Internet Information Server

Transkript

1 Schicht Anwendungen B 5.10 B 5.10 Internet Information Server Beschreibung Der Microsoft Internet Information Server (IIS) stellt die Internet Informationsdienste (WWW-Server, FTP-Server, NNTP-Dienst und SMTP-Dienst) für die Microsoft Betriebssysteme zur Verfügung. Standardmäßig wird der IIS mit den Serverversionen von Windows NT 4.0 (IIS 4), Windows 2000 (IIS 5), Windows XP Professional (IIS 5.1) und Windows Server 2003 (IIS 6) ausgeliefert. In diesem Baustein werden spezifische Gefährdungen und Maßnahmen für einen Webserver basierend auf dem IIS 4 oder IIS 5 beschrieben. Für Webserver, die auf einer neueren Version des IIS basieren, können die detaillierten technischen Maßnahmen dieses Bausteins möglicherweise nicht direkt angewandt werden. Zumindest die allgemeineren Maßnahmen sollten jedoch in jedem Fall umgesetzt werden. Internet Information Server 4.0 (IIS 4 ) Viele Windows NT Versionen beinhalten noch eine ältere Version des IIS, meist die Version 2.0. Aufgrund vorhandener Sicherheitsrisiken sollten solche älteren Versionen jedoch nicht mehr eingesetzt werden. Das bedeutet, dass der IIS 4 neu zu installieren ist. Es sollte kein Update von einem installierten IIS 2.0 auf den IIS 4 stattfinden. Der IIS 4 ist Bestandteil des Windows NT 4.0 Server Option Packs, das eine Reihe von zusätzlichen Dienstprogrammen und Anwendungen enthält, die mit dem IIS 4 zusammenarbeiten. Als typische Microsoft-Anwendung ist der IIS 4 eng mit den Ressourcen des Betriebssystems verzahnt. Der IIS 4 verwendet die Verzeichnisdatenbank von Windows NT, d. h. die Benutzerkonten werden mit Hilfe des Windows NT-Benutzermanagers verwaltet. Außerdem werden vorhandene Windows-NT-Dienstprogramme, wie der Systemmonitor, die Ereignisanzeige und die SNMP-Unterstützung, zur Verwaltung des Webservers genutzt. Internet Information Server 5.0 (IIS 5.0) Mit dem Betriebssystem Windows 2000 werden die Internet Informationsdienste durch den IIS 5.0 bereitgestellt. Der IIS 5.0 ist vollständig in das Betriebssystem integriert und wird standardmäßig mit installiert. Im Vergleich zum IIS 4 enthält die Version 5.0 eine Reihe von neuen Funktionen und Verbesserungen. Beispielsweise wird die MMC-Technologie (Microsoft Management Console) durch die Integration in Windows 2000 vollständig unterstützt und die Verwaltung des Servers durch neue Sicherheitsassistenten, frei zu definierende Fehlermeldungen (für HTTP) und losgelöste Serverprozesse (Start der Internet Informationsdienste ohne Neustart des Computers) vereinfacht. Daneben wurden die ASP- Merkmale durch zusätzliche Methoden ergänzt und die Protokollierungsfunktionen, insbesondere im Bereich Performance und Auslastung, erweitert. Nach einer Installation der Betriebssysteme Windows 2000 Datacenter Server, Windows 2000 Advanced Server und Windows 2000 Server ist der IIS 5 standardmäßig aktiviert. Nach einer Installation von Windows 2000 Professional ist der IIS 5 standardmäßig nicht aktiviert. IT-Grundschutz-Kataloge: Stand

2 Schicht Anwendungen B 5.10 Internet Information Server 5.1 (IIS 5.1) Der IIS 5.1 wird mit dem Betriebssystem Windows XP Professional ausgeliefert. Nach einer Installation von Windows XP Professional ist der IIS 5.1 standardmäßig nicht aktiviert. Internet Information Server 6.0 (IIS 6) Der IIS 6 wird mit dem Betriebssystem Windows Server 2003 ausgeliefert. Gegenüber den Vorgängerversionen wurde diese Version grundlegend überarbeitet und weitgehend neu entwickelt. Gefährdungslage Generell hängt die Gefährdungslage vom Einsatzszenario ab. Webserver werden für vielfältige Aufgaben eingesetzt, beispielsweise als einfache Informationsserver im Internet oder Intranet, auf die nur lesend zugegriffen werden darf, aber auch als Basis für weiterführende Anwendungen, z. B. E- Commerce oder E-Government-Anwendungen, die auf Datenbanken zugreifen oder als Entwicklungsserver für neue Applikationen. Wird der IIS als Internet-Server eingesetzt, zeigt sich eine besondere Gefährdungslage. In diesem Fall ist der Zugriff Externer und Unbekannter auf den Server erwünscht, dabei müssen aber die Verfügbarkeit des Servers, die Integrität der Daten und auch die Vertraulichkeit von Konfigurationsdateien und vorhandenen Skripten gewährleistet sein. Nur durch die Kombination von übergeordneten, organisatorischen Maßnahmen mit technischen Sicherheitsvorkehrungen, wie geeigneten Trenneinrichtungen und der sicheren Konfiguration des Betriebssystems sowie der eigentlichen Internetdienste, kann diese Anforderung erfüllt werden. Allerdings darf nicht nur die Möglichkeit eines Angriffs von außen betrachtet werden, denn auch innerhalb eines LANs ist ein Angriff auf einen IIS denkbar. Wie jedes vernetzte IT-System ist auch ein Webserver mit IIS vielfältigen Gefahren ausgesetzt, so dass der sicheren Konfiguration des Systems und seiner Komponenten auch im internen Netz eine wichtige Rolle zukommt. Für den IT-Grundschutz eines IIS-basierenden Webservers werden die folgenden typischen Gefährdungen angenommen: Organisatorische Mängel - G 2.1 Fehlende oder unzureichende Regelungen - G 2.94 Unzureichende Planung des IIS-Einsatzes Menschliche Fehlhandlungen - G 3.56 Fehlerhafte Einbindung des IIS in die Systemumgebung - G 3.57 Fehlerhafte Konfiguration des Betriebssystems für den IIS - G 3.58 Fehlkonfiguration eines IIS - G 3.59 Unzureichende Kenntnisse über aktuelle Sicherheitslücken und Prüfwerkzeuge für den IIS Technisches Versagen - G 4.13 Verlust gespeicherter Daten - G 4.22 Software-Schwachstellen oder -Fehler - G 4.39 Software-Konzeptionsfehler Vorsätzliche Handlungen - G 5.2 Manipulation an Informationen oder Software - G 5.20 Missbrauch von Administratorrechten - G 5.28 Verhinderung von Diensten - G 5.71 Vertraulichkeitsverlust schützenswerter Informationen - G 5.84 Gefälschte Zertifikate IT-Grundschutz-Kataloge: 10. EL Stand

