M 4.199 Vermeidung gefährlicher Dateiformate
Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Benutzer, Administrator
E-Mail ist mittlerweile der wichtigste Übertragungsweg für Computer-Viren und Würmer. Eine rein textbasierte E-Mail ohne Anhänge ist dabei ungefährlich. Gefährlich wird es erst, wenn E-Mail-Anhänge ausgeführt werden oder die E-Mail HTML-basiert ist (siehe unten). Prinzipiell können E-Mails Anhänge in beliebiger Art und Menge beigefügt werden. Durch ein Zuviel an Anhängen kann die Verfügbarkeit eines E-Mail-Clients oder des E-Mail-Servers beeinträchtigt werden (siehe G 5.75 Überlastung durch eingehende E-Mails bzw. G 5.76 Mailbomben). Die größere Gefahr sind aber Anhänge, die ausführbaren Code enthalten und damit ungeahnte Nebeneffekte auslösen können.
Der E-Mail-Client sollte so eingestellt sein, dass Anhänge nicht versehentlich gestartet werden können, sondern das Programm vor der Ausführung warnt bzw. zumindest nachfragt, ob die Datei geöffnet werden soll. Das Betriebssystem bzw. der E-Mail-Client sollte außerdem so eingerichtet sein, dass Dateien zunächst nur in Viewern oder anderen Darstellungsprogrammen angezeigt werden, die eventuell in den Dateien enthaltenen Programmcode, wie Makros oder Skripte, nicht ausführen.
Vor dem Absenden einer E-Mail sollte sich jeder überlegen, ob es wirklich nötig ist, ein Attachment anzuhängen, oder ob die Informationen nicht genauso gut als Text in die E-Mail direkt eingefügt werden kann. Ansonsten sollten Dateien in möglichst "ungefährlichen" Formaten weitergegeben werden, also z. B. sollten Textdokumente statt als DOC- oder SDW-Datei möglichst nur im RTF-Format nach außen gegeben werden (siehe auch M 4.134 Wahl geeigneter Datenformate). Wenn sich die Versendung von Dateien in "gefährlichen" Formaten nicht vermeiden lässt, sollte überlegt werden, den Empfänger mit einer kurzen E-Mail darauf hinzuweisen, dass als nächstes eine E-Mail mit solchen Attachments zu erwarten ist.
Für den Umgang mit Dateiformaten, die als potentiell problematisch eingeschätzt werden, können verschiedene Regelungen getroffen werden. Wichtig ist aber auf jeden Fall, dass alle Betroffenen sich der Problematik bewusst sind und entsprechend vorsichtig mit diesen Dateiformaten umgehen.
Die restriktivste Form ist es, das Öffnen aller als problematisch eingestuften Dateiformate zu verbieten bzw. diese am E-Mail-Gateway herauszufiltern. Dies führt allerdings erfahrungsgemäß zu großen Akzeptanzproblemen seitens der Kunden und der Mitarbeiter. Besser ist es im allgemeinen, einerseits die Mitarbeiter für die Problematik zu sensibilisieren und zum Mitdenken anzuregen und sie andererseits technisch zu unterstützen, indem die Gefährdungspotentiale durch entsprechende Konfiguration und Sicherheitswerkzeuge minimiert werden (siehe auch M 2.224 Vorbeugung gegen Trojanische Pferde, M 5.69 Schutz vor aktiven Inhalten).
Im folgenden werden einige Einschätzungen verschiedener Dateiformate gegeben. Diese können sich allerdings jederzeit ändern, wenn z. B. ein Hersteller seinem Produkt neue Features hinzufügt, die ungeplante Nebenwirkungen haben, bzw. ein Tüftler solche Nebenwirkungen herausfindet.
- Als weitgehend harmlos gelten bisher ASCII-, GIF-, JPEG-formatierte Dateien.
-
Als möglicherweise gefährlich sollten die folgenden Dateiformate behandelt werden: alle Dateiformate von Office-Paketen wie Microsoft Office, Star Office oder Open Office mit integrierter Makrosprache, z. B. Word, Excel, Powerpoint (.DOC, .XLS, .PPT, SDW, SXW usw.). Besonders kritisch sind alle ausführbaren Programme (wie .COM, .EXE, .PIF) oder Skript-Sprachen (.VBS, .JS, .BAT unter Windows, ebenso wie Perl- oder Shellskripte unter Unix), Registrierungsdateien (.REG) sowie Bildschirmschoner (.SCR).
Vorsichtshalber sollte für alle diese Dateitypen eine "ungefährliche" Standardapplikation festgelegt werden, mit der diese zwar geöffnet werden, innerhalb deren aber eventuelle Computer-Viren keinen Schaden auslösen können. Beispielsweise sollten Dateitypen wie *.VBS, *.JS oder *.BAT grundsätzlich mit einem einfachen, nicht makrofähigen Texteditor geöffnet werden.
Windows-Betriebssysteme sollten außerdem so konfiguriert sein, dass bei Registrierungsdateien (.REG) als Standardvorgang Bearbeiten statt Zusammenführen eingestellt ist. Dadurch wird die Datei zunächst in einem Editor dargestellt und nicht der Registrierungsdatenbank hinzugefügt, wenn sie aktiviert wird. - Mit Zusatzmaßnahmen als vertretbar angesehen werden können: HTML, wenn ein JavaScript-Filter oder andere Sicherheitsvorkehrungen eingesetzt werden, RTF (mit COM-Object-Filter), ZIP (hier sollten die Benutzer allerdings gewarnt werden, dass die enthaltenen Dateien problematisch sein können), PDF (dabei ist darauf zu achten, dass der PDF-Reader auf dem Endgerät als Standard installiert ist und nicht Adobe Acrobat).
Immer mehr E-Mails sind heutzutage auch HTML-formatiert. Dies ist einerseits oft lästig, weil nicht alle E-Mail-Clients dieses Format anzeigen können. Andererseits kann dies aber auch dazu führen, dass bereits bei der Anzeige solcher E-Mails auf dem Client ungewollte Aktionen ausgelöst werden, da HTML-Mails eingebetteten JavaScript- oder VisualBasic-Skript-Code enthalten können.
Durch Kombination verschiedener Sicherheitslücken in E-Mail-Clients und Browsern ist es in der Vergangenheit immer wieder zu Sicherheitsproblemen mit HTML-formatierten E-Mails gekommen (siehe auch G 5.110 Web Bugs). Ein Beispiel hierfür findet sich unter anderem im CERT-Advisory CA-2001-06 (unter http://www.cert.org/advisories/CA-2001-06.html).
Generell sollten möglichst keine HTML-formatierten E-Mails oder solche mit aktiven Inhalten zu versenden. Außerdem sollte die Möglichkeit überprüft werden, in eingehenden E-Mails enthaltene aktive Inhalte herauszufiltern, beispielsweise an der Firewall. Weiterhin sollten E-Mail-Clients gewählt werden, bei denen HTML-formatierte E-Mails als solche zu erkennen sind, damit der Benutzer diese nicht unbewusst öffnet.
Generell sollte eine Vorgabe innerhalb einer Organisation zum Umgang mit HTML-formatierten E-Mails erstellt werden. Beim Empfang von HTML-formatierten E-Mails sollte festgelegt werden, ob diese
- unverändert an die Benutzer weitergeleitet und die Benutzer für den verantwortungsvollen und vorsichtigen Umgang mit solchen E-Mails geschult und sensibilisiert werden,
- mit Hilfe von serverseitigen Tools in ein reines Textformat umgewandelt und danach mit einem entsprechenden Hinweis an die Benutzer weitergeleitet werden (dabei können allerdings Informationen verloren gehen),
- nicht direkt an die Benutzer weitergeleitet werden, sondern an einen besonderen Arbeitsplatz, wo sie mit besonderen Sicherheitsvorkehrungen vom Empfänger eingesehen werden können (je nach E-Mail-Aufkommen kann dies allerdings einen nicht akzeptablen Aufwand mit sich bringen).
Grundsätzlich sollten alle Benutzer für diese Problematik sensibilisiert sein.
Ergänzende Kontrollfragen:
- Ist der Umgang mit Dateiformaten, die als problematisch eingeschätzt werden, geregelt?
- Wissen alle Benutzer, wie mit problematischen Attachments umzugehen ist?