Leseprobe
Inhaltsverzeichnis
Abkürzungsverzeichnis
1. Einführung
2. Definition von Computersicherheit
3. Script-Sprachen
3.1 JavaScript
3.2 Java
3.3 ActiveX
4. Aktive Inhalte
4.1 Plug-Ins
4.2 Shockwave
5. Nicht beeinflussbare Datenübertragung
5.1 Cookies
5.2 Spyware
6. Browser
6.1 Microsoft Internet Explorer
6.1.1 Sicherheitszonen und Sicherheitseinstellungen
6.1.2 Weitere Sicherheitseinstellungen
6.1.3 Sicherheitslücken
6.2 Netscape Navigator
6.2.1 Sicherheitseinstellungen
6.2.2 Sicherheitslücken
7. Lösungsansätze
8. Schlussbemerkung
Literaturverzeichnis
Ehrenwörtliche Erklärung
1. Einführung
Die Anzahl der weltweiten Internetnutzer stieg von ca. 368,54 Mio. im August 2000 auf ca. 513,41 Mio. im August 2001.[1] Es ist davon auszugehen, dass durch die Zunahme der Nutzeranzahl im Internet auch die Risiken zunehmen, die von möglichen Angreifern ausgehen. Risiken können durch das Ausnutzen von Fehlern in Internet Browsern, in Script-Sprachen und in aktiven Inhalten auftreten und mehr oder weniger große Schäden hervorrufen. Zusätzliche besteht noch die Gefahr, dass ein an das Internet angeschlossener Computer durch spezielle Programme ausspioniert wird.
Die vorliegende Studienarbeit beschäftigt sich mit Risiken, denen Daten auf einem Computer eines Internetnutzers ausgesetzt sind. Der Verfasser wird zunächst auf den Begriff „Sicherheit“ eingehen und daraufhin einige Probleme beschreiben. Besonderen Wert wird dabei auf die Sicherheitseinstellungen und Sicherheitsprobleme von Internetbrowsern gelegt. Als Lösungsansatz wird die Funktionsweise eines Proxy-Servers vorgestellt, auf Antivirenprogramme und Firewalls wird nicht eingegangen.
2. Definition von Computersicherheit
Sicherheit im Internet lässt sich anhand folgender Kriterien klassifizieren:
- Verhinderung von „Denial of Service Angriffen“
Bei einem „Denial of Service Angriff“ handelt es sich um einen Angriff, der einen an das Internet angeschlossenen Computer zum Absturz bringen kann. Dadurch kann der Computer eine Zeitlang nicht mehr genutzt werden, was auch der Übersetzung „Angriff zur Ablehnung des Dienstes“ entspricht. Damit ein Computer ungestört genutzt werden kann, müssen solche Angriffe abgewehrt werden können.
- Vertraulichkeit
Die Vertraulichkeit von Daten beschreibt die Sicherheit vor Angriffen, die als Ziel das Abhören und Analysieren dieser Daten haben. Ein Computer muss also dahingehend abgesichert sein, so dass keine Daten von Externen gelesen werden können. Motive für das Abhören von Daten können beispielsweise Marketinginteressen von Unternehmen sein. Durch das Abhören und spätere Analysieren des Surfverhaltens und anderer Daten sollen bestimmte Benutzergruppe gefunden werden, denen daraufhin bestimmte Angebote unterbreitet werden.
- Integrität
Computerdaten sind neben der Gefahr des Abhörens außerdem der Gefahr der Veränderung ausgesetzt. Das Ziel solcher Angriffe kann einfacher Zerstörungswille oder auch das bewusste Ändern von wichtigen Daten zur Erlangung eines Vorteils sein. Es muss deshalb gewährleistet werden, dass die Dateien auf einem Datenträger nicht von einem Angreifer geändert werden können.
- Gefahr der Löschung
Des weiteren besteht die Gefahr, dass Dateien nicht nur abgehört und verändert, sondern sogar komplett gelöscht werden. Motiv des Angreifers ist hier meist blinde Zerstörungswut.
3. Script-Sprachen
Bei Script-Sprachen handelt es sich um Programmiersprachen, die in vernetzten Systemen zur dynamischen Gestaltung von Internetseiten zum Einsatz kommen. Dynamisch bezeichnet hierbei die Fähigkeit von Internetseiten, sich aufgrund von Benutzeraktionen zu verändern.[2] Der Bedarf nach solchen dynamischen Inhalten entstand aufgrund der nur unzureichend interaktiven Benutzungsmöglichkeit der Sprache HTML.[3] Die gängigsten Script-Sprachen sind JavaScript von der Firma Netscape, Java von der Firma Sun und die Programmiersprache ActiveX der Firma Microsoft. Allen drei Sprachen ist gemeinsam, dass über bestimmte Browsereinstellungen ihre Ausführung verhindert werden kann, wodurch die Risiken größtenteils vermieden werden. Dies hat dann aber den Nachteil, dass viele Internetseiten nur noch eingeschränkt oder gar nicht mehr nutzbar sind. Dem Anwender bleibt dann oftmals nichts anderes übrig, als das Ausführen der entsprechenden Script-Sprache zu gestatten, wenn er auf die Informationen einer solchen Internetseite angewiesen ist.[4] Außerdem werden Script-Sprachen unter Umständen selbst dann ausgeführt, wenn sie über die Browser-Sicherheitseinstellungen deaktiviert sind.[5]
3.1 JavaScript
Durch JavaScript wird die Erzeugung von aktiven Inhalten in HTML-Seiten erleichtert. Außerdem lassen sich verschiedene Funktionen des Browsers wie z.B. das Öffnen und Schließen von Fenstern ausführen. Grundsätzlich ist dabei ein Zugriff auf Dateien des Internetnutzers nicht möglich, jedoch sind Sicherheitsprobleme aufgrund von Programmierfehlern in zwei Bereichen bekannt geworden, durch die es erstens zur Ausforschung des Computer und zweitens zu einer Überlastung des Systems kommen kann.[6] So ist es über JavaScript beispielsweise möglich, einen „Denial of Service Attack“ durchzuführen, da beliebig viele Fenster mit Meldungen geöffnet werden können. Außerdem besteht die Möglichkeit, ein Eingabefenster über JavaScript zu simulieren und dadurch Benutzernamen und Passwörter abzufangen. Die Statuszeile des Eingabefensters kann dabei ebenfalls verändert werden, so dass nicht die richtige URL eines Links angezeigt wird, sondern eine vom Angreifer gewählte.[7] Das Abschalten der JavaScript-Funktionalität empfiehlt sich folglich, worauf das Bundesamt für Sicherheit in der Informationstechnik in einer Pressemitteilung vom 21.09.1999 hinweist.[8]
3.2 Java
Die in der Programmiersprache Java erstellten Programme sind vom eingesetzten Betriebssystem unabhängig. Man unterscheidet selbständig funktionierende Java Applications von so genannten Java Applets, die in HTML-Seiten integriert werden können, von wo aus sie dann vom Internetnutzer zur Ausführung angefordert werden können. Der Entwickler muss dabei die Umgebung (Hardware, Betriebssystem) des Internetnutzers nicht kennen.[9] Dies wird durch die Verbreitung von Java Applets als plattformunabhängigen Bytecode und eine darauf folgende Umwandlung in einen plattformabhängigen Binärcode erreicht. Diese Umwandlung erfolgt erst auf dem Computer des Anwenders durch eine so genannte virtuelle Java-Maschine.[10]
Die Firma Sun bietet die Möglichkeit, die Java Applets durch ein Zertifizierungsverfahren zu signieren. Dadurch kann der Anwender die Herkunft des Programms nachvollziehen, aber die Zertifizierung sagt nichts über die Funktionalität des Programms aus. Allerdings sind Java Applets grundsätzlich sicher, da sie weder Lese- noch Schreibrechte besitzen noch andere Programme des Computers starten können. Dies wird durch die bereits erwähnte Java-Maschine erreicht, die dafür sorgt, dass ein Java Applet nur in einer eingeschränkten Umgebung mit eingeschränkten Rechten ablaufen kann (so genanntes „Sandbox-Verfahren“). Dort kann normalerweise kein Schaden angerichtet werden.[11] Durch Programmfehler, die vor allem in der Implementierung der virtuellen Java Maschine in einen Internet Browser vorkommen, kann es aber trotzdem zu Angriffen kommen, wodurch der Computer des Internetnutzers beispielsweise überlastet und zum Absturz gebracht wird. Als Schutz vor Angriffen mittels Java bietet sich auch hier vor allem das Abschalten der Java-Funktionalität im Internetbrowser an.[12]
3.3 ActiveX
ActiveX ist ein Teil von Betriebssystemen der Firma Microsoft, wie z.B. Windows 95 oder Windows NT. Bei einem ActiveX-Control handelt es sich um ein Windows-Programm, das entweder schon auf dem Computer vorhanden ist oder beim Aufruf einer Internetseite geladen wird. Der Browser übernimmt dann die Funktion des so genannten ActiveX-Containers, den das ActiveX-Control für den Start benötigt. ActiveX-Controls sind eng mit dem Betriebssystem verflechtet, wodurch sie Zugriff auf alle Systemressourcen sowie auf Daten und Programme haben.[13] Das Ausführen von ActiveX-Controls ist demnach vergleichbar mit dem Herunterladen eines Windowsprogramms aus dem Internet und dem darauf folgenden Start des Programms ohne vorherige Untersuchung auf den Zweck und die Auswirkungen des Programms.[14]
Der Chaos Computer Club demonstrierte die dadurch resultierenden Gefahren am 28.01.1997. Indem sich ein Internetnutzer eine scheinbar harmlose Internetseite ansieht, wird über ActiveX ein Geldtransaktionssatz seiner Homebanking-Software hinzugefügt. Beim nächsten virtuellen Bankbesuch werden die Daten dann übermittelt und der Internetnutzer tätigt unwissentlich eine Überweisung.[15]
Den ActiveX-Controls muss folglich ein gewisses Maß an Vertrauen entgegengebracht werden, weshalb die Firma Microsoft über ein Zertifizierungsverfahren drei Ziele bezüglich den Programmierern von ActiveX-Controls formuliert hat:
1. Die Identität des Programmierers muss offen gelegt werden.
2. Der Programmierer muss vertrauenswürdig sein.
3. Das ActiveX-Control darf nach der Zertifizierung nicht mehr verändert werden.
Während die Punkte 1 und 3 über das Zertifizierungsverfahren erreichbar sind, kann der zweite Punkte nicht erfüllt werden, da die Zertifizierung nichts über den Inhalt des ActiveX-Controls aussagt. Außerdem weiß der Internetanwender in der Regel nicht, welcher Zertifizierungsstelle er vertrauen kann.[16] Folglich bietet das Zertifizierungsverfahren keinen ausreichenden Schutz und ActiveX sollte generell deaktiviert sein.
4. Aktive Inhalte
Im folgenden werden verschiedene Techniken der Internetbrowser aufgezeigt, welche die Gestaltung von Internetseiten aufbessern. Allgemein lässt sich behaupten, dass mit einer Zunahme der Programmvielfalt und Komplexität von Internetseiten auch das Sicherheitsrisiko des Internetnutzers zunimmt.
[...]
[1] Vgl. http://www.nua.com/surveys/how_many_online/world.html (Ausdruck vom 26.01.2002 liegt dem Verfasser vor.)
[2] Vgl. FUHRBERG, Kai: Internet-Sicherheit, Browser, Firewalls und Verschlüsselung, 2. Auflage, Carl Hanser Verlag, München/Wien, 2000, S. 392.
[3] Vgl. MEYER ZU NATRUP, Ursula/ HEIBEY, Hanns-Wilhelm: Datenschutz und informationstechnische Sicherheit im Internet, in LOG IN, 1999, Heft 5, S.15.
[4] Vgl. Neurotec Hochtechnologie GmbH: Objectcode and optimizing compiler analyzing tool – Studie, Teil 1, Analyse der Risiken ausführbarer Web-Contents, 1997/1998, S.12.
[5] Vgl. GORDON, Christine: Scripting Vulnerability Detected in MS IE and Outlook Express; in http://www.internetnews.com/dev-news/article/0,,10_748821,00.html (Ausdruck vom 24.01.2002 liegt dem Verfasser vor.)
[6] Vgl. Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Orientierungshilfe zu Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet, Fassung vom November 2000, S.13f.
[7] Vgl. http://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=1&tdid=36&page=0 (Ausdruck vom 24.01.2002 liegt dem Verfasser vor.)
[8] Vgl. http://www.bsi.de/presse/archiv/java99.htm (Ausdruck vom 27.01.2002 liegt dem Verfasser vor.)
[9] Vgl. http://www.rewi.hu-berlin.de/Datenschutz/DSB/SH/material/themen/safesurf/safer/browser/
actcntnt/java.htm (Ausdruck vom 26.01.2002 liegt dem Verfasser vor.)
[10] Vgl. GIESEKE, Wolfram: Anti-Hacker Report, DATA BECKER GmbH & Co. KG, Düsseldorf, 2001, S. 162f.
[11] Vgl. FUHRBERG, Kai: Internet-Sicherheit, Browser, Firewalls und Verschlüsselung, 2. Auflage, Carl Hanser Verlag, München/Wien, 2000, S. 399.
[12] Vgl. Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Orientierungshilfe zu Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet, Fassung vom November 2000, S.13.
[13] Vgl. http://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=1&tdid=36&page=0 (Ausdruck vom 24.01.2002 liegt dem Verfasser vor.)
[14] Vgl. GIESEKE, Wolfram: Anti-Hacker Report, DATA BECKER GmbH & Co. KG, Düsseldorf, 2001, S. 159.
[15] Vgl. http://www.iks-jena.de/mitarb/lutz/security/activex.pe.ccc.html (Ausdruck vom 26.01.2002 liegt dem Verfasser vor.)
[16] Vgl. http://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=1&tdid=36&page=0 (Ausdruck vom 24.01.2002 liegt dem Verfasser vor.)
- Arbeit zitieren
- Florian Baur (Autor:in), 2002, Sicherheitsaspekte des Privatanwenders bei der Nutzung des Internets, München, GRIN Verlag, https://www.grin.com/document/3713
Kostenlos Autor werden
Kommentare