3 Schicht Anwendungen B G 5.88 Missbrauch aktiver Inhalte - G Ausnutzen von systemspezifischen Schwachstellen des IIS Maßnahmenempfehlungen Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz. Da in einer Einsatzumgebung von vernetzten Systemen der IIS nicht alleine betrachtet werden darf, sind darüber hinaus folgende Bausteine zu berücksichtigen: - B Allgemeiner Server - B Sicherheitsgateway (Firewall) - B 5.4 Webserver - B Server unter Windows NT, (bei der Verwendung von IIS 4.0) - B Server unter Windows 2000 (bei der Verwendung von IIS 5.0) - B Windows Server 2003 (bei der Verwendung von IIS 6.0) Je nachdem, wie die Administration und Pflege des IIS-Systems erfolgen, sollten gegebenenfalls auch die Bausteine B 4.4 VPN und B 5.8 Telearbeit für die Anbindung externer Anschlusspunkte herangezogen werden. Für den erfolgreichen Aufbau und Betrieb eines Internet Information Servers sind in den einzelnen Realisierungsphasen (Konzeption, Implementation und Betrieb) eine Reihe von Maßnahmen umzusetzen. Die Realisierungsschritte, die dabei durchlaufen werden, sowie die Maßnahmen, die in den jeweiligen Schritten zu beachten sind, werden nachfolgend aufgeführt. Teilweise stellen diese Maßnahmen "Spezialisierungen" von Maßnahmen aus einem der oben genannten Bausteine dar. 1. Nach der Entscheidung, einen IIS als Webserver einzusetzen, muss die Beschaffung der Software und eventuell zusätzlich benötigter Hardware erfolgen. Die zu beschaffende Soft- und Hardware ist abhängig von den geplanten Einsatzszenarien. Daher sind folgende Maßnahmen durchzuführen: - Zunächst muss der Einsatz des IIS-Systems geplant werden (siehe M Planen des IIS- Einsatzes). - Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe M Festlegung einer IIS- Sicherheitsrichtlinie), in der die bestehenden Sicherheitsrichtlinien für den IIS angewandt und spezialisiert werden. - Vor der tatsächlichen Einführung des IIS-Systems müssen die Administratoren auf den Umgang mit dem IIS durch eine Schulung vorbereitet werden. Insbesondere für Administratoren empfiehlt sich aufgrund der Komplexität der Verwaltung eine intensive Schulung. Die Administratoren sollen dabei detaillierte Systemkenntnisse erwerben (siehe M 3.36 Schulung der Administratoren zur sicheren Installation und Konfiguration des IIS), so dass eine konsistente und korrekte Systemverwaltung gewährleistet ist. 2. Nachdem die organisatorischen und planerischen Vorarbeiten durchgeführt wurden, kann die Installation des Webservers erfolgen. Dabei sind folgenden Maßnahmen zu beachten: - Die Installation kann erst dann als abgeschlossen betrachtet werden, wenn die IIS-Systeme in einen sicheren Zustand gebracht wurden. IT-Grundschutz-Kataloge: 10. EL Stand

