Bundesamt für Sicherheit in der Informationstechnik

M 4.199 Vermeidung problematischer Dateiformate

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Benutzer

E-Mail ist mittlerweile der wichtigste Übertragungsweg für Schadsoftware. Eine rein textbasierte E-Mail ohne Anhänge ist dabei ungefährlich. Gefährlich wird es erst, wenn E-Mail-Anhänge ausgeführt werden, die E-Mail HTML -basiert ist oder die Mail-Empfänger über Links in der E-Mail auf manipulierte Webseiten gelockt werden (siehe unten). Prinzipiell können E-Mails Anhänge in beliebiger Art und Menge beigefügt werden. Durch ein Zuviel an Anhängen kann die Verfügbarkeit eines E-Mail-Clients oder des E-Mail-Servers beeinträchtigt werden (siehe G 5.75 Überlastung durch eingehende E-Mails ). Die größere Gefahr sind aber Anhänge, die ausführbaren Code enthalten und damit ungeahnte Nebeneffekte auslösen können.

Anhänge

Anhänge, die ausführbaren Code enthalten, können ungeahnte Nebeneffekte auslösen. Aus diesem Grund muss eine Regelung für den Umgang mit Dateiformaten, die als potentiell problematisch eingeschätzt werden, erstellt werden. Wichtig ist, dass alle Betroffenen sich der Problematik bewusst sind und entsprechend vorsichtig mit diesen Dateiformaten umgehen.

Zum Schutz vor der unbeabsichtigten Ausführung von Schadcode sollten die E-Mail-Clients so eingestellt werden, dass Anhänge nicht versehentlich gestartet werden können, sondern das Programm vor der Ausführung warnt bzw. zumindest nachfragt, ob die Datei geöffnet werden soll. Das Betriebssystem bzw. der E-Mail-Client sollte außerdem so eingerichtet sein, dass Dateien zunächst nur in Viewern oder anderen Darstellungsprogrammen angezeigt werden, die eventuell in den Dateien enthaltenen Programmcode, wie Makros oder Skripte, nicht ausführen.

Sollte ein Benutzer eine E-Mail mit einem potentiell gefährlichen Anhang erhalten, so sollte er sicherstellen, dass die Quelle der E-Mail vertrauenswürdig ist. Dies lässt sich durch Verwendung von kryptographischen Signaturen durch den Versender und durch sachgemäße Überprüfung der Signatur durch den Empfänger realisieren. Auch sollte der Versender von potentiell gefährlichen Anhängen dafür sorgen, dass sein versendeter Anhang tatsächlich ungefährlich ist. Dazu gehört mindestens eine Prüfung mit einem Virenscanner mit aktuellen Schadcode-Signaturen.

Problematische Dateiformate

Für den Umgang mit Dateiformaten, die als potentiell problematisch eingeschätzt werden, können verschiedene Regelungen getroffen werden. Wichtig ist aber auf jeden Fall, dass alle Betroffenen sich der Problematik bewusst sind und entsprechend vorsichtig mit diesen Dateiformaten umgehen.

Die restriktivste Form ist es, das Öffnen aller als problematisch eingestuften Dateiformate zu verbieten bzw. diese am E-Mail-Gateway herauszufiltern. Dies führt allerdings erfahrungsgemäß zu großen Akzeptanzproblemen seitens der Kunden und der Mitarbeiter. Besser ist es im allgemeinen, einerseits die Mitarbeiter für die Problematik zu sensibilisieren und zum Mitdenken anzuregen und sie andererseits technisch zu unterstützen, indem die Gefährdungspotentiale durch entsprechende Konfiguration und Sicherheitswerkzeuge minimiert werden (siehe auch M 2.224 Vorbeugung gegen Schadprogramme , M 5.69 Schutz vor aktiven Inhalten ).

Im Folgenden werden einige Einschätzungen verschiedener Dateiformate gegeben. Diese können sich allerdings jederzeit ändern, wenn z. B. ein Hersteller seinem Produkt neue Features hinzufügt, die ungeplante Nebenwirkungen haben, bzw. ein Tüftler solche Nebenwirkungen herausfindet.

  • Als weitgehend harmlos gelten bisher ASCII-, GIF-, JPEG-formatierte Dateien.
  • Als möglicherweise gefährlich sollten die folgenden Dateiformate behandelt werden: alle Dateiformate von Office-Paketen wie Microsoft Office, Star Office oder Open Office mit integrierter Makrosprache, z. B. Word, Excel, Powerpoint (.DOC, .XLS, .PPT, ODT usw.) und alle Dokumente, die interpretierbaren/ausführbaren Code enthalten können, wie z.B. PDF, CHM. Besonders kritisch sind alle ausführbaren Programme (wie .COM, .EXE, .PIF) oder Skript-Sprachen (.VBS, .JS, .BAT unter Windows, ebenso wie Perl- oder Shellskripte unter Unix), Registrierungsdateien (.REG) sowie Bildschirmschoner (.SCR).
    Vorsichtshalber sollte für alle diese Dateitypen eine "ungefährliche" Standardapplikation festgelegt werden, mit der diese zwar geöffnet werden, innerhalb deren aber eventuelle Computer-Viren keinen Schaden auslösen können. Beispielsweise sollten Dateitypen wie *.VBS, *.JS oder *.BAT grundsätzlich mit einem einfachen, nicht makrofähigen Texteditor geöffnet werden.
    Windows-Betriebssysteme sollten außerdem so konfiguriert sein, dass bei Registrierungsdateien (.REG) als Standardvorgang Bearbeiten statt Zusammenführen eingestellt ist. Dadurch wird die Datei zunächst in einem Editor dargestellt und nicht der Registrierungsdatenbank hinzugefügt, wenn sie aktiviert wird.
  • Mit Zusatzmaßnahmen als vertretbar angesehen werden können: HTML, wenn ein JavaScript-Filter oder andere Sicherheitsvorkehrungen eingesetzt werden, RTF (mit COM-Object-Filter), ZIP (hier sollten die Benutzer allerdings gewarnt werden, dass die enthaltenen Dateien problematisch sein können), PDF (dabei ist darauf zu achten, dass der PDF-Reader auf dem Endgerät als Standard installiert ist und nicht Adobe Acrobat).

Eine als Anlage mitversandte komprimierte Datei kann sich als Mailbombe erweisen, die nach dem Auspacken Unmengen von Unterverzeichnissen anlegt oder sehr viel Festplattenplatz beansprucht. Archive, also mit Packprogrammen komprimierte Dateien, sollten niemals ohne vorhergehende Prüfung ausgepackt werden. Dazu gehört die Sichtung des Inhaltsverzeichnisses auf Art und Größe der komprimierten Dateien und die Überprüfung auf Schadsoftware. Selbstextrahierende Archive, also solche mit Endungen wie *.EXE, sollten niemals aufgerufen werden, da vor dem Auspacken der Inhalt nicht geprüft kann.

HTML-Mails

Immer mehr E-Mails sind heutzutage auch HTML-formatiert. Dies ist einerseits oft lästig, weil nicht alle E-Mail-Clients dieses Format anzeigen können. Andererseits kann dies aber auch dazu führen, dass bereits bei der Anzeige solcher E-Mails auf dem Client ungewollte Aktionen ausgelöst werden, da HTML-Mails eingebetteten JavaScript- oder VisualBasic-Skript-Code enthalten können.

Über im HTML-Quelltext eingebettete Bilder lässt sich auch eine Rückkopplung vom E-Mail-Client zum Spammer realisieren. Wird das eingebettete Bild durch Anzeige der E-Mail aus der Quelle im Internet nachgeladen, weiß der Spammer, dass seine E-Mail gelesen wurde und bekommt somit eine Bestätigung, dass der Empfänger gültig ist und Spam-E-Mails liest. Das automatische Nachladen von HTML-Objekten sollte im E-Mail-Client unterbunden werden.

Durch Kombination verschiedener Sicherheitslücken in E-Mail-Clients und Browsern ist es in der Vergangenheit immer wieder zu Sicherheitsproblemen mit HTML-formatierten E-Mails gekommen (siehe auch G 5.110 Web-Bugs). Ein Beispiel hierfür findet sich unter anderem im CERT -Advisory CA-2001-06 (unter http://www.cert.org/advisories/CA-2001-06.html).

Generell sollten möglichst keine HTML-formatierten E-Mails oder solche mit aktiven Inhalten versendet werden. Außerdem sollte die Möglichkeit überprüft werden, in eingehenden E-Mails enthaltene aktive Inhalte herauszufiltern, beispielsweise an der Firewall.

Weiterhin sollten E-Mail-Clients gewählt werden, bei denen HTML-formatierte E-Mails als solche zu erkennen sind, damit die Benutzer diese nicht unbewusst öffnen.

Generell sollte eine Vorgabe innerhalb einer Institution zum Umgang mit HTML-formatierten E-Mails erstellt werden. Beim Empfang von HTML-formatierten E-Mails sollte festgelegt werden, ob diese

  • unverändert an die Benutzer weitergeleitet und die Benutzer für den verantwortungsvollen und vorsichtigen Umgang mit solchen E-Mails geschult und sensibilisiert werden,
  • mit Hilfe von serverseitigen Tools in ein reines Textformat umgewandelt und danach mit einem entsprechenden Hinweis an die Benutzer weitergeleitet werden (dabei können allerdings Informationen verloren gehen),
  • nicht direkt an die Benutzer weitergeleitet werden, sondern an einen besonderen Arbeitsplatz, wo sie mit besonderen Sicherheitsvorkehrungen vom Empfänger eingesehen werden können (je nach E-Mail-Aufkommen kann dies allerdings einen nicht akzeptablen Aufwand mit sich bringen).

Grundsätzlich sollten alle Benutzer für diese Problematik sensibilisiert sein.

Wer auf Nummer sicher gehen will, der konfiguriert den E-Mail-Client so, dass er standardmäßig eine E-Mail nur als Text anzeigt.

Prüffragen:

  • Gibt es Vorgaben für den Umgang mit HTML -formatierten E-Mails und für den Umgang mit Dateianhängen an E-Mails?

Stand: 13. EL Stand 2013