Sicherheitsaspekte des Privatanwenders bei der Nutzung des Internets

Inhaltsverzeichnis

Abkürzungsverzeichnis

1. Einführung

2. Definition von Computersicherheit

3. Script-Sprachen
3.1 JavaScript
3.2 Java
3.3 ActiveX

4. Aktive Inhalte
4.1 Plug-Ins
4.2 Shockwave

5. Nicht beeinflussbare Datenübertragung
5.1 Cookies
5.2 Spyware

6. Browser
6.1 Microsoft Internet Explorer
6.1.1 Sicherheitszonen und Sicherheitseinstellungen
6.1.2 Weitere Sicherheitseinstellungen
6.1.3 Sicherheitslücken
6.2 Netscape Navigator
6.2.1 Sicherheitseinstellungen
6.2.2 Sicherheitslücken

7. Lösungsansätze

8. Schlussbemerkung

Literaturverzeichnis

Ehrenwörtliche Erklärung

1. Einführung

Die Anzahl der weltweiten Internetnutzer stieg von ca. 368,54 Mio. im August 2000 auf ca. 513,41 Mio. im August 2001.^[1] Es ist davon auszugehen, dass durch die Zunahme der Nutzeranzahl im Internet auch die Risiken zunehmen, die von möglichen An­grei­fern ausgehen. Risiken können durch das Ausnutzen von Fehlern in Internet Brow­sern, in Script-Sprachen und in aktiven Inhalten auftreten und mehr oder weniger große Schäden hervorrufen. Zusätzliche besteht noch die Gefahr, dass ein an das Inter­net an­geschlossener Computer durch spezielle Programme ausspioniert wird.

Die vorliegende Studienarbeit beschäftigt sich mit Risiken, denen Daten auf einem Computer eines Internetnutzers ausgesetzt sind. Der Verfasser wird zunächst auf den Begriff „Sicherheit“ eingehen und daraufhin einige Probleme beschreiben. Besonderen Wert wird dabei auf die Sicherheits­einstellungen und Sicherheitsprobleme von Internetbrowsern gelegt. Als Lösungsansatz wird die Funktionsweise eines Proxy-Servers vorgestellt, auf Antiviren­programme und Firewalls wird nicht ein­gegangen.

2. Definition von Computersicherheit

Sicherheit im Internet lässt sich anhand folgender Kriterien klassifizieren:

- Verhinderung von „Denial of Service Angriffen“

Bei einem „Denial of Service Angriff“ handelt es sich um einen Angriff, der einen an das Internet angeschlossenen Computer zum Absturz bringen kann. Dadurch kann der Computer eine Zeitlang nicht mehr genutzt werden, was auch der Übersetzung „Angriff zur Ablehnung des Dienstes“ entspricht. Damit ein Computer ungestört genutzt werden kann, müssen solche Angriffe abgewehrt werden können.

- Vertraulichkeit

Die Vertraulichkeit von Daten beschreibt die Sicherheit vor Angriffen, die als Ziel das Abhören und Analysieren dieser Daten haben. Ein Computer muss also dahingehend abgesichert sein, so dass keine Daten von Externen gelesen werden kön­nen. Motive für das Abhören von Daten können beispielsweise Marketinginteressen von Unternehmen sein. Durch das Abhören und spätere Analysieren des Surfverhaltens und anderer Daten sollen bestimmte Benutzergruppe gefunden werden, denen daraufhin bestimmte Angebote unterbreitet werden.

- Integrität

Computerdaten sind neben der Gefahr des Abhörens außerdem der Gefahr der Verän­derung ausgesetzt. Das Ziel solcher Angriffe kann einfacher Zerstörungswille oder auch das bewusste Ändern von wichtigen Daten zur Erlangung eines Vorteils sein. Es muss deshalb gewährleistet werden, dass die Dateien auf einem Datenträger nicht von einem Angreifer geändert werden können.

- Gefahr der Löschung

Des weiteren besteht die Gefahr, dass Dateien nicht nur abgehört und verändert, sondern sogar komplett gelöscht werden. Motiv des Angreifers ist hier meist blinde Zer­störungswut.

3. Script-Sprachen

Bei Script-Sprachen handelt es sich um Programmiersprachen, die in vernetzten Sys­temen zur dynamischen Gestaltung von Internetseiten zum Einsatz kommen. Dyna­misch bezeichnet hierbei die Fähigkeit von Internetseiten, sich aufgrund von Benutzer­aktionen zu verändern.^[2] Der Bedarf nach solchen dynamischen Inhalten entstand auf­grund der nur unzureichend interaktiven Benutzungsmöglichkeit der Sprache HTML.^[3] Die gängigsten Script-Sprachen sind JavaScript von der Firma Netscape, Java von der Firma Sun und die Programmiersprache ActiveX der Firma Microsoft. Allen drei Spra­chen ist gemeinsam, dass über bestimmte Browsereinstellungen ihre Ausführung ver­hindert werden kann, wodurch die Risiken größtenteils vermieden werden. Dies hat dann aber den Nachteil, dass viele Internetseiten nur noch eingeschränkt oder gar nicht mehr nutzbar sind. Dem Anwender bleibt dann oftmals nichts anderes übrig, als das Ausführen der entsprechenden Script-Sprache zu gestatten, wenn er auf die Informa­tionen einer solchen Internetseite angewiesen ist.^[4] Außerdem werden Script-Sprachen unter Umständen selbst dann ausgeführt, wenn sie über die Browser-Sicherheits­ein­stel­lungen deaktiviert sind.^[5]