4 Schicht Anwendungen B 5.10 Basis für die sichere Installation des IIS ist ein abgesichertes Betriebssystem (siehe M Vorbereitung der Installation von Windows NT/2000 für den IIS und M Sichere Konfiguration von Windows NT/2000 für den IIS). Es muss sichergestellt werden, dass in der folgenden Konfigurationsphase nur berechtigte Administratoren auf das IIS-System zugreifen können. - Nach der "Rohinstallation" erfolgt eine erstmalige Konfiguration des IIS-Systems. Bei der Konfiguration sind die relevanten Maßnahmen aus den Bereichen Hardware / Software und Kommunikation zu berücksichtigen. 3. Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Unter Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten: - Ein IIS ist in der Regel ständigen Veränderungen unterworfen. Daher müssen sicherheitsrelevante Konfigurationsparameter kontinuierlich angepasst werden. Die für den sicheren Betrieb relevanten Sicherheitseinstellungen sind in den Maßnahmen zur Hardware / Software und Kommunikation zusammengefasst. - Neben der Absicherung im laufenden Betrieb spielt jedoch auch die Notfallvorsorge eine wichtige Rolle, da nur so der Schaden im Notfall verringert werden kann. Hinweise zur Notfallvorsorge finden sich in M 6.85 Erstellung eines Notfallplans für den Ausfall des IIS. Nachfolgend wird nun das Maßnahmenbündel für den Baustein IIS vorgestellt. Planung und Konzeption - M (A) Planen des IIS-Einsatzes - M (A) Festlegung einer IIS-Sicherheitsrichtlinie Umsetzung - M 3.36 (A) Schulung der Administratoren zur sicheren Installation und Konfiguration des IIS - M (A) Vorbereitung der Installation von Windows NT/2000 für den IIS - M (A) Sichere Konfiguration von Windows NT/2000 für den IIS - M (A) Absicherung der Administrator- und Benutzerkonten beim IIS-Einsatz - M (A) Schutz von sicherheitskritischen Dateien beim IIS-Einsatz - M (A) Konfiguration der Authentisierungsmechanismen für den Zugriff auf den IIS - M (A) Ausführen des IIS in einem separaten Prozess - M (A) Deaktivieren nicht benötigter Dienste beim IIS-Einsatz - M (A) Absichern von virtuellen Verzeichnissen und Web-Anwendungen beim IIS-Einsatz - M (A) Entfernen von Beispieldateien und Administrations-Scripts des IIS - M (A) Entfernen der FrontPage Server-Erweiterung des IIS - M (B) Prüfen der Benutzereingaben beim IIS-Einsatz - M (B) Schutz vor unzulässigen Programmaufrufen beim IIS-Einsatz - M (B) Entfernen der RDS-Unterstützung des IIS - M (B) Entfernen nicht benötigter ODBC-Treiber beim IIS-Einsatz - M (B) Installation von URL-Filtern beim IIS-Einsatz - M (B) Entfernen sämtlicher Netzwerkfreigaben beim IIS-Einsatz - M (C) Konfiguration des TCP/IP-Filters beim IIS-Einsatz - M (C) Vorbeugen vor SYN-Attacken auf den IIS - M (A) Entfernen nicht vertrauenswürdiger Root-Zertifikate beim IIS-Einsatz - M 6.86 (B) Schutz vor schädlichem Code auf dem IIS IT-Grundschutz-Kataloge: 10. EL Stand

5 Maßnahmenkatalog Organisation M Betrieb - M (B) Überwachen des IIS-Systems - M (A) Sicherstellen der Verfügbarkeit und Performance des IIS Notfallvorsorge - M 6.85 (C) Erstellung eines Notfallplans für den Ausfall des IIS - M 6.87 (A) Datensicherung auf dem IIS IT-Grundschutz-Kataloge: 10. EL Stand

6 Maßnahmenkatalog Organisation M G 2.1 Fehlende oder unzureichende Regelungen Die Bedeutung übergreifender organisatorischer Regelungen und Vorgaben für das Ziel Informationssicherheit nimmt mit dem Umfang der Informationsverarbeitung, aber auch mit dem Schutzbedarf der zu verarbeitenden Informationen zu. Von der Frage der Zuständigkeiten angefangen bis hin zur Verteilung von Kontrollaufgaben kann das Spektrum der Regelungen sehr umfangreich sein. Auswirkungen von fehlenden oder unzureichenden Regelungen werden beispielhaft in den anderen Gefährdungen des Gefährdungskatalogs G2 beschrieben. Vielfach werden nach Veränderungen technischer, organisatorischer oder personeller Art, die wesentlichen Einfluss auf die Informationssicherheit haben, bestehende Regelungen nicht angepasst. Veraltete Regelungen können einem störungsfreien Betrieb entgegen stehen. Probleme können auch dadurch entstehen, dass Regelungen unverständlich oder zusammenhanglos formuliert sind und dadurch missverstanden werden. Dass Regelungsdefizite zu Schäden führen können, machen folgende Beispiele deutlich: - Durch eine mangelhafte Betriebsmittelverwaltung kann der termingerechte Arbeitsablauf in einem Rechenzentrum schon durch eine unterbliebene Druckerpapierbestellung stark beeinträchtigt werden. - Neben einer Beschaffung von Handfeuerlöschern muss auch deren regelmäßige Wartung geregelt sein, um sicherzustellen, dass diese im Brandfall auch funktionstüchtig sind. - Bei einem Wasserschaden wird festgestellt, dass dieser auch den darunter liegenden Serverraum in Mitleidenschaft zieht. Durch eine unzureichende Schlüsselverwaltung kann der Wasserschaden im Serverraum allerdings nicht unmittelbar behoben werden, weil keiner darüber informiert ist, wo sich der Schlüssel zum Serverraum gerade befindet. Dadurch steigt der Schaden erheblich. IT-Grundschutz-Kataloge: 10. EL Stand

