Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 5.88 Missbrauch aktiver Inhalte - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 5.88 Missbrauch aktiver Inhalte

Während des Surfens im Internet können WWW-Seiten mit aktiven Inhalten auf den Anwenderrechner geladen werden (z. B. ActiveX oder Java-Applets). Diese Software kann gezielt zu dem Zweck erstellt worden sein, dass sie vertrauliche Daten des Benutzers ausspioniert und anschließend so ausgespähte Informationen an den Angreifer über das Internet zurückgibt.

Ein Java-fähiger Browser erlaubt es dem Benutzer, Java-Applets vom Netz zu laden und auszuführen, ohne dass der Benutzer das Applet erkannt hat. Dies stellt Java-Benutzer vor bedeutende Sicherheitsrisiken:

Bei ActiveX ist anders als bei Java die Funktionsvielfalt kaum eingeschränkt: Bis hin zur Formatierung der Festplatte kann ein ActiveX-Programm alle Befehle enthalten. Diese kleinen ausführbaren Codes nennt man Controls. Die meist zur Illustration oder Unterhaltung verteilten Controls können auch böswillige Elemente besitzen, die dann Zugriff auf den Datenspeicher des Anwenderrechners haben oder andere Programme - für den Benutzer unbemerkt - fernsteuern. ActiveX-Controls können die Festplatte löschen, einen Virus oder ein Trojanisches Pferd enthalten oder die Festplatte nach bestimmten Informationen durchsuchen. All dies kann passieren, ohne dass der Nutzer bzw. Betrachter des Controls dies bemerkt. Während der Betrachter ein durch Controls übertragenes Spiel ausführt, kann im Hintergrund dieses Control die E-Mail nach bestimmten Informationen durchsuchen.

Bei entsprechender Voreinstellung seines WWW-Browsers kann ein Benutzer zwar dafür sorgen, dass nur digital signierte ActiveX-Controls ausgeführt werden. Eine solche digitale Signatur beweist allerdings nur, dass der Hersteller des ActiveX-Controls bei einer Zertifizierungsstelle bekannt ist und dass das von diesem Hersteller bereitgestellte Control unverändert geladen wurde. Hierdurch wird nichts über die Funktionsweise oder Schadensfreiheit eines solchen Controls ausgesagt und auch keine Gewähr dafür übernommen.