf des Empfangspuffers verursachen und den
Rechner zum Absturz bringen. Ein ähnlicher Effekt wird bei vielen
Windows-Rechnern durch das Senden spezieller Pakete (Out-of-Band [OOB])
bevorzugt auf den Port 139 erreicht. Gegen diesen Winnuke-Angriff können
einige Windows-Versionen durch Patches geschützt werden.
| Gegenmaßnahmen: Installation von Patches, starke Authentisierung. |
Durch den „TCP Syn Flood“-Angriff können
ebenfalls Rechner blockiert werden. Dabei wird ein WWW-Server mit einer
großen Anzahl von IP-Paketen mit ungültigen Absenderadressen
bombardiert, auf die das System vergeblich zu antworten versucht. Dadurch kann
der ganze Server über einen längeren Zeitraum lahmgelegt
werden.
| Gegenmaßnahmen: Installation von Patches. |
2.3.2 Dienstespezifische Sicherheitsrisiken
2.3.2.1 E-Mail und Usenet-News
Elektronische Post (E-Mail) kann mitgelesen werden, sofern sie
nicht verschlüsselt ist. E-Mails und News-Artikel ohne eine digitale
Signatur lassen sich leicht verändern oder fälschen. Über den
elektronischen Postweg können - wie bei einem Transfer per Diskette -
Programme und Textdokumente mit Viren ins System gelangen. Selbst ein
automatisches Durchsuchen der Nachrichten nach Viren bietet keinen
vollständigen Schutz.
| Gegenmaßnahmen: Verschlüsselung und digitale Signatur, Virenschutzsysteme. |
Sendmail, das auf UNIX-Rechnern am häufigsten eingesetzte
Programm zum Verschicken elektronischer Post, weist eine ganze Reihe von
Sicherheitslücken auf, die zu einer Zugangsmöglichkeit mit
Administratorrechten führen können.
| Gegenmaßnahmen: Installation von Patches, Verfolgen der Meldungen über neue sicherheitsrelevante Fehler. |
Ist der Telnet-Dienst nicht eingeschränkt, sondern von
beliebigen Adressen aus zu beliebigen Ports auf dem eigenen Rechner
möglich, wird die Zugangskontrolle gefährdet. Selbst wenn sich ein
Angreifer keinen Zugang mit Administratorrechten verschaffen kann, gelingt es
ihm häufig, einen nichtprivilegierten Account auf dem Rechner zu nutzen.
Dieser Account kann dann als Ausgangsbasis für den Angriff auf weitere
Rechner verwendet werden.
| Gegenmaßnahmen: Einschränkung der Telnet- und verwandten Dienste auf die notwendigen Adressen und Ports an einer Firewall. |
Mit Hilfe verschiedener Programme (z. B. das Cracker-Tool
„Juggernaut“) können mittlerweile Telnet-Verbindungen
„entführt“ werden, d. h. der Angreifer kann damit nicht
nur Passwörter mitlesen, sondern auch in die Verbindung eingreifen, den
ursprünglichen Benutzer abhängen und statt dessen sich selbst
einklinken. Ähnliche Sicherheitsrisiken bestehen für
„R-Utilities“ wie rlogin.
| Gegenmaßnahmen: Vollständiger Verzicht auf den Telnet-Dienst sowie auf rlogin, rsh und rcp, statt dessen Verwendung von SSH (Secure Shell), einem Software-Paket, mit dem man durch anerkannte kryptographische Verfahren eine zuverlässige gegenseitige Authentisierung und eine transparente Verschlüsselung des gesamten Datenstroms erreichen kann. Dabei werden statt rlogin, rsh und rcp neue Programme ssh und scp eingesetzt. Das SSH-Paket steht für alle gängigen Betriebssysteme zur Verfügung (z.B. für UNIX: [ftp://ftp.cs.hut.fi/pub/ssh/] [LINK] oder [ftp://ftp.cert.dfn.de/pub/tools/net/ssh] [LINK]; für Windows (kommerziell): [http://www.europe.datafellows.com/f-secure/fssh-reg.htm] [LINK]). |
Schlecht gewartete FTP-Server stellen ein Risiko dar, da in
älteren Versionen bestimmter FTP-Server (ftpd) Sicherheitslücken
existieren, die zur Erlangung von Administratorrechten führen können.
Besondere Vorsicht ist geboten, da viele Beschreibungen zur Installation und
Konfiguration von Anonymous-FTP-Servern sicherheitsrelevante Fehler enthalten.
Bei Fehlkonfigurationen kann es einem Angreifer gelingen, die Datei mit den
verschlüsselten Passwörtern aller Benutzer auf seinen Rechner zu laden
und dort in aller Ruhe zu entschlüsseln. Lässt man zu, dass Benutzer
eines FTP-Servers anonym eigene Dateien in Verzeichnissen ablegen können,
wo andere sie sich holen können, kann sich der FTP-Server schnell zu einem
Umschlagplatz von Raubkopien entwickeln.
| Gegenmaßnahmen: Ersatz des FTP-Dienstes (incl. rcp) durch Programme aus dem SSH-Paket (scp) oder Konfiguration eines SSH-Kanals mit Verschlüsselung und Authentisierung, Beschränkung durch Vergabe von entsprechenden Zugriffsrechten. |
Gefährdungen entstehen bei WWW-Servern durch fehlerhafte
Software oder Konfigurationen. Ohne den Einsatz von SSL (Secure Socket Layer)
oder anderen Verschlüsselungen lässt sich die Kommunikation
abhören. Außerdem können Skripte zur dynamischen Generierung von
Dokumenten Sicherheitslücken aufweisen.
Ende 1996 wurde die Angriffsmethode Web-Spoofing
bekannt, bei dem ein Angreifer seinen Server zwischen das eigentliche Zielsystem
und den Rechner des Benutzers schaltet. Der Angreifer erstellt auf seinem System
eine täuschend echte Kopie der Daten, die er komplett kontrollieren und
für seine Belange modifizieren kann. Danach hat er nach Belieben die
Möglichkeit, vom Benutzer verschickte Informationen abzufangen oder zu
manipulieren.
| Gegenmaßnahmen: Verschlüsselung und digitale Signatur für die Kommunikation, Zertifikate für Web-Server, gegenseitige Authentisierung von Nutzer und Web-Server. |
Mit Hilfe des Domain Name Service (DNS) lassen sich
Rechnernamen in IP-Adressen umsetzen und umgekehrt. Dabei besteht die Gefahr,
dass Informationen über die Struktur des internen Netzes nach außen
gelangen. Auch beim DNS gibt es mittlerweile die Angriffsmethode des
Spoofing. Mit gefälschten Informationen im DNS können
Datenströme in beliebige Bahnen gelenkt werden, wenn der Benutzer statt der
numerischen IP-Adresse den leichter zu merkenden Rechnernamen angibt.
| Gegenmaßnahmen: Verbergen der Struktur des internen Netzes durch geeignete Anordnung von DNS-Servern, Adressierung durch die numerische IP-Adresse, soweit praktikabel, Einsatz eigener Domain Name Server |
Die Daten, die der Finger-Dienst ausgibt, können einem
Angreifer Informationen über die Nutzerkennungen auf dem System liefern,
die gezielt für einen Angriff genutzt werden können. Berühmt
geworden ist dieser Dienst 1988 durch den sogenannten Internet-Wurm. Dabei
handelte es sich um ein Angriffsprogramm, das ausnutzte, dass die beim Aufruf
von Finger übergebenen Parameter in einen Puffer fester Länge
geschrieben wurden. Die Daten, die nicht mehr in den Puffer pasten,
überschrieben den Stack im Arbeitsspeicher, wo sie als Programmcode
behandelt und ausgeführt wurden (Buffer Overflow Bug). Bei
geschickter Wahl der übergebenen Zeichenreihe kann so beliebiger Code zur
Ausführung kommen. Ähnliche Programmierfehler finden sich auch heute
noch in vielen anderen Serverprogrammen.
| Gegenmaßnahmen: Abschalten der Dienste, über die sich Angreifer sicherheitsrelevante Informationen aus dem System beschaffen können: finger, rup, rusers, rwho, SMTP EXPN, SMTP VRFY, Installation von Patches gegen den Buffer Overflow Bug |
Mit Hilfe des Simple Network Management Protocol-Dienstes
können Netzwerkkomponenten von zentraler Stelle aus verwaltet werden. Dazu
können Informationen über die Konfiguration und den Betriebszustand
der Komponenten abgefragt und verändert werden. Dies bietet dem Angreifer
u. U. wertvolle Hinweise über die eingesetzte Hard- und Software, die
für weitergehende Attacken ausgenutzt werden können.