7 Maßnahmenkatalog Organisation M G 2.94 Unzureichende Planung des IIS-Einsatzes Der IIS bietet vielfältige Einsatzmöglichkeiten, z. B. als einfacher Informationsserver im Intranet. Auch als Basis für komplexe Webanwendungen im Internet ist der IIS geeignet. Aus diesen Einsatzumgebungen resultieren unterschiedliche Anforderungen an die Sicherheit des IIS. Die Absicherung eines aus dem Internet erreichbaren Servers ist in der Regel mit einem viel höheren Aufwand verbunden als die Absicherung eines Servers im LAN, auf den nur vertrauenswürdige Benutzer zugreifen. Erfolgt vor der Installation keine ausreichende Planung, z. B. in welche Systemumgebung der Server einzubinden ist, welche Protokolle verwendet werden und wie der Zugriff (Authentisierung) geregelt wird, besteht die Gefahr, dass bestehende Risiken nicht berücksichtigt werden. Die Verfügbarkeit und Performance sind für den Erfolg eines Internet-Angebots von entscheidender Bedeutung. Lange Wartezeiten werden von keinem Anwender auf Dauer akzeptiert, deshalb muss ein Internet-Server ständig verfügbar und seine Reaktionszeit möglichst kurz sein. Bei unzureichender Ressourcenplanung, die Netzkapazitäten und Systemressourcen berücksichtigen muss, kann die Akzeptanz der Benutzer für eine Web-Seite sinken. IT-Grundschutz-Kataloge: 10. EL Stand

8 Maßnahmenkatalog Organisation M G 3.56 Fehlerhafte Einbindung des IIS in die Systemumgebung Der IIS wird weltweit in unterschiedlichen Umgebungen eingesetzt. Als Einsatzumgebung wird die Netztopologie (Anordnung von weiteren Hard- und Software-Komponenten, Netzkomponenten) verstanden, in der der IIS betrieben wird. Als wesentlicher Aspekt ist dabei auch der Kommunikationsbedarf des IIS mit anderen Systemen zu berücksichtigen. Die Absicherung eines öffentlichen, aus dem Internet erreichbaren Servers ist im Vergleich zu einem im Intranet installierten Server in der Regel mit einem viel höheren Aufwand verbunden. Von entscheidender Bedeutung ist dabei der sichere Einsatz geeigneter Trenneinrichtungen. Eine unzureichend geplante Netzstruktur, z. B. ohne Demilitarisierte Zone (DMZ) oder eine fehlerhaft konfigurierte Trenneinrichtung (Firewall), kann für einen Angriff aus dem Internet bzw. Intranet ausgenutzt werden. Ein weiteres Risiko entsteht durch nicht ausreichend dimensionierte Systemressourcen (Firewall, Netzanbindung). Wenn diese Systeme nicht den Anforderungen an die Verfügbarkeit und Performance des eigentlichen Web-Servers entsprechen, besteht die Gefahr eines Single-Point-of-Failure (SPOF). Beispiel: Mit Hilfe eines IIS und eines Datenbank-Servers wird eine E-Business-Anwendung realisiert. Befindet sich der Datenbank-Server im gleichen Segment wie der IIS, auf den aus dem Internet zugegriffen werden darf, besteht die Gefahr, dass ein Unbefugter auch auf die Datenbank zugreifen und die vorhanden Datenbestände auslesen oder manipulieren kann. IT-Grundschutz-Kataloge: 10. EL Stand

9 Maßnahmenkatalog Organisation M G 3.57 Fehlerhafte Konfiguration des Betriebssystems für den IIS Voraussetzung für den sicheren Betrieb einer Applikation ist die Sicherheit des verwendeten Betriebssystems. Da der IIS sehr stark mit dem Betriebssystem verzahnt ist und z. B. die Benutzerdatenbank und Dateiberechtigungen von Windows verwendet, ist eine sichere Konfiguration von Windows NT/2000 von entscheidender Bedeutung für den sicheren Betrieb. Einige typische Fehlkonfigurationen werden im Folgenden aufgeführt: - Zu viele, nicht benötigte Dienste werden angeboten: Je mehr Dienste und Services ein Server anbietet, desto größer sind die Angriffsmöglichkeiten auf die Verfügbarkeit des Rechners und die Vertraulichkeit und Integrität der zu verarbeitenden Daten. Jeder Dienst bzw. Service kann zusätzliche Schwachstellen enthalten, die für einen Angriff ausgenutzt werden können. Insbesondere beim Netbios-Dienst besteht die Gefahr, dass ein Angreifer Informationen über vorhandene Benutzer, Freigaben usw. abfragen kann. - Großzügige Konfiguration der Netzeinstellungen: Windows ermöglicht eine Vielzahl von Netzeinstellungen in der Registry, über die z. B. Zeitbeschränkungen für eine Verbindung oder die Anzahl von gleichzeitigen Verbindungen definiert werden können. Fehlerhafte Einstellungen, insbesondere von Timer-Werten, können einen DoS-Angriff auf den Server ermöglichen. - Unzureichende Sicherung von Kennwörtern: Einen weiteren Angriffspunkt bilden leicht zu erratende oder nicht ausreichend geschützte Passwörter. Windows stellt verschiedene Werkzeuge zum Sichern der Passwörter bereit, die bei der Auswahl von Passwörtern die Einhaltung einer Sicherheitsrichtlinie erzwingen (z. B. passfilt.dll) oder den Zugriff und das Auslesen von Passwörtern erschweren (z. B. passprop, syskey). Die aufgeführten Aspekte sind Beispiele für mögliche Sicherheitsprobleme durch Fehlkonfigurationen des Betriebssystems. Abhängig vom jeweiligen Einsatzumfeld können weitere potentielle Sicherheitsprobleme hinzukommen. IT-Grundschutz-Kataloge: 10. EL Stand

10 Maßnahmenkatalog Organisation M G 3.58 Fehlerhafte Konfiguration eines IIS Fehlkonfigurationen eines Software-Systems sind häufig die Ursache für erfolgreiche Angriffe. Aufgrund der Komplexität eines IIS und der vielfältigen Einsatzmöglichkeiten in Verbindung mit anderen Server-Systemen besteht auch hier die Gefahr, dass das System durch Fehlkonfiguration nicht den geforderten Sicherheitsansprüchen genügt. Durch die Fülle von Konfigurationseinstellungen und durch die sich gegenseitig beeinflussenden Parameter können auch viele Sicherheitsprobleme entstehen. Einige typische Fehlkonfigurationen werden im folgenden aufgeführt: - Zu viele, nicht benötigte Dienste werden angeboten: Je mehr Dienste und Services ein Server anbietet, desto größer sind die Angriffsmöglichkeiten auf die Verfügbarkeit des Rechners und die Vertraulichkeit und Integrität der zu verarbeitenden Daten. Jeder Dienst bzw. Service kann zusätzliche Schwachstellen enthalten, die für einen Angriff ausgenutzt werden können. Beispielsweise kann der FTP-Dienst zum Übertragen von Daten auf den Server ausgenutzt werden. - Vertrauliche Informationen sind nicht ausreichend geschützt, da sie sich z. B. in zugänglichen Verzeichnissen befinden: In Abhängigkeit von Aufgabe und Einsatzumgebung können auch persönliche Informationen, z. B. durch die Auswertung von Formularen, auf dem Server vorhanden sein. Sind diese Daten nicht ausreichend vor einem unberechtigten Zugriff geschützt, z. B. durch ACLs (Access Control Lists), können sie ggf. von einem Angreifer ausgelesen werden. - Eingabeparameter werden unzureichend geprüft: Viele Programmierer gehen bei der Entwicklung ihrer Anwendungen davon aus, dass vom Benutzer geforderte Eingaben, z. B. in einem Formularfeld oder eine URL, immer korrekt erfolgen. Die Prüfung der Benutzereingaben wird oft auf die für die weitere Verarbeitung erforderlichen Bedingungen beschränkt. Die Überprüfung der Syntax oder der verwendeten Zeichen wird oft vernachlässigt. Dabei besteht die Gefahr, dass Eingaben, die vom System nicht erwartet werden, z. B. Sonderzeichen oder Buchstaben anstelle von Zahlen, zu unnötigen Ressourcenbelastungen und Pufferüberläufen führen können und dadurch Sicherheitsfunktionen umgangen werden können. - Fehlerhafte Zugriffslisten (Access Control Lists, ACLs): Der IIS ist eng mit dem Betriebssystem verzahnt und nutzt auch die Sicherheitsmechanismen von Windows für den Zugriff auf Dateien und Verzeichnisse. Oft werden die Zugriffsrechte sehr großzügig vergeben. Beispielsweise gehört das Konto IUSR_Computername, das bei der Installation des IIS automatisch angelegt wird, standardmäßig der Gruppe GAST an und besitzt somit die Rechte, auf Verzeichnisse außerhalb des Webroot-Verzeichnisses zuzugreifen. Auch innerhalb von virtuellen Verzeichnissen entstehen u. U. Risiken, wenn z. B. Scripts oder ausführbare Programme verwendet werden. Sind die Zugriffsrechte nicht restriktiv vergeben, besteht die Möglichkeit, dass diese Programme ausgelesen oder verändert werden. IT-Grundschutz-Kataloge: 10. EL Stand

