Bundesamt für Sicherheit in der Informationstechnik

M 5.69 Schutz vor aktiven Inhalten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Beim Anzeigen von Webseiten im Browser werden häufig nicht nur Texte, Bilder und Multimedia-Inhalte geladen, sondern gleichzeitig auch Programmcodes (aktive Inhalte) ausgeführt, gegebenenfalls mittels geeigneter Plug-Ins. Bekannte Beispiele für aktive Inhalte sind JavaScript, Java-Applets, ActiveX-Elemente, Flash etc. Werden aktive Inhalte im Browser ausgeführt, kann dies zu Sicherheitsproblemen führen, etwa wenn dadurch Schadprogramme auf den Computer geladen werden oder wenn Angreifer versuchen, mittels aktiver Inhalte unerlaubt auf Daten zuzugreifen. Die gängigen Browser enthalten Sicherheitsmechanismen, die die Zugriffsmöglichkeiten von aktiven Inhalten einschränken. Es werden jedoch immer wieder Schwachstellen und Möglichkeiten bekannt, diese Sicherheitsmechanismen zu unterlaufen.

Um ein internes Netz vor Missbrauch durch aktive Inhalte aus dem Internet zu schützen, sind mehrere Vorgehensweisen denkbar, die im Folgenden vorgestellt werden.

Aktive Inhalte auf der Firewall herausfiltern

Dies ist die sicherste und deshalb empfohlene Methode für den Zugriff auf das Internet, da hiermit weiterhin die Firewall die Hauptkontrolle übernehmen kann. Um die Entgegennahme von aktiven Inhalten zu verhindern, wird auf dem Application Level Gateway (ALG) ein Proxy benötigt, der HTML-Seiten auf aktive Inhalte untersucht. Findet er diese, müssen sie aus der Seite herausgefiltert werden. Es gibt eine Reihe von ALGs, die diese Funktionalität bieten (siehe M 2.75 Geeignete Auswahl eines Application-Level-Gateways).

Es muss allerdings davon ausgegangen werden, dass diese Lösung, obwohl sie die sicherste ist, in Zukunft eine immer geringere Akzeptanz finden wird, da die Anzahl der Web-Seiten zunimmt, die nicht sinnvoll genutzt werden können, wenn die aktiven Inhalte herausgefiltert wurden.

Hinweis: Auch in E-Mails können aktive Inhalte versteckt sein, daher sollten auch diese daraufhin überprüft werden.

Zu beachten ist bei diesem Ansatz weiterhin, dass aktive Inhalte auch aus TLS/SSL-verschlüsselten Datenströmen herausgefiltert werden müssen. TLS/SSL-verschlüsselte Datenströme müssen somit an der Netzgrenze, beispielsweise auf dem ALG, terminiert werden. Auch diese Funktionalität wird inzwischen von einer Reihe von Firewall-Produkten angeboten.

Ausführung aktiver Inhalte im Browser deaktivieren

Bei zentral administrierten Arbeitsplatzrechnern ist es denkbar, die Rechte der einzelnen Benutzer so weit einzuschränken, dass diese die Sicherheitseinstellungen ihres Browsers nicht mehr ändern können. Diese könnten dann so konfiguriert werden, dass aktive Inhalte nicht ausgeführt werden. Hierbei kann dann auch auf dem Application Level Gateway auf die Filterung nach aktiven Inhalten verzichtet werden.

Aktive Inhalte auf schädlichen Code prüfen

Analog zu klassischen Viren-Schutzprogrammen gibt es Schutz-Software, die aktive Inhalte daraufhin durchsucht, ob darin schädlicher Code enthalten ist. Wenn die Software eine Gefahr erkennt, verweigert sie den Zugriff auf den verdächtigen Code. Die Schutz-Software zur Prüfung auf schädlichen Code kann Client-seitig oder an der Netzgrenze eingesetzt werden.

Zu beachten ist allerdings, dass dieser Ansatz keinen absoluten Schutz bietet, da es passieren kann, dass die Schutz-Software eine schädliche Web-Seite oder ein schädliches Element nicht als solches erkennt. Prinzipbedingt liegt die Erkennungsquote unter 100%. Wie bei klassischen Viren-Schutzprogrammen ist es wichtig, dass die Schutz-Software und deren Datenbanken regelmäßig aktualisiert werden.