Besondere Bedeutung kommt dabei den sog. Community Strings zu,
die eine einfache Form der Authentisierung bei SNMP darstellen. Häufig ist
bei Auslieferung der Community String „public“ eingestellt, der
einen unberechtigten Zugriff auf den Dienst sehr erleichtert.
| Gegenmaßnahmen: Verwendung schwer zu erratender Community Strings, jedenfalls nicht "public" Begrenzung der von SNMP zur Verfügung gestellten Informationen auf das Erforderliche |
2.3.3 Aktive Inhalte/Aktive Elemente
ActiveX ist eine Entwicklung der Firma Microsoft. Es
steht für eine Reihe von Technologien, die dafür sorgen, dass
Windows-Anwendungen mit dem Internet oder Intranet zusammenarbeiten. WWW-Seiten
können mit dieser Technologie um eine Vielzahl von multimedialen Effekten,
unterschiedlichen Layouts und ausführbaren Applikationen, die über das
Internet geladen werden, erweitert werden. Die Technologie besteht im
Wesentlichen aus folgenden Elementen: ActiveX-Controls, Active Documents und
Active Scripting.
ActiveX-Controls sind Programme, die auf einer WWW-Seite
dargestellt oder als eigene Programme aufgerufen werden können. Active
Documents ermöglicht die Anzeige und Betrachtung von Nicht-HTML-Dokumenten
(z. B. Word oder Excel) innerhalb eines Browsers. ActiveX Scripting
ermöglicht das Verwalten und die Kommunikation von ActiveX-Controls,
beinhaltet einen Java-Compiler und ist eine Umgebung zur serverseitigen Nutzung
von ActiveX-Controls. Eine ActiveX-Sicherheitsarchitektur gibt es nicht. Die
vorhandenen Sicherheitsmechanismen bieten kein in sich konsistentes
Sicherheitssystem. Microsoft setzt auf die Nachvollziehbarkeit der Herkunft der
heruntergeladenen Codes durch Codesignierung. Für die Codesignierung setzt
Microsoft die selbstentwickelte Authenticode Technologie ein. Sie beruht
auf einer digitalen Signatur und erlaubt neben der sicheren Identifikation des
Absenders den Nachweis der Echtheit der übertragenen Codes. Dieses
Verfahren macht aber keine Aussage über die Funktionsweise der Software
selbst und ob sie gewollt oder ungewollt (Programmierfehler) schadensstiftende
Wirkung entfalten kann. Microsoft arbeitet mit der Firma Verisign als
Zertifizierungsstelle zusammen und vergibt zwei unterschiedliche Zertifikate:
Individualzertifikate und kommerzielle Zertifikate. Es existiert ein
mehrstufiges Sicherheitssystem im Zusammenspiel von ActiveX und den
unterschiedlichen Browsern. Neben der Möglichkeit, die
ActiveX-Funktionalität (gilt für alle Browser) abzuschalten, besteht
auch die Option, im Internet-Explorer einen Sicherheitslevel (hoch, mittel und
niedrig) vorzugeben. Bei einem hohen Sicherheitslevel werden nur zertifizierte
ActiveX-Controls akzeptiert. Bei einem mittleren Level müssen nicht
zertifizierte ActiveX-Controls explizit freigegeben werden. Ein niedriger Level
bietet gar keinen Schutz. Eine weitere Möglichkeit, sich zu schützen,
bieten ActiveX-Filter, die Listen mit Servern definieren, von denen
ActiveX-Komponenten akzeptiert werden. Der Einsatz des
Internet-Explorer-Administration-Kit (IEAK) ermöglicht die
Erstellung von spezifisch angepaßten Internet-Explorern.
ActiveX-Komponenten stellen, da sie keinerlei
Einschränkungen bzgl. der Windows- und System-Funktionalität
unterliegen, ein immenses Sicherheitsrisiko dar. Folgende Sicherheitsrisiken
sind bisher bekannt: Ausforschung von Nutzern und Computersystemen,
Installieren und Ausführen von Viren und Trojanischen Pferden,
Beschädigung von Systemressourcen und Überlasten des Systems. Aus
Sicherheitsgründen empfiehlt es sich daher, die ActiveX-Unterstützung
gänzlich abzuschalten.
| Gegenmaßnahmen: Abschalten der ActiveX-Unterstützung, Verwendung des Microsoft-Authenticodes, Aktivieren einer hohen Sicherheitsstufe im Internet-Explorer, Einsatz von ActiveX-Filtern und des Internet-Explorer-Administration-Kits in Netzwerken |
Abschließend sei noch auf die unzureichenden
Sicherheitsmechanismen der Betriebssystemplattformen hingewiesen. Die
Plattform Windows 95 verfügt über keinerlei eingebaute
Sicherheitsmechanismen zur Abwehr von Angriffen, und unter Windows NT laufen
ActiveX-Controls im Rechteraum (mit den Zugriffsrechten) des gerade angemeldeten
Benutzers.
Java ist eine objektorientierte Programmiersprache, die
unabhängig von der jeweiligen Systemplattform nutzbar ist. Sie wurde von
SUN Microsystems entwickelt. Java bietet die Möglichkeit,
Stand-Alone-Anwendungen (Java-Applikations) sowie Anwendungen für das WWW
(Java-Applets) zu schreiben. Java-Applets, können in HTML-Seiten
integriert, über das Internet angefordert und auf beliebigen Rechnern
ausgeführt werden, ohne dass der Entwickler die lokale Umgebung des
Anwenders kennen muss. Einzige Bedingung für die Lauffähigkeit ist die
Verfügbarkeit der JVM (virtuelle Java Maschine) auf der Plattform. Java
verfügt über ein integriertes Sicherheitssystem. Das
Sandbox-System ist mehrstufig, bezogen auf die vier Softwareebenen, die
bei der Herstellung und Ausführung von Java-Funktionen beteiligt
sind:
- Programmiersprache Java,
- Virtuelle Java Maschine,
- Lader für Java-Klassen und
- Java Bibliotheken.
Ist JVM Bestandteil des HTML-Viewers, werden Applets ausgeführt, die sehr strengen
Sicherheitskontrollen unterliegen. Applets, die über das Netz geladen
werden, haben auf dem Client keine Lese- und Schreibrechte, können keine
fremden Programme starten, keine Systemfunktionen aufrufen, keine
Netzwerkverbindung zu anderen Rechnern aufbauen, keine zusätzlichen
Bibliotheken laden und kennzeichnen Fenster besonders, die durch Applets
gestartet wurden.
Applets können im Standardfall auch nur definierte
Systemeigenschaften (z. B. Betriebssystem NT) lesen. SUN bietet in neueren
Versionen die Möglichkeit, mit signierten Applets zu arbeiten. Die
Applets werden zertifiziert und mit einer digitalen Signatur versehen, bevor sie
im Netz zur Verfügung gestellt werden. Somit kann der Client die
Authentifikation und die Herkunft prüfen. Die Signierung sagt nichts
über die Funktionalität des Programmes. Die Java-Spezifikation bietet
mit ihren durchdachten Mechanismen eine ausreichende Sicherheit, aber durch
Implementierungsfehler wurden Angriffe durch Java-Applets möglich. Hier
muss man unterscheiden zwischen Angriffen, die das System und seine Ressourcen
modifizieren (durch Programmier- und Implementationsfehler in den
Ablaufumgebungen), die eine weitere Nutzung des Systems verhindern
(Überlasten des Systems) oder die Nutzer ausforschen oder
belästigen.
Um sich vor Angriffen zu schützen, bieten sich mehrere
Optionen an. Zusätzlich zu dem eigenen Sicherheitssystem können noch
folgende Maßnahmen ergriffen werden. Man kann z. B. im Browser die
Java-Funktionalität abschalten. Einen weiteren Schutz bieten
Java-Filter, die Listen mit Servern definieren, von denen Java-Applets
akzeptiert werden. In neueren Browser-Versionen ist das Arbeiten mit
signierten Applets möglich.
| Gegenmaßnahmen: Abschalten der Java-Funktionalität, Einsatz von Java-Filtern, Arbeiten mit signierten Applets, Verwendung von Browsern, bei denen JVM sauber implementiert ist |
JavaScript ist eine von der Firma Netscape
Communication entwickelte Skriptsprache, die plattformunabhängig
ist. Sie wird direkt in die HTML-Seiten eingebettet und über einen
Interpreter interpretiert und ausgeführt. Die Motivation für die
Entwicklung von JavaScript waren die Unzulänglichkeiten der vorhandenen
Techniken (HTML und CGI) für Benutzer-Interaktivitäten. Jede
Interaktion musste an den Server gesendet werden, um mit Hilfe des
CGI-Programmes Plausibilitätsprüfungen durchzuführen. Durch den
Einsatz von JavaScript wurde die Anzahl der notwendigen Verbindungen zum Server
drastisch verringert. Dynamisch zur Laufzeit können mit JavaScript
beispielsweise Eingaben überprüft oder auch Berechnungen
durchgeführt werden. Außerdem lassen sich wichtige Funktionen des
Browsers, wie Öffnen und Schließen von Fenstern, Manipulieren von
Formularelementen oder das Anpassen von Browser-Einstellungen verwirklichen. Ein
Zugriff auf Dateisysteme auf anderen Rechnern ist nicht möglich. Netscape
bietet die Möglichkeit, mit zertifizierten JavaScript-Codes
zu arbeiten. Es wurden jedoch Sicherheitsprobleme in zwei Bereichen bekannt, zum
einen in der Ausforschung von Nutzern und Computersystemen und zum
anderen in der Überlastung von Rechnern. Hier muss man unterscheiden
zwischen Angriffen, die das System und seine Ressourcen durch Programmierfehler
und Implementierungsfehler in den Ablaufumgebungen modifizieren oder eine
weitere Nutzung des Systems – vorsätzlich erzeugt oder ungewollt
durch Programmierfehler – verhindern, und Angriffen die das Lesen von
fremden Nachrichten, Ändern von Nachrichten und Verschicken von Texten
ermöglichen. Die meisten Sicherheitslöcher sind
implementierungsabhängig.
| Gegenmaßnahmen: Arbeiten mit zertifizierten JavaScript-Codes oder das Abschalten der JavaScript-Funktionalität, Verwendung von Browsern, bei denen die Anwendung sauber implementiert ist |
Browser Plug Ins sind auf dem Client laufende Software-Module,
die den Funktionsumfang des Browsers erweitern und beispielsweise die
Darstellung von Audio- und Videodaten erlauben. Plug Ins sind
plattformabhängig, belegen lokalen Plattenspeicher und müssen vom
Benutzer beschafft und installiert werden.
| Gegenmaßnahmen: Schulung der Benutzer, um unbeabsichtigtes Installieren der Software zu verhindern |
Cookies (engl. cookie = Keks) sind kleine Datenmengen, die
zusammen mit den eigentlich angeforderten Daten aus dem Internet an den Computer
des Benutzers übermittelt werden. Dort werden diese Daten gespeichert und
für einen späteren Abruf bereitgehalten. Dadurch wird im einfachsten
Fall ein wiederholter Zugriff eines bestimmten Benutzers (exakt: des Browsers
auf dem Computer, den er verwendet) auf das Internet-Angebot erkennbar. Die
Anwendungsmöglichkeiten gehen jedoch weit darüber hinaus.
Typischerweise werden Cookies eingesetzt, damit der Nutzer das
Angebot des angewählten Webservers auf seine persönlichen Belange hin
abstimmen kann, bzw. um dem Webserver zu ermöglichen, sich selbsttätig
auf die (vermuteten) Bedürfnisse des Nutzers einzustellen. Ein Betreiber
von WWW-Diensten kann jedoch aus geeignet gewählten und eingerichteten
Cookies ein Nutzungsprofil erstellen, das vielfältige Auskunft über
den Benutzer gibt, und ihn so als geeignete Zielperson (z. B. für
Werbebotschaften) identifiziert. Eine Manipulation des Computers über die
Speicherung und Abfrage der Cookie-Daten hinaus ist mit dem Cookie-Mechanismus
selbst nicht möglich. Da die Cookie-Informationen, die auch
benutzerbezogene Passwörter für Web-Seiten umfassen können,
jedoch in einer Datei im Dateisystem auf dem Rechner gespeichert werden, kann
ein Unberechtigter beispielsweise mit Hilfe von ActiveX-Controls (siehe
Abschnitt 2.3.3.1) darauf zugreifen.
Problematisch sind Cookies trotzt dieses vergleichsweise
geringen Gefährdungspotentials für die Computersicherheit aufgrund
ihrer geringen Transparenz für den Benutzer. Der Datenaustausch mittels
Cookies erfolgt zwischen den beteiligten Computern vollkommen im Hintergrund,
ohne dass der Benutzer über Inhalte, Zweck, Umfang, Speicherdauer oder
Zugriffsmöglichkeiten auf die Cookie-Daten informiert wird, sofern er keine
besonderen Maßnahmen ergreift. Diese Parameter sind innerhalb der Cookies
selbst festgelegt und werden somit allein vom Betreiber des WWW-Servers
bestimmt; der Internet-Nutzer hat hierauf im normalen Betrieb keinen
Einfluß. Es hängt wesentlich von der Initiative des Nutzers und
seiner technischen Kenntnis und Ausrüstung ab, ob er Cookies bemerkt und
sich ggf. vor ihnen schützen kann.
| Gegenmaßnahmen: Konfiguration des Browsers, so daß Cookies nicht oder wenigstens nicht automatisch akzeptiert werden und Cookies, die gespeichert werden sollen, angezeigt werden, Löschen bereits gespeicherter Cookies (z.B. Datei cookies.txt bei Netscape-Browsern), Einsatz von Cookie-Filtern |
| 3. Firewall-Systeme |  |
am 26.07.2000