3.1 JavaScript

Durch JavaScript wird die Erzeugung von aktiven Inhalten in HTML-Seiten erleichtert. Außerdem lassen sich verschiedene Funktionen des Browsers wie z.B. das Öffnen und Schließen von Fenstern ausführen. Grundsätzlich ist dabei ein Zugriff auf Dateien des Internetnutzers nicht möglich, jedoch sind Sicherheitsprobleme aufgrund von Program­mierfehlern in zwei Bereichen bekannt geworden, durch die es erstens zur Aus­for­schung des Computer und zweitens zu einer Überlastung des Systems kommen kann.^[6] So ist es über JavaScript beispielsweise möglich, einen „Denial of Service Attack“ durchzuführen, da beliebig viele Fenster mit Meldungen geöffnet werden können. Außer­dem besteht die Möglichkeit, ein Eingabefenster über JavaScript zu simulieren und dadurch Benutzernamen und Passwörter abzufangen. Die Statuszeile des Eingabe­fensters kann dabei ebenfalls verändert werden, so dass nicht die richtige URL eines Links angezeigt wird, sondern eine vom Angreifer gewählte.^[7] Das Abschalten der JavaScript-Funktionalität empfiehlt sich folglich, worauf das Bundesamt für Sicherheit in der Informationstechnik in einer Pressemitteilung vom 21.09.1999 hinweist.^[8]

3.2 Java

Die in der Programmiersprache Java erstellten Programme sind vom eingesetzten Be­triebs­system unabhängig. Man unterscheidet selbständig funktionierende Java Appli­cations von so genannten Java Applets, die in HTML-Seiten integriert werden können, von wo aus sie dann vom Internetnutzer zur Ausführung angefordert werden können. Der Ent­wickler muss dabei die Umgebung (Hardware, Betriebssystem) des Internet­nutzers nicht kennen.^[9] Dies wird durch die Verbreitung von Java Applets als plattformunabhängigen Bytecode und eine darauf folgende Umwandlung in einen platt­formabhängigen Binärcode erreicht. Diese Umwandlung erfolgt erst auf dem Computer des Anwenders durch eine so genannte virtuelle Java-Maschine.^[10]

Die Firma Sun bietet die Möglichkeit, die Java Applets durch ein Zertifizierungs­verfahren zu signieren. Dadurch kann der Anwender die Herkunft des Programms nach­vollziehen, aber die Zertifizierung sagt nichts über die Funktionalität des Programms aus. Allerdings sind Java Applets grundsätzlich sicher, da sie weder Lese- noch Schreibrechte besitzen noch andere Programme des Computers starten können. Dies wird durch die bereits erwähnte Java-Maschine erreicht, die dafür sorgt, dass ein Java Applet nur in einer eingeschränkten Umgebung mit eingeschränkten Rechten ablaufen kann (so genanntes „Sandbox-Verfahren“). Dort kann normalerweise kein Schaden an­gerichtet werden.^[11] Durch Programmfehler, die vor allem in der Implementierung der virtuellen Java Maschine in einen Internet Browser vorkommen, kann es aber trotzdem zu Angriffen kommen, wodurch der Computer des Internet­nutzers beispielsweise über­lastet und zum Absturz gebracht wird. Als Schutz vor An­griffen mittels Java bietet sich auch hier vor allem das Abschalten der Java-Funktio­nalität im Internetbrowser an.^[12]

3.3 ActiveX

ActiveX ist ein Teil von Betriebssystemen der Firma Microsoft, wie z.B. Windows 95 oder Windows NT. Bei einem ActiveX-Control handelt es sich um ein Windows-Pro­gramm, das entweder schon auf dem Computer vorhanden ist oder beim Aufruf einer Internetseite geladen wird. Der Browser übernimmt dann die Funktion des so genannten ActiveX-Containers, den das ActiveX-Control für den Start benötigt. ActiveX-Controls sind eng mit dem Betriebssystem verflechtet, wodurch sie Zugriff auf alle Systemres­sourcen sowie auf Daten und Programme haben.^[13] Das Ausführen von ActiveX-Controls ist demnach vergleichbar mit dem Herunterladen eines Windowsprogramms aus dem Internet und dem darauf folgenden Start des Programms ohne vorherige Unter­suchung auf den Zweck und die Auswirkungen des Programms.^[14]

