Bundesamt für Sicherheit in der Informationstechnik

Aktive Inhalte

Das Internet hat sich zu einem Massenmedium mit einer Vielzahl von Möglichkeiten entwickelt. Ein großer Teil des menschlichen Wissens ist inzwischen über das Internet erreichbar. Anwender können zu fast jedem Thema Informationen finden. Zusätzlich kann jeder als Anbieter auftreten und selbst Inhalte zur Verfügung stellen.

Die Web-Browser, mit denen die Daten beim Anwender dargestellt werden, wurden im Laufe der Zeit immer weiterentwickelt, um den wachsenden Bedarf an multimedialer und interaktiver Informationsdarstellung zu erfüllen. Sie sind nun in der Lage, eine Vielzahl unterschiedlicher Medienformate (Texte, Bilder, Klänge, Videos usw.) anzuzeigen und abzuspielen. Für die bessere interaktive Informationsdarstellung wurden die Browser insofern erweitert, dass sie kleinere Programme und Skripte, so genannte "Aktive Inhalte", direkt beim Anwender ausführen.

Zu den Aktiven Inhalten zählen insbesondere JavaScript bzw. JScript, VBScript, Java-Applets, ActiveX-Controls sowie AJAX. Ein allgemeiner Überblick, eine Beschreibung der einzelnen Aktiven Inhalte sowie eine Beschreibung der mit dem Einsatz verbundenen Gefahren findet sich auf den folgenden Seiten unter der Rubrik "Definitionen und Gefahren".

Aktive Inhalte bieten unter anderem die Möglichkeit, mit einfachen Mitteln ein Maß an Flexibilität und Dynamik herzustellen, welches auf statischen HTML-Seiten nur schwer erreicht werden kann. Sie werden wie lokale Anwendungen (Programme) direkt auf dem Rechner des Benutzers ausgeführt. Im Unterschied zu den lokalen Anwendungen sollen diese Aktivitäten allerdings durch den Web-Browser kontrolliert und eingeschränkt werden.

Da die Ausführung der Inhalte wie ein lokales Programm dabei aber unbemerkt vom Anwender erfolgt, entsteht für den Anwender ein hohes Risikopotential. So kann fehlerhafte Programmierung die Kontrollfunktion des Web-Browsers unwirksam machen. Böswillig programmierte Aktive Inhalte können vollen Zugriff auf den Rechner erlangen und beispielsweise beliebige Dateien lesen, verändern oder ins Internet übermitteln.

Alternativen für Anbieter

Auch der Anbieter, der Aktive Inhalte in seine Webseite integriert, läuft Gefahr, dass sein Internet-Angebot nicht den von ihm gewünschten Effekt erzielt. Auf Anwenderseite ist die Ausführung der Aktiven Inhalte in der Regel abhängig von der Konfiguration des Web-Browsers oder in einem Firmennetz von der Filterung durch das Sicherheits-Gateway. Die für den Anwender sicherste Einstellung kann den Zugang zu Seiten mit Aktiven Inhalten einschränken oder ganz verhindern. Der Anbieter liefert sich so der Gefahr aus, einen großen Kreis von Interessenten nicht zu erreichen.

Verzichten muss ein Webseiten-Anbieter dennoch nicht auf eine ansprechende Darstellung seiner Inhalte. Mit geschicktem Einsatz von standardkonformem HTML, Cascading Style Sheets (CSS) und server-seitig erzeugten dynamischen Inhalten (z. B. mittels PHP) gibt es viele alternative Möglichkeiten zur interaktiven Darstellung von Inhalten.

In der Praxis kommt es jedoch vor, dass für vertrauenswürdige Web-Anwendungen, zumindest teilweise, nicht vom Einsatz Aktiver Inhalte abgesehen werden kann oder soll. Hinweise zum Umgang hiermit geben unter anderem die beiden folgenden Dokumente:

Sicherer Einsatz von JavaScript v1.0 (PDF, 230KB, Datei ist barrierefrei⁄barrierearm)

Allgemeine Empfehlungen des BSI zum sicheren Einsatz von Aktiven Inhalten in vertrauenswürdigen Web-Anwendungen (PDF, 728KB, Datei ist nicht barrierefrei)

Allgemeine Empfehlung

Das BSI rät Anbietern von Webseiten vom Einsatz Aktiver Inhalte ab. Besonders kritisch sind Aktive Inhalte, wenn die Webseiten ohne Ausführung dieser Codeteile nicht mehr den vollen Funktionsumfang bieten.

Hauptgründe für diese Empfehlung sind:

  1. Der Internet-Nutzer wird durch Aktive Inhalte in Web-Angeboten dazu verleitet, seine ggf. vorgenommenen lokalen Sicherheitseinstellungen zu lockern, um das Web-Angebot (vollständig) nutzen zu können. Dabei besteht eine sehr hohe Wahrscheinlichkeit, dass der Nutzer beim Verlassen des Web-Angebots und dem anschließenden Wechsel zu anderen Webseiten diese Einstellungen nicht wieder zurücksetzt und anschließend stärkeren Gefahren ausgesetzt ist.


    • Aktive Inhalte werden häufig eingesetzt, um schädlichen Programmcode – wie Viren oder Trojanische Pferde – zu transportieren. Werden Aktive Inhalte im Browser des Internet-Nutzers nicht vollständig abgeblockt, so ist der Rechner beim Surfen im Internet gefährdet. Dies gilt umso mehr, als dass beim Surfen im Internet unter Umständen eine Vielzahl von Programmen aus unbekannten Quellen auf dem Computer des Anwenders ausgeführt werden. Je nach Browser-Einstellung kann dies auch ohne Wissen des Anwenders geschehen.

    • Selbst beim Aufsuchen vertrauenswürdiger Webseiten kann der Nutzer durch schädliche Aktive Inhalte gefährdet sein, die z. B. mittels Cross-Site Scripting (XSS) auf den nicht perfekt abgesicherten Server eingeschleust wurden.

    • Die Sicherheitsfunktionen, die die Browser zum Schutz vor schädlichen Aktiven Inhalten bieten, lassen sich fast alle unter Ausnutzung von Software-Schwachstellen aushebeln. In allen gängigen Browsern werden regelmäßig solche sicherheitsrelevanten Software-Schwachstellen gefunden.


  2. Durch den Einsatz Aktiver Inhalte werden sicherheitsbewusste Anwender, die die Browser-Einstellungen nicht ändern, gar nicht mehr oder nur in eingeschränktem Umfang erreicht. Eine Kundenbeziehung zum Anbieter wird in diesen Fällen vermutlich nicht entstehen.

  3. Ein davon unabhängiges Problem stellen die Kompatibilitätsprobleme dar, die durch unterschiedliche Implementierungen innerhalb der Browser hervorgerufen werden und zu höheren Kosten beim Anbieter führen. Dies gilt besonders für JavaScript, die am häufigsten verwendete Technik für Aktive Inhalte. Web-Angebote, die stark auf JavaScript aufbauen, funktionieren mit einigen Browsern gar nicht mehr, verweigern den Zugang oder stellen das Layout nicht korrekt dar – es sei denn, die Funktionalität ist für jeden Browser separat programmiert worden.

    • Die Aufwände für die Pflege von Web-Angeboten mit Aktiven Inhalten sind deutlich höher im Vergleich zu standard-konformen Web-Angeboten, die auf den Einsatz Aktiver Inhalte verzichten. Mit jedem Erscheinen einer neuen Browser-Version muss zudem getestet werden, ob die beabsichtigte Funktionalität noch erreicht wird.


  4. Sehr oft stehen Aktive Inhalte auch im Widerspruch zur barrierefreien Gestaltung von Webseiten, da die speziellen Funktionen z. B. nicht von den Screen-Readern unterstützt werden. Gerade für Bundesbehörden gilt es aber, die Anforderungen der "Barrierefreie Informationstechnik-Verordnung (BITV)" umzusetzen.