Bundesamt für Sicherheit in der Informationstechnik

Aktive Inhalte: Definitionen und Gefahren

Aktive Inhalte erweitern den Inhalt von Webseiten um Funktionalitäten, die mit reinem HTML nicht so einfach möglich sind und die aktiv auf dem Anwender-Rechner ausgeführt werden. Die verschiedenen Techniken, die unter dem Oberbegriff "Aktive Inhalte" zusammengefasst werden, unterscheiden sich unter anderem durch die Art, wie die Aktiven Inhalte in eine HTML-Seite integriert werden.

Aktive Inhalte, die über Skriptsprachen realisiert werden, werden im Textformat direkt in den HTML-Code eingefügt oder in einer aus dem HTML-Code aufgerufenen Datei abgelegt. Zu den als Aktiver Inhalt einsetzbaren Skriptsprachen zählen JavaScript, JScript und VBScript. Damit der Skriptcode ausgeführt werden kann, ist in den gängigen Web-Browsern ein Skript-Interpreter enthalten, der den Skriptcode zeilenweise abarbeitet und ausführt. Von den meisten Browsern wird von den Skriptsprachen nur JavaScript unterstützt. Nur der Internet Explorer hat über die Microsoft Windows Script Umgebung zusätzlich Skript-Interpreter für JScript und VBScript implementiert.

Eine weitere Möglichkeit ausführbaren Code in eine HTML-Seite zu integrieren ist, im HTML-Code vorkompilierte Programm-Module wie Java-Applets oder ActiveX-Controls aufzurufen. Damit die vorkompilierten Programm-Module ausgeführt werden können, wird eine Laufzeitumgebung benötigt. Für die Java-Applets wurde hierfür eine Java Virtual Machine in die gängigen Browser integriert. Damit ActiveX-Controls ausgeführt werden können, wurden einige Browser so erweitert, dass sie als ActiveX-Container agieren können.

Aktive Inhalte: Sicherheitsmodelle, Gefahren und Risiken

Ausführliche Informationen zu den oben genannten Aktiven Inhalten, deren Sicherheitsmodellen und Gefahrenpotentialen erhalten Sie auf den folgenden Unterseiten:

Weitere Browser-Erweiterungen

Nicht zu den Aktiven Inhalten zählen Plug-Ins. Plug-Ins sind Programme, die in die Web-Browser integriert werden können, um den Funktionsumfang der Web-Browser zu vergrößern, während Aktive Inhalte eingesetzt werden, um einzelne Webseiten um dynamische Elemente zu erweitern. Mehr Informationen zu der verwendeten Technologie und möglichen Gefahren befinden sich auf den weiterführenden Seiten zu Plug-Ins.

Auch im Zusammenhang mit Aktiven Inhalten werden oft Cookies genannt. Cookies sind jedoch keine Aktiven Inhalte, sondern eine Kennung, die den Benutzer auf dem Webserver eindeutig identifiziert. Anhand dieser Kennung kann der Webseitenbetreiber auf bereits vorhandene Benutzerdaten zurückgreifen, ohne sie bei jedem Besuch neu abfragen zu müssen. Mehr Informationen zu der verwendeten Technologie und möglichen Gefahren befinden sich auf den weiterführenden Seiten zu Cookies.

Allgemeine Gefahren und Risiken von Aktiven Inhalten

Allgemein kann gesagt werden, dass folgende Schäden auf Anwenderseite durch den Einsatz von Aktiven Inhalten entstehen können:

  • Zerstörung der Daten (Verlust der Verfügbarkeit)
    Daten können gelöscht oder auf andere Weise unbrauchbar gemacht werden
  • Ungewollte Übermittlung sensibler Daten (Verlust der Vertraulichkeit)
    Vertrauliche Daten (wie Passwörter oder Online-Banking-Daten) können zwischengespeichert werden und bei einer Internet-Verbindung in unbefugte Hände gelangen.
  • Verändern von Daten (Verlust der Integrität)
    Aktive Inhalte können schädliche Prozesse initiieren, die Daten ändern oder Programme mit einem Virus infizieren. Unter anderem kann auf diese Weise ein Rechner von einem Angreifer ferngesteuert werden.

Auch für den Anbieter von Webseiten mit Aktiven Inhalten können Nachteile entstehen, wenn für die Anwender wichtige Informationen auf den besuchten Webseiten nur über die Aktivierung von Aktiven Inhalten zugänglich sind.

Es entstehen möglicherweise wirtschaftliche Schäden. Das Web-Angebot kann nicht wahrgenommen werden, wenn

  • der Anwender in seinem Web-Browser aus Sicherheitsgründen die Ausführung von Aktiven Inhalten untersagt,
  • der Rechner des Anwenders die eingesetzten Aktiven Inhalte nicht ausführen kann, weil die zur Ausführung der Aktiven Inhalte geforderte Software mit der Konfiguration (Betriebssystem, Web-Browser) nicht lauffähig ist (Plattformabhängigkeit einzelner Aktiver Inhalte).

Verlangt der Anbieter von seinem Kunden, den Web-Browser in einen unsicheren Zustand zu schalten, leidet das Vertrauen in den Anbieter. Wenn das Angebot nicht barrierefrei gestaltet ist, werden Personen mit Behinderungen ausgegrenzt. Durch das Publizieren solcher Seiten (zum Beispiel auf der Schwarzen Liste der Deutschen Vereinigung für Datenschutz (DVD) kann ein Imageverlust entstehen. Diese Vereinigung führt eine Liste mit Webseiten, die von Ihren Besuchern die Ausführung von Aktiven Inhalten oder Cookies verlangt, um das Angebot wahrnehmen zu können.