Der Chaos Computer Club demonstrierte die dadurch resultierenden Gefahren am 28.01.1997. Indem sich ein Internetnutzer eine scheinbar harmlose Internetseite ansieht, wird über ActiveX ein Geldtransaktionssatz seiner Homebanking-Software hinzugefügt. Beim nächsten virtuellen Bankbesuch werden die Daten dann übermittelt und der Inter­net­nutzer tätigt unwissentlich eine Überweisung.^[15]

Den ActiveX-Controls muss folglich ein gewisses Maß an Vertrauen entgegengebracht werden, weshalb die Firma Microsoft über ein Zertifizierungsverfahren drei Ziele be­züglich den Programmierern von ActiveX-Controls formuliert hat:

1. Die Identität des Programmierers muss offen gelegt werden.
2. Der Programmierer muss vertrauenswürdig sein.
3. Das ActiveX-Control darf nach der Zertifizierung nicht mehr verändert werden.

Während die Punkte 1 und 3 über das Zertifizierungsverfahren erreichbar sind, kann der zweite Punkte nicht erfüllt werden, da die Zertifizierung nichts über den Inhalt des ActiveX-Controls aussagt. Außerdem weiß der Internetanwender in der Regel nicht, welcher Zertifizierungsstelle er vertrauen kann.^[16] Folglich bietet das Zertifizierungs­verfahren keinen ausreichenden Schutz und ActiveX sollte generell deaktiviert sein.

4. Aktive Inhalte

Im folgenden werden verschiedene Techniken der Internetbrowser aufgezeigt, welche die Gestaltung von Internetseiten aufbessern. Allgemein lässt sich behaupten, dass mit einer Zunahme der Programmvielfalt und Komplexität von Internetseiten auch das Sicher­heits­risiko des Internetnutzers zunimmt.

[...]

^[1] Vgl. http://www.nua.com/surveys/how_many_online/world.html (Ausdruck vom 26.01.2002 liegt dem Verfasser vor.)

^[2] Vgl. FUHRBERG, Kai: Internet-Sicherheit, Browser, Firewalls und Verschlüsselung, 2. Auflage, Carl Hanser Verlag, München/Wien, 2000, S. 392.

^[3] Vgl. MEYER ZU NATRUP, Ursula/ HEIBEY, Hanns-Wilhelm: Datenschutz und informationstechnische Sicherheit im Internet, in LOG IN, 1999, Heft 5, S.15.

^[4] Vgl. Neurotec Hochtechnologie GmbH: Objectcode and optimizing compiler analyzing tool – Studie, Teil 1, Analyse der Risiken ausführbarer Web-Contents, 1997/1998, S.12.

^[5] Vgl. GORDON, Christine: Scripting Vulnerability Detected in MS IE and Outlook Express; in http://www.internetnews.com/dev-news/article/0,,10_748821,00.html (Ausdruck vom 24.01.2002 liegt dem Verfasser vor.)

^[6] Vgl. Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Orientierungshilfe zu Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet, Fassung vom November 2000, S.13f.

^[7] Vgl. http://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=1&tdid=36&page=0 (Ausdruck vom 24.01.2002 liegt dem Verfasser vor.)

^[8] Vgl. http://www.bsi.de/presse/archiv/java99.htm (Ausdruck vom 27.01.2002 liegt dem Verfasser vor.)

^[9] Vgl. http://www.rewi.hu-berlin.de/Datenschutz/DSB/SH/material/themen/safesurf/safer/browser/

actcntnt/java.htm (Ausdruck vom 26.01.2002 liegt dem Verfasser vor.)

^[10] Vgl. GIESEKE, Wolfram: Anti-Hacker Report, DATA BECKER GmbH & Co. KG, Düsseldorf, 2001, S. 162f.

^[11] Vgl. FUHRBERG, Kai: Internet-Sicherheit, Browser, Firewalls und Verschlüsselung, 2. Auflage, Carl Hanser Verlag, München/Wien, 2000, S. 399.

^[12] Vgl. Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Orientierungshilfe zu Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet, Fassung vom November 2000, S.13.

^[13] Vgl. http://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=1&tdid=36&page=0 (Ausdruck vom 24.01.2002 liegt dem Verfasser vor.)

^[14] Vgl. GIESEKE, Wolfram: Anti-Hacker Report, DATA BECKER GmbH & Co. KG, Düsseldorf, 2001, S. 159.

^[15] Vgl. http://www.iks-jena.de/mitarb/lutz/security/activex.pe.ccc.html (Ausdruck vom 26.01.2002 liegt dem Verfasser vor.)

^[16] Vgl. http://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=1&tdid=36&page=0 (Ausdruck vom 24.01.2002 liegt dem Verfasser vor.)