Bundesamt für Sicherheit in der Informationstechnik

G 3.38 Konfigurations- und Bedienungsfehler

Konfigurationsfehler entstehen durch eine falsche oder nicht vollständige Einstellung von Parametern und Optionen, mit denen ein Programm gestartet wird. In diese Gruppe fallen unter anderem falsch gesetzte Zugriffsrechte für Dateien. Bei Bedienungsfehlern sind nicht einzelne Einstellungen falsch, sondern die IT -Systeme oder IT-Anwendungen werden falsch behandelt. Ein Beispiel hierfür ist das Starten von Programmen, die für den Einsatzzweck des Rechners nicht notwendig sind, aber von einem Angreifer missbraucht werden können.

Beispiele für aktuelle Konfigurations- bzw. Bedienungsfehler sind das Speichern von Passwörtern auf einem PC , auf dem ungeprüfte Software aus dem Internet ausgeführt wird, oder das Laden und Ausführen von schadhaften ActiveX-Controls. Diese Programme, die unter anderem, die Aufgabe haben, Webseiten durch dynamische Inhalte attraktiver zu machen, werden mit den gleichen Rechten ausgeführt, die auch der Benutzer hat. Sie können beliebig Daten löschen, verändern oder versenden.

Viele Programme, die für die ungehinderte Weitergabe von Informationen in einem offenen Umfeld gedacht waren, können bei falscher Konfiguration potenziellen Angreifern Daten zu Missbrauchszwecken liefern. So kann beispielsweise der finger-Dienst darüber informieren, wie lange ein Benutzer bereits am Rechner sitzt. Aber auch Browser übermitteln bei jeder Abfrage einer Datei eine Reihe von Informationen an den Webserver ( z. B. die Version des Browsers und des verwendeten Betriebssystems, den Namen und die Internet-Adresse des PC s). In diesem Zusammenhang sind auch die Cookies zu nennen. Hierbei handelt es sich um Dateien, in denen Webserver-Betreiber Daten über den Benutzer auf dessen Rechner speichern. Diese Daten können beim nächsten Besuch des Servers abgerufen und vom Server-Betreiber für eine Analyse, der vom Benutzer vorher auf dem Server besuchten Webseiten, verwendet werden.

Der Einsatz eines Domain Name Systems stellt eine weitere Gefahrenquelle dar. Zum einen ermöglicht ein falsch konfigurierter DNS -Server die Abfrage von vielen Informationen über ein lokales Netz. Zum anderen hat ein Angreifer durch die Übernahme dieses Servers die Möglichkeit, gefälschte IP -Adressen zu verschicken, sodass jeglicher Verkehr von ihm kontrolliert werden kann.

Eine große Bedrohung geht auch von den automatisch ausführbaren Inhalten (Executable Content) in E-Mails oder HTML -Seiten aus. Dies ist unter dem Stichwort Content-Security-Problem bekannt. Dateien, die aus dem Internet geholt werden, können Code enthalten, der bereits beim "Betrachten" und ohne Rückfrage beim Benutzer ausgeführt wird. Dies ist z. B. bei Makros in Office-Dateien der Fall und wurde zum Erstellen von sogenannten Makro-Viren ausgenutzt. Auch Programmiersprachen und -schnittstellen wie ActiveX, Javascript oder Java, die für Anwendungen im Internet entwickelt worden sind, besitzen bei falscher Implementierung der Kontrollfunktionen ein Schadpotenzial.

Die Verfügbarkeit des Sicherheitssystems RACF ist bei z/OS -Betriebssystemen von zentraler Bedeutung für die Verfügbarkeit des gesamten Systems. Durch unsachgemäßen Einsatz von z/OS -Utilities bei der RACF -Datenbanksicherung oder fehlerhafte Bedienung der RACF -Kommandos kann diese eingeschränkt werden.

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK