disse sied op platt this page in english diese Seite auf deutsch

Risiken und Sicherheit im Internet


Inselbetrieb

Empfehlung vom Bundesamt für Sicherheit in der Informationstechnik (BSI):

"Rechner, auf denen für die Organisation, Firma oder Behörde kritische Anwendungen laufen, müssen ohne E-Mail und Internet-Zugang betrieben werden."
[BSI virM5] (∅)

Aktive Inhalte

Die Bundesministerien für Wirtschaft/Technologie und Inneres hatten empfohlen, generell Javascript abzuschalten, und bei E-Mails auf HTML zu verzichten.
"Aktive Inhalte sind grundsätzlich immer problematisch. ... Im Grunde müsste man auf einen ... textbasierten Mailer zurückgehen, der keine automatischen Previews und keine Attachments kennt." [cirosec]

Das BSI empfiehlt,

Aktive Inhalte prinzipiell auszuschalten.
[ BSIFB AI ]

Durch aktive Inhalte wie Active-X und JavaScript "entsteht für den Anwender ein hohes Risikopotential"
[BSI AI]

"Eigene aktive Inhalte im Intranet sollten mit Java und nicht mit ActiveX oder JavaScript realisiert werden."

"Es sind verschiedene sicherheitsrelevante Schwachstellen bekannt, durch die bei Ausführung von JScript/JavaScript-Code Schäden auf dem Anwenderrechner entstehen können."
[BSI JS]

"Wegen der großen nur schwer zu kalkulierenden Sicherheitsrisiken sollte ActiveX grundsätzlich nicht zum Einsatz kommen. Auch JavaScript sollte wegen der großen Fehleranfälligkeit normalerweise nicht eingesetzt werden." [Task Force "Sicheres Internet"]

"Um einen zuverlässigen Schutz vor der Gefährdung durch bösartige aktive Inhalte zu erzielen [...] sollten aktive Inhalte grundsätzlich erst einmal ausgefiltert werden, so dass sie die Arbeits­platzrechner gar nicht erst erreichen. Nur in Einzelfällen kann dann die Filterung für bestimmte URLs deaktiviert werden."
BSI M5.45]

Laut Empfehlung des BSI "sollten ActiveX, JavaScript und Java deaktiviert werden, und die Menge der installierten Plug-Ins sollte auf das unbedingt notwendige beschränkt werden. Falls die Benutzung von ActiveX, Java und JavaScript unbedingt notwendig ist, sollten diese nur auf Rechnern zugelassen sein, die gegenüber anderen internen Rechnern so abgeschottet sind, dass die Verfügbarkeit, Vertraulichkeit und Integrität sicherheitsrelevanter Daten nicht beeinträchtigt werden können."
[BSI M5.45]

Auf der Informationsplattform des Bundesministeriums für Wirtschaft und Technologie wird erklärt:

"Wer statt dem Internet Explorer lieber Netscape, Mozilla oder Opera verwendet, hat ein paar Sorgen weniger: Diese Varianten unterstützen weder ActiveX noch VBS - ein klarer Vorteil in punkto Sicherheit. ...
und JavaScript lässt sich "komplett abschalten und bei Bedarf wieder aktivieren."
[EC net]

Empfehlung für Anbieter:

"viele WWW-Server (sind) heute ohne JavaScript nur noch eingeschränkt darstellbar; sicherheitsbewusste Internet-Nutzer werden so konsequent von deren Angeboten ausgesperrt. Dabei ist JavaScript auf der großen Mehrzahl der WWW-Server nicht notwendig. Meist wird es ausschließlich für optische Spielereien genutzt. Diese WWW-Server könnten mit dem gleichen Funktionsumfang und Informationsangebot ohne JavaScript auskommen. Das BSI empfiehlt deswegen den Betreibern von WWW-Servern dringend, vollständig auf JavaScript zu verzichten (siehe: Uni Dortmund )
Ein einfaches Beispiel: Umlaute in diesem Text werden durch Ligaturen ersetzt:

"Das BSI rät Anbietern von Webseiten vom Einsatz Aktiver Inhalte ab.
[...]
Durch den Einsatz Aktiver Inhalte werden sicherheitsbewusste Anwender, die die Browser-Einstellungen nicht ändern, gar nicht mehr oder nur in eingeschränktem Umfang erreicht."
[...]
"Web-Angebote, die stark auf JavaScript aufbauen, funktionieren mit einigen Browsern gar nicht mehr, verweigern den Zugang oder stellen das Layout nicht korrekt dar.
[BSI AL]

"Solche Effekte sind natürlich für den Nutzer sehr ärgerlich und hinterlassen ein negatives Bild des Anbieters.
[...]
Etwas überspitzt lässt sich zusammen fassen, dass die Verwendung von Aktiven Inhalten und insbesondere von JavaScript die beste Möglichkeit ist, dafür zu sorgen, dass ein Web-Angebot in Zukunft nicht mehr funktionieren wird."
aus: BSI: E-Government-Handbuch (∅)

"Das Internet ist das am besten geeignete Medium zur weltweiten Verbreitung von Informationen sowohl nützlicher als auch überflüssiger und schädlicher Art. Damit sind auch die Inhalte-Anbieter in der Pflicht, Maßnahmen zu ergreifen, um die Beeinträchtigung ihrer Kunden durch Computer-Viren zu minimieren."
[...]
Auch sollte auf den Einsatz von Cookies verzichtet werden."
[BSI masnvir]

Empfehlung für Nutzer:

"in den verbreiteten WWW-Browsern Microsoft Internet Explorer und Netscape Communicator" (wurden) "zahlreiche neue Sicherheitslücken entdeckt, die durch aktive Inhalte (ActiveX, JavaScript, Java u.a.) in WWW-Seiten ausgenutzt werden können. ... So können Angreifer beispielsweise Nutzererkennung mit Passwörtern oder lokal gespeicherte Daten von privaten und kommerziellen Internetnutzern ausspionieren. ... Da sich der Internet Nutzer einem kaum einschätzbaren Schadenspotential aussetzt, rät das BSI dringend, bei der Nutzung des Internet auf aktive Inhalte zu verzichten." ...
 
Pressesprecher M.Dickopf
Bundesamt fuer Sicherheit in der Informationstechnik 1999
( siehe: Uni Dortmund )

"Auch heute noch kann man sehr gut auf das Internet zugreifen, ohne wirklich aktive Inhalte zu benötigen."
[BSI M5.69]

Besonders gefährliche Systeme

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) Proud to be 100% MicroSoft free warnt vor *.XLS und *.DOC-Dateien beim Versenden per E-Mail und empfiehlt, solche Dokumente im RTF-Format zu versenden.
[BSI masnvir]

"Auch Textdokumente vom Typ *.doc oder Tabellen vom Typ *.xls können virenverseucht sein."
[BfB viren]

Das BSI empfiehlt nachdrücklich

"Keine Applikationsverknüpfung für Anwendungen mit potentiell aktivem Code (MS-Office) im Browser nutzen oder Anwendungen über Internet aktivieren."
[BSI masnvir]

"Microsoft Windows- und Office-Produkte (stellen) aufgrund der ... bestehenden Angriffsmöglichkeiten das größte Gefährdungspotential dar..."
[BSI masnvir]

Die Bundesministerien für Wirtschaft/Arbeit und Inneres hatten empfohlen:

"Öffnen Sie keine fremden oder unverlangt zugesandten Dokumente von MS Word, Excel, Access, PowerPoint."

Im Zusammenhang mit "Schwachstellen im Betriebssystem oder in Programmen" hatte das BSI festgestellt:

"Vorrangig betroffen sind die Benutzer des Microsoft Internet Explorers." (∅)
"Um auf Nummer sicher zu gehen: Wechseln Sie den Browser. ... Die Benutzer der Browser Opera, Firefox und Mozilla für Windows und Apples Safari müssen eine Entführung nicht fürchten."
Bei Untersuchungen der WWW-Browser
"sind in der Vergangenheit des öfteren Schwachstellen insbesondere im Microsoft Internet Explorer bekannt geworden."
[BSI M5.45]

Diese Fehler entsprangen alle aus dem Versuch von Microsoft, WWW und lokale Windows-Komponenten miteinander zu verbinden. Dabei wurde bestimmten WWW-Seiten soviel Vertrauen wie lokalen Daten eingeräumt. Hierdurch konnten durch entsprechende Schadprogramme alleine durch das Aufrufen unseriöser WWW-Seiten auf den lokalen Rechnern der WWW-Benutzer gefährliche Programme ausgeführt werden, ohne daß die Benutzer dies bemerkten.

Cookies

Gemäß Empfehlung des Bundesamtes fuer Sicherheit in der Informationstechnik sollte auch die Annahme von Cookies im Browser eingeschränkt werden.

"Alles was ein Web-Server braucht, um Sie als Benutzer beim nächsten Besuch wiederzuerkennen sind Cookies. Eigentlich sind das ja Kekse. Und die krümeln bekanntlich."
[BfB browser]

Die Verwendung von Cookies kann jedoch im datenschutzrechtlichen Sinne mißbräuchlich genutzt werden. [...] Diese Informationen werden von bestimmten Interessengruppen genutzt, um ihr Angebot besser verkaufen zu können. [BSI CO]



Hab' das, was dumm war, dumm genannt,
Und nicht bedacht, dass man sich Feinde macht ...
(aus "Ich würd' es wieder tun", Fred Jay, Udo Jürgens)

www.ahok.de/dt/risiken.html
[valid HTML4.01 and CSS]