Bundesamt für Sicherheit in der Informationstechnik

G 5.88 Missbrauch aktiver Inhalte

Aktive Inhalte sind Programmteile oder Skripte, die im Browser ausgeführt werden. Weit verbreitete Arten von aktiven Inhalten sind JavaScript, Java-Applets, ActiveX-Elemente, Flash etc. Sie dienen häufig dazu, Webseiten interaktiver zu gestalten, besondere grafische Effekte zu erzielen oder Multimedia-Inhalte einzubetten.

Andererseits können aktive Inhalte jedoch auch gezielt zu dem Zweck erstellt worden sein, vertrauliche Daten auszuspionieren, Manipulationen vorzunehmen oder den Computer mit Schadprogrammen zu infizieren. Auch Angriffe auf die Verfügbarkeit des jeweiligen Clients sind möglich. Die gängigen Browser enthalten Sicherheitsmechanismen, die die Zugriffsmöglichkeiten von aktiven Inhalten einschränken. Es werden jedoch immer wieder Schwachstellen und Möglichkeiten bekannt, diese Sicherheitsmechanismen zu unterlaufen.

Die folgenden Aspekte tragen dazu bei, dass das Ausführen aktiver Inhalte zu Sicherheitsproblemen führen kann:

  • Aktive Inhalte können aus dem Netz geladen und ausgeführt werden, ohne dass die Benutzer aktiv daran beteiligt sind. Häufig ist die Ausführung für die Benutzer auch nicht erkennbar.
  • Aktive Inhalte können über Standardnetzprotokolle, beispielsweise SMTP, mit Computern im Internet kommunizieren. Auf diese Weise können zum Beispiel vertrauliche Informationen an Unbefugte weitergeleitet werden.
  • Für die verschiedenen Arten von aktiven Inhalten bestehen unterschiedliche Möglichkeiten, auf die Ressourcen des Betriebssystems und der Hardware zuzugreifen.

Anders als bei Java und JavaScript ist die Funktionsvielfalt von ActiveX-Controls kaum eingeschränkt. Die Controls können direkt auf dem Rechner ablaufen und Zugriff auf die Hardware und das Betriebssystem haben. Aufgrund dieser vielfältigen Zugriffsmöglichkeiten ist mit der Ausführung von ActiveX-Komponenten ein hohes Risiko verbunden.

Bei entsprechender Voreinstellung seines Browsers kann ein Benutzer dafür sorgen, dass nur digital signierte ActiveX-Controls ausgeführt werden. Eine solche gültige Signatur beweist allerdings nur, dass der Hersteller des ActiveX-Controls bei einer Zertifizierungsstelle bekannt ist und dass das von diesem Hersteller bereitgestellte Control unverändert geladen wurde. Hierdurch wird nichts über die Funktionsweise oder Unbedenklichkeit eines solchen Controls ausgesagt und auch keine Gewähr dafür übernommen.

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK