Bundesamt für Sicherheit in der Informationstechnik

G 5.133 Unautorisierte Benutzung web-basierter Administrationswerkzeuge

Die Administration mit Webbrowser-basierten Werkzeugen hat stark an Bedeutung gewonnen. Einer der entscheidenden Vorteile für das technisch verantwortliche Personal ist die Unabhängigkeit von

  • der Betriebssystem-Plattform des zu betreuenden IT -Systems
  • dem Standort des zu betreuenden IT-Systems.

Allen Werkzeugen gemein ist, dass sie kritische Anmeldedaten verwenden. Sie sind auf gängige für das Internet standardisierte Authentisierungsmethoden angewiesen, um technischem Personal autorisierten Zugriff auf die kritischen lokalen Systeme zu gewähren. Viele Administrationswerkzeuge besitzen zusätzlich eigene Authentisierungsmechanismen oder bedienen sich lokaler, teils nicht standardisierter Authentisierungs- und Sicherheitsmechanismen. Es besteht die Gefahr der Kompromittierung durch nicht autorisierte Benutzer.

Eine hohe Gefährdung entsteht, wenn die Sicherheitsrichtlinie für die Authentisierung im Netz bzw. deren Umsetzung im betrachteten Informationsverbund durch ungeeignete Authentisierungsverfahren für Web-basierte Administrationswerkzeuge unterlaufen wird. Die häufigsten Ursachen dafür sind:

  • die Wahl einer falschen oder veralteten Authentisierungsmethode, weil das jeweilige Werkzeug keine stärkere Authentisierung unterstützt oder weil andere beteiligte IT-Systeme ( z. B. Sicherheitsgateways) das favorisierte Protokoll nicht unterstützen
  • die ungeeignete Umsetzung bzw. Übernahme der Web-basierten Authentisierung in das lokale Authentisierungssystem.

Eine Gefährdung kann z. B. entstehen, wenn zum Zwecke der Nutzung Web-basierter Administrationshilfen die Windowskomponente Internetinformationsdienst aktiviert wird, ohne diese entsprechend den Empfehlungen zu konfigurieren. Eine Gefahr könnte dann darin bestehen, dass in der Standardkonfiguration nur schwächere Authentisierungsverfahren aktiviert sind. Es ist darauf hinzuweisen, dass eine mangelhafte Konfiguration ein großes Risiko für alle auf dem Markt befindlichen Lösungen zur Web-basierten Administration darstellt.

Stand: 11. EL Stand 2009