Aktive Inhalte in einer gesonderten Umgebung ausführen

Es gibt mehrere technische Möglichkeiten, die Ausführung aktiver Inhalte in eine gesonderte, abgeschottete Umgebung zu verlagern, um das Risiko zu reduzieren.

  • Terminal-Server: Der Browser wird vom Client auf einen hierfür bereitgestellten Terminal-Server verlagert, der sich in einem gesonderten Netzsegment befindet. Vom Client wird über ein Terminal-Server-Protokoll (VNC, RDP, ICA, X11 etc.) auf den Terminal-Server zugegriffen. Der Browser wird auf diese Weise ferngesteuert. Die Kommunikationsmöglichkeiten zwischen dem Terminal-Server und dem lokalen Netz werden durch entsprechende netztechnische Maßnahmen auf ein Minimum reduziert.
  • Virtuelle IT-Systeme: Der Browser wird in ein gesondertes virtuelles IT-System verlagert, das vom Client aus genutzt werden kann. Die Kommunikationsmöglichkeiten zwischen dem virtuellen IT-System und dem Client sowie dem lokalen Netz werden durch Konfigurationsmaßnahmen auf ein Minimum reduziert. Diese Lösung kann auch komplett auf dem Client realisiert werden.
  • Betriebssystemmechanismen: Einige Betriebssystem bieten, gegebenenfalls mit Zusatzkomponenten, erweiterte Möglichkeiten, verschiedene Prozesse gegeneinander abzuschotten. Beispiele hierfür sind SELinux und AppArmor. Auch diese Mechanismen können genutzt werden, um aktive Inhalte in einer gesonderten Umgebung auszuführen.

Aktive Inhalte selektiv ausführen

Es ist möglich, die Ausführung aktiver Inhalte auf bestimmte Web-Seiten zu beschränken oder den Benutzern zu erlauben, die Ausführung aktiver Inhalte im Browser selbst ein- und auszuschalten. Es gibt auch Plug-Ins, die das Ein- und Ausschalten für die Benutzer komfortabler machen. Allerdings ist diese Vorgehensweise in vielen Fällen nicht praxisgerecht.

Einige Arten von aktiven Inhalten, beispielsweise ActiveX-Elemente, können vom Herausgeber mit einer digitalen Signatur versehen werden. Eine verifizierte und gültige Signatur kann Aufschluss über die Herkunft eines Elementes geben. Eine verlässliche Aussage darüber, ob ein Element schädlichen Code enthält, lässt sich jedoch anhand der Signatur nicht treffen.

Empfehlungen

  • Die Ausführung aktiver Inhalte sollte nur dann erlaubt werden, wenn dies für die jeweilige Fachaufgabe erforderlich ist.
  • Plug-Ins, die der Ausführung aktiver Inhalte dienen, sollten nur installiert werden, wenn dies für die jeweilige Fachaufgabe erforderlich ist.
  • Bevor aktive Inhalte ausgeführt werden, sollten sie (zentral oder lokal) durch aktuelle Schutz-Software auf schädlichen Code geprüft werden.
  • Aktive Inhalte in Form von ActiveX sollten, wenn überhaupt, nur dann ausgeführt werden, wenn sie aus einer vertrauenswürdigen Quelle kommen, d. h. wenn sie signiert sind, diese Signatur auch verifiziert wurde und der Signierer vertrauenswürdig ist.

Unter Abwägung der Risikolage und der fachlichen Anforderungen muss eine Entscheidung getroffen werden, wie mit aktiven Inhalten umgegangen wird. Es empfiehlt sich, diese Entscheidung zu dokumentieren.

Prüffragen:

  • Bei zentraler Filterung von aktiven Inhalten: Sind SSL -basierte WWW -Zugriffe nicht erlaubt?

  • Liegt eine abgestimmte Vorgehensweise zum Schutz gegen aktive Inhalte vor?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK