ULD-SH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
www.datenschutzzentrum.de/

Dies ist unser Webangebot mit Stand 27.10.2014. Neuere Artikel finden Sie auf der ├╝berarbeiteten Webseite unter www.datenschutzzentrum.de.



19. Dezember 2003
Internet Explorer: Active Scripting deaktivieren [Update]

Eine neue Sicherheitslücke des Internet Explorer 6, gegen die es derzeit noch keinen Patch gibt, wurde vor einigen Tagen entdeckt. Dies ist ein Anlass, sich über die Sicherheitseinstellungen des Internet Explorer 6 grundsätzliche Gedanken zu machen.

Ein reiner html-Quelltext birgt üblicherweise kaum Gefahren für die Sicherheit eines Browsers, da er keinen ausführbaren Code enthält. Sogenannte "aktive Inhalte" hingegen sind Programme, die über das Internet geladen werden und auf dem Zielrechner ausgeführt werden. Welche Programmbefehle dies im einzelnen sind, ist hängt von der Programmierung der besuchten Webseite ab und ist für den Nutzer vor dem Herunterladen nicht erkennbar. Daher begrenzen die Browser in ihrer Implementierung die Wirkungsweise des heruntergeladenen Codes, etwa durch Abschottung zum Betriebssystem. Dies ist aber in Abhängigkeit von der fraglichen Programmiersprache nicht immer sinnvoll, denn manchmal sind solche Zugriffe auch gewollt. Eine Entscheidung im Einzelfall ist aber nicht möglich: So ist es unklar, ob der Zugriff des Browsers auf eine Datei der Festplatte gewünscht ist (etwa beim Versand von Attachments) oder ob dies einen Angriff darstellt. Daher erlauben Browser auch, das Herunterladen oder die Ausführung aktiver Inhalte zu blockieren. Häufig werden aktive Inhalte eingesetzt, um die Navigation auf der Webseite zu unterstützen, dynamische Inhalte zu generieren oder Multimedia-Anwendungen zu unterstützen. Schaltet man die Funktion ab, können nicht alle programmierten Funktionen der Webseite genutzt werden. Sorgfältig programmierte Webseiten weisen den Nutzer auf diesen Umstand hin.

Aufgrund von Sicherheitslücken in der Implementierung funktioniert die Einschränkung der Rechte durch den Browser nicht immer fehlerfrei. Sogenannte Exploits können dies ausnutzen und beispielsweise an dem einschränkenden Rechtemanagement des Browsers vorbei eigenen Programmcode auf dem Rechner des Benutzers abspeichern und außerhalb des Browsers zur Ausführung bringen. Enthält dieser Programmcode schädliche Software wie Viren oder Trojanische Pferde, ist der Rechner unbemerkt kompromittiert. Sicherheitslücken in der Implementierung der Browser können häufig durch Patches geschlossen werden. Sind aber noch keine Patches verfügbar, so hilft es nur, die fehlerhafte Funktion ganz abzuschalten.

Bei der unlängst gemeldeten Sicherheitslücke im Internet-Explorer handelt es sich um eine fehlerhafte Abschottung von Webseiten untereinander, die interne Sicherheitsmechanismen des Browsers aushebeln kann. Zum Ausnutzen dieser Sicherheitslücke ist "Active Scripting" erforderlich. Hinter dem Begriff "Active Scripting" des Internet Explorer verbirgt sich zum einen JScript (die Javascript-Implementierung von Microsoft), zum anderen Visual Basic Script. Diese Scriptsprache enthält Befehle zum Zugriff auf Dateien und Adressbücher des Outlook-Mailclients und wurde bei der Programmierung des Virus "I love you" ausgenutzt.

Angesichts der Gefahren, die sowohl potentiell gefährliche Befehle des "Active Scripting" selbst als auch die durch sie ausnutzbaren Sicherheitslücken darstellen, sollte "Active Scripting" im Internet Explorer trotz möglicher Funktionseinschränkungen beim Betrachten von Webseiten deaktiviert werden. Die Konfiguration "Eingabeaufforderung", die bei jedem Auftreten von JScript oder VB-Script beim Nutzer nachfragt, ist nicht praktikabel: Zum einen taucht bei Webseiten, die diese Skripte benutzen, eine Vielzahl von Warnhinweisen auf, die der Benutzer wegclicken muss, zum anderen enthalten die aufklappenden Fenster keinerlei Hinweise, ob der fragliche Scriptbefehl schädlich ist oder nicht. Eine fundierte Entscheidung über die Ausführung ist daher nicht möglich.

Tests haben gezeigt, dass die meisten Webseiten auch ohne Active Scripting besucht werden können. Sollten zur Navigation auf der Webseite Skriptsprachen notwendig sein, so müssen sie im Einzelfall vor dem Betrachten aktiviert und danach deaktiviert werden. Links zu Anleitungen für die Browserkonfiguration sind unten aufgeführt.

Auch die Firma Microsoft empfiehlt derzeit, Webseiten zunächst mit rigiden Sicherheitseinstellungen zu betrachten: Dazu sollten die Sicherheitseinstellungen der Internet-Zone auf "hoch" eingestellt und dadurch sämtliche ActiveX- und Skript-Komponenten abschaltet werden. Vertrauenswürdige Webseiten können dann in die Zone "Trusted Websites" aufgenommen werden, in der Sicherheitseinstellungen nicht ganz so restriktiv konfiguriert werden. Das Zonenmodell des Internet-Explorers und seine Konfiguration, aber auch seine Schwachstellen werden auf den Webseiten
Selbstdatenschutz: Microsoft Internet Explorer ausführlich beschrieben.

Denkbar ist auch der Umstieg auf andere Browsersoftware, bei der Sicherheitslücken in der Implementierung der Skriptfunktionen wesentlich seltener auftreten. Werden Skriptsprachen und andere aktive Inhalte mit Hilfe eines Webproxys an zentraler Stelle herausgefiltert und erreichen den Browser gar nicht mehr, erübrigt sich die Deaktivierung im Browser.

Quellen und Links:
Internet Explorer wieder verwundbar. Heise Newsticker, 25.11.2003 Externer Link
Microsoft Knowledge Base Artikel Nr. 833786: "Schritte, die helfen kömnen, gefälschte ("Spoof"-) Websites zu erkennen und sich vor ihnen zu schützen" Externer Link
Sicherheitstest für Browser. System-Meldung vom 8. April 2003.
Selbstdatenschutz: Absichern des eigenen Rechners - Browser
Selbstdatenschutz: Internet Explorer 6 "Sicherheit": Das Zonenkonzept
c't-Browsercheck: Sicherheitseinstellungen des IE 6.x anpassen Externer Link

zum Archiv System-Meldungen

zurück zur Übersicht System-Meldungen