Bundesamt für Sicherheit in der Informationstechnik

G 4.43 Undokumentierte Funktionen

Viele Anwendungsprogramme enthalten undokumentierte Funktionen, also Funktionen, die nicht in der Dokumentation beschrieben sind und die den Benutzern nicht bekannt sind. Bei einigen Betriebssystemen beziehungsweise Anwendungsprogrammen gibt es mittlerweile Literatur, die einen Großteil der bekannt gewordenen, bis dato undokumentierten Funktionen beschreibt und die im Allgemeinen umfassender ist als die mitgelieferten Handbücher. Undokumentierte Funktionen müssen sich allerdings nicht nur auf Hilfsmittel mit nützlichen Effekten beschränken. Solange diese Funktionen nicht offengelegt sind, kann nicht ausgeschlossen werden, dass mit ihnen auch viel Schaden angerichtet werden kann.

Dies ist insbesondere dann problematisch, wenn die undokumentierten Funktionen Sicherheitsmechanismen des Produktes betreffen, beispielsweise den Zugriffsschutz. Solche Funktionen dienen oft als "Hintertüren" (engl. Backdoor) während der Entwicklung oder der Verteilung von Anwendungsprogrammen.

Beispiele:

  • Bei verschiedenen IT-Systemen fanden sich von den Entwicklern eingebaute (und vergessene) Hintertüren, um die Wartung zu erleichtern, die es allerdings auch ermöglichten, mit einem trivialen Passwort Administrator-Rechte zu erlangen.
  • Viele Programme können (oder müssen sogar) online beim Hersteller registriert werden. Bei einigen dieser Programme wurde bei der Online-Registrierung der Software gleichzeitig ein Überblick über alle auf der Festplatte gespeicherten Programme mitgeliefert.
  • Eine Software, deren Einsatz für die Nutzung eines Cloud Services vorausgesetzt wird, enthält eine bewusst eingebaute beziehungsweise nicht verschlossene Backdoor. Mit deren Hilfe können sich Angreifer Zugriff auf die Systeme des Cloud-Benutzers verschaffen.

Stand: 14. EL Stand 2014