11 Maßnahmenkatalog Organisation M G 3.59 Unzureichende Kenntnisse über aktuelle Sicherheitslücken und Prüfwerkzeuge für den IIS Die Entwicklung in der Informationstechnik unterliegt einem stetigen Wandel. Hard- und Software- Lösungen werden immer leistungsfähiger, Anwendungen werden aktualisiert und durch neue Versionen ersetzt. Allerdings ergeben sich durch diese Veränderungen auch neue Anforderungen an die Administratoren und IT-Verantwortlichen. Sie unterliegen einer ständigen Informationspflicht, um mit dem aktuellen Stand der Technik vertraut zu sein. Bei unzureichenden Kenntnissen des Administrators besteht zum einen die Gefahr, dass ein System fehlerhaft konfiguriert wird, zum anderen können Bedrohungen in einer Situation falsch eingeschätzt werden. Insbesondere durch die Komplexität des IIS und das Zusammenwirken mit weiteren Systemen in einer heterogenen Systemumgebung können Risiken entstehen, die vom Administrator zu bewerten sind. Wichtige Informationsquellen für den Administrator bilden die Veröffentlichungen von aktuellen Schwachstellen (Bulletins) der eingesetzten Software. Obwohl Microsoft bei Bedarf neue Service Packs für Windows NT und Windows 2000 veröffentlicht, existieren für Windows und den IIS Schwachstellen, die aufgrund ihrer Aktualität noch nicht in die Service Packs aufgenommen worden sind. Aktuelle Schwachstellen werden von Microsoft oder anderen Arbeitsgruppen und Organisationen veröffentlicht. Sind dem verantwortlichen Administrator die aktuellen Sicherheitslücken nicht bekannt, kann dieser natürlich nicht die erforderlichen Sicherheitsmaßnahmen ergreifen, um das System gegen entsprechende Angriffe zu schützen. Zur Vereinfachung der Administration von Windows und des IIS bietet Microsoft eine Reihe von Prüfwerkzeugen an, die Bestandteil des Windows NT/2000 Ressource Kit sind oder direkt aus dem Internet heruntergeladen werden können. Beispielsweise besteht mit dem IIS Lockdown Tool die Möglichkeit, in sehr kurzer Zeit eine Reihe von Sicherheitseinstellungen vorzunehmen, insbesondere für die Zugriffsbeschränkung auf wichtige Dateien und Verzeichnisse. Ein weiteres Werkzeug ist das Hotfix Check Tool, mit dem der Patchstatus von Windows NT und Windows 2000 geprüft werden kann. Der Nachteil vieler Tools, die in die Administration eingreifen, besteht darin, dass sie nur einen Teil der sicherheitsrelevanten Einstellungen vornehmen und dass die einzelnen Funktionen nur unzureichend dokumentiert sind. Beispiel: Im Juli 2001 infizierte der Wurm Code Red in weniger als 14 Stunden über Computer in der ganzen Welt. Der Wurm nutzte eine Schwachstelle aus, für die seit einiger Zeit ein Patch von Microsoft verfügbar war. Selbst Monate später waren jedoch noch eine Vielzahl von Rechnern infiziert, weil keine entsprechenden Sicherheitsmaßnahmen eingeleitet wurden. IT-Grundschutz-Kataloge: 10. EL Stand

12 Maßnahmenkatalog Organisation M G 4.13 Verlust gespeicherter Daten Der Verlust gespeicherter Daten kann erhebliche Auswirkungen auf den IT-Einsatz haben. Sind die Anwendungsdaten oder die Kundenstammdaten verloren oder verfälscht, so können privatwirtschaftliche Betriebe in ihrer Existenz bedroht sein. Der Verlust oder die Verfälschung wichtiger Dateien kann in Behörden Verwaltungs- und Fachaufgaben verzögern oder sogar ausschließen. Der Verlust gespeicherter Daten kann erhebliche Auswirkungen auf Geschäftsprozesse und damit auf die gesamte Institution haben. Wenn geschäftsrelevante Informationen egal welcher Art zerstört oder verfälscht werden, können dadurch Geschäftsprozesse und Fachaufgaben verzögert oder sogar deren Ausführung verhindert werden. Insgesamt kann der Verlust gespeicherter Daten neben dem Produktionsausfall und den Kosten für die Wiederbeschaffung der Daten vor allem zu langfristigen Konsequenzen wie Vertrauenseinbußen bei Kunden und Partnern sowie einem negativen Eindruck in der Öffentlichkeit führen. Durch die durch Datenverluste verursachten direkten und indirekten Schäden können Institutionen sogar in ihrer Existenz bedroht sein. Dabei können die Gründe für den Verlust gespeicherter Daten vielfältiger Art sein: - Entmagnetisierung von magnetischen Datenträgern durch Alterung oder durch ungeeignete Umfeldbedingungen (Temperatur, Luftfeuchte), - Störung magnetischer Datenträger durch äußere Magnetfelder, - Zerstörung von Datenträgern durch höhere Gewalt wie Feuer oder Wasser, - versehentliches Löschen oder Überschreiben von Dateien, - vorsätzliches oder versehentliches Setzen von Löschmarkierungen in Archivsystemen (siehe auch G Unberechtigtes Überschreiben oder Löschen von Archivmedien), - technisches Versagen von Peripheriespeichern (Headcrash), - fehlerhafte Datenträger, - unkontrollierte Veränderungen gespeicherter Daten (Integritätsverlust) und - Datenzerstörung durch Schadprogramme IT-Grundschutz-Kataloge: 10. EL Stand

13 Maßnahmenkatalog Organisation M G 4.22 Software-Schwachstellen oder -Fehler Wie für jede Software gilt auch für Standardsoftware: je komplexer sie ist, desto häufiger treten Programmierfehler auf. Es ist zu beobachten, dass hohe Erwartungen der Anwender und zeitlich zu knapp bemessene Erscheinungstermine bei Standardsoftwareprodukten auch dazu führen, dass die Hersteller ihre Produkte teilweise unausgereift oder nicht fehlerfrei anbieten. Werden diese Softwarefehler nicht erkannt, können die bei der Anwendung entstehenden Fehler zu weitreichenden Folgen führen. Beispiele: - Ein Software-Fehler in der Sicherheits-Software RACF des z/os-betriebssystems kann bedeuten, dass nicht nur RACF den Dienst einstellt, sondern dadurch das ganze System nicht mehr funktionsfähig ist und neu gestartet werden muss. - Die Stärke der in Standardsoftware implementierten Sicherheitsfunktionalitäten (wie Passwörter oder Verschlüsselungsalgorithmen) wird vom Anwender häufig zu hoch eingeschätzt. Häufig können diese Sicherheitsfunktionalitäten einem sachkundigen Angriff nicht dauerhaft standhalten. Dies gilt z. B. für die Verschlüsselungsfunktionen, die in vielen Textverarbeitungsprogrammen integriert sind. Für fast alle davon gibt es im Internet zahlreiche Tools, um diese Verschlüsselung zu überwinden. - Nachweislich führte das Auftreten eines bestimmten Wortes in der Rechtschreibprüfung eines Textverarbeitungsprogrammes immer zu dessen Absturz. - Vielfach enthält Standardsoftware nicht dokumentierte Funktionen, wie sog. "Ostereier" oder "Gagscreens", mit denen sich die Entwickler des Produktes verewigt haben. Zum einen werden hierdurch zusätzliche IT-Ressourcen verbraucht, zum anderen wird dadurch auch deutlich, dass im Softwaretest die gesamte Funktionalität des Produktes nicht bis ins letzte geklärt werden kann. - Die meisten Warnmeldungen der Computer Emergency Response Teams in den letzten Jahren bezogen sich auf sicherheitsrelevante Programmierfehler. Dies sind Fehler, die bei der Erstellung von Software entstehen und dazu führen, dass diese Software von Angreifern missbraucht werden kann. Der größte Teil dieser Fehler wurde durch Speicherüberläufe (Buffer Overflow) hervorgerufen. Hierbei handelt es um Fehler, bei denen eine Routine zum Einlesen von Zeichen nicht prüft, ob die Länge der eingegebenen Zeichenkette mit der Länge des dafür vorgesehenen Speicherbereiches übereinstimmt. Dadurch ist es Angreifern möglich, eine überlange Zeichenfolge zu übertragen, so dass hinter dem für die Eingabe reservierten Speicherbereich zusätzliche Befehle gespeichert werden können, die zur Ausführung gebracht werden. Diese Befehle können z. B. beliebige Programme sein. - Eine weitere große Anzahl von Warnmeldungen wurde durch Verfügbarkeitsangriffe (Denial of Service, DoS) verursacht, bei denen durch Fehler in einzelnen Routinen, die für die Netzdatenverarbeitung eingesetzt werden, der gesamte Rechner zum Absturz gebracht werden kann (siehe z. B. CERT Advisory zu IP Denial-of-Service Attacks: Teardrop and Land-Attack). IT-Grundschutz-Kataloge: 10. EL Stand

14 Maßnahmenkatalog Organisation M G 4.39 Software-Konzeptionsfehler Bei der Planung von Programmen und Protokollen können sicherheitsrelevante Konzeptionsfehler entstehen. Häufig sind diese Fehler historisch gesehen durchaus verständlich. So ist sicherlich keiner der Entwickler der im Internet verwendeten Protokolle Ende der 60er-Jahre davon ausgegangen, dass diese Protokolle einmal die Grundlage für ein weltumspannendes und kommerziell höchst bedeutendes Computer-Netz werden würden. Beispiele: - Beispiele für Konzeptionsfehler sind die offene Übertragung der Daten im Internet, so dass Daten (z. B. Passwörter) mitgelesen oder verändert werden können, oder die Möglichkeit, Pakete mit Internet-Adressen zu versenden, die einem anderen Rechner zugeteilt worden sind. Ein Spezialfall hiervon ist die so genannte FTP-Bounce-Attacke, bei der ausgenutzt wird, dass die Verbindung, die beim FTP-Protokoll für die Datenübertragung eingesetzt wird, zu einem beliebigen Rechner aufgebaut werden kann. Im ungünstigen Fall können auf diese Weise sogar Firewalls mit dynamischen Paketfiltern überwunden werden (siehe CERT Advisory 97-27). Weitere Fehler in den Internet-Protokollen sind sicherlich vorhanden und werden zukünftig publiziert werden. - Ein weiteres Beispiel für einen Konzeptionsfehler ist das so genannte DNS-Spoofing (siehe auch G 5.78 DNS-Spoofing und Pharming). Das Domain Name System ist der zentrale Auskunftsdienst im Internet, der die Übersetzung der leicht merkbaren Rechnernamen wie in die zugehörige Internet-Adresse ermöglicht. Bei DNS-Spoofing versucht ein Angreifer, einem Rechnernamen einen falschen Rechner zuzuweisen, so dass Auskunftsuchende fehlgeleitet werden. - Ein weiteres Beispiel für einen Konzeptionsfehler ist die Möglichkeit, anonym sehr viele Werbe-E- Mails zu versenden (Mail-Spamming). Hierbei werden häufig fremde Mailserver als so genannte R er eingesetzt, so dass Gegenaktionen durch den Empfänger ins Leere laufen. Die Ursache für diese Angriffe liegt eindeutig in den mangelhaften Authentisierungsmöglichkeiten, die das Internet zur Zeit bietet. IT-Grundschutz-Kataloge: 10. EL Stand

15 Maßnahmenkatalog Organisation M G 5.2 Manipulation an Informationen oder Software Informationen oder Software können auf vielfältige Weise manipuliert werden: durch falsches Erfassen von Daten, Änderungen von Zugriffsrechten, inhaltliche Änderung von Abrechnungsdaten oder von Schriftverkehr, Änderungen in der Betriebssystem-Software und vieles mehr. Grundsätzlich betrifft dies nicht nur digitale Informationen, sondern beispielsweise auch Dokumente in Papierform. Ein Täter kann allerdings nur die Informationen und Software-Komponenten manipulieren, auf die er Zugriff hat. Je mehr Zugriffsrechte eine Person auf Dateien und Verzeichnisse von IT-Systemen besitzt bzw. je mehr Zugriffsmöglichkeiten auf Informationen sie hat, desto schwerwiegendere Manipulationen kann sie vornehmen. Falls die Manipulationen nicht frühzeitig erkannt werden, kann der reibungslose Ablauf von Geschäftsprozessen und Fachaufgaben dadurch empfindlich gestört werden. Manipulationen an Informationen oder Software können unter anderem aus Rachegefühlen, um einen Schaden mutwillig zu erzeugen, zur Verschaffung persönlicher Vorteile oder zur Bereicherung vorgenommen werden. Beispiele: - In einem Schweizer Finanzunternehmen wurde durch einen Mitarbeiter die Einsatzsoftware für bestimmte Finanzdienstleistungen manipuliert. Damit war es ihm möglich, sich illegal größere Geldbeträge zu verschaffen. - Sehr häufig werden Kundendatenbanken von Mitarbeitern beim Verlassen der Firma kopiert, um die Kundendaten für andere Zwecke gewinnbringend einsetzen zu können. Solche illegal beschafften Daten von Privatkunden sind beispielsweise benutzt worden, um Vertragsabschlüsse vorzutäuschen. Mitarbeiter, die im Unfrieden eine Behörde oder ein Unternehmen verlassen, könnten auch Informationen oder IT-Systeme mutwillig zerstören oder den Zugriff auf wichtige Informationen oder IT-Systeme verhindern. - Archivierte Dokumente stellen meist besonders schützenswerte Informationen dar. Die Manipulation solcher Dokumente ist besonders schwerwiegend, da sie unter Umständen erst nach Jahren bemerkt wird und eine Überprüfung dann oft nicht mehr möglich ist. - Eine Mitarbeiterin hat sich über die Beförderung ihrer Zimmergenossin in der Buchhaltung dermaßen geärgert, dass sie sich während einer kurzen Abwesenheit der Kollegin unerlaubt Zugang zu deren Rechner verschafft hat. Hier hat sie durch einige Zahlenänderungen in der Monatsbilanz enormen negativen Einfluss auf das veröffentlichte Jahresergebnis des Unternehmens genommen. - Ein Mitarbeiter ärgert sich darüber, dass sein Vorgesetzter ihm keine Gehaltserhöhung gegeben hat. Aus Wut sendet er an einige seiner Arbeitskollegen per ein Dokument, das einen Makro- Virus enthält und als Geschäftsbrief getarnt ist. Beim Öffnen dieses Dokuments werden unterschiedliche Dateien auf den betroffenen Systemen verändert. unterschiedliche Motive IT-Grundschutz-Kataloge: 10. EL Stand

16 Maßnahmenkatalog Organisation M G 5.20 Missbrauch von Administratorrechten Eine missbräuchliche Administration liegt vor, wenn man vorsätzlich recht- oder unrechtmäßig erworbene Super-User- (root-) Privilegien ausnutzt, um dem System oder dessen Benutzern zu schaden. Beispiele: - Da root auf Unix-Anlagen keinerlei Beschränkungen unterliegt, kann der Administrator keine Beschränkungen für root unabhängig von Zugriffsrechten jede Datei lesen, verändern oder löschen. Außerdem kann er die Identität jedes Benutzers seines Systems annehmen, ohne dass dies von einem anderen Benutzer bemerkt wird, es ist ihm also z. B. möglich unter fremden Namen Mails zu verschicken oder fremde Mails zu lesen und zu löschen. - Es gibt verschiedene Möglichkeiten, missbräuchlich Super-User-Privilegien auszunutzen. Dazu gehören der Missbrauch von falsch administrierten Super-User-Dateien (Dateien mit Eigentümer root und gesetztem s-bit) und des Befehls su. - Die Gefährdung kann auch durch automatisches Mounten von austauschbaren Datenträgern entstehen: Sobald das Medium in das Laufwerk gelegt wird, wird es gemountet. Dann hat jeder Zugriff auf die dortigen Dateien. Mit sich auf dem gemounteten Laufwerk befindenden s-bit-programmen kann jeder Benutzer Super-User-Rechte erlangen. - In Abhängigkeit von der Unix-Variante und der zugrunde liegenden Hardware kann bei Zugangsmöglichkeit zur Konsole der Monitor-Modus aktiviert oder in den Single-User- Modus gebootet werden. Das ermöglicht die Manipulation der Konfiguration. Super-User-Dateien automatisches Mounten Zugang zur Konsole - Durch Softwarefehler kann es möglich sein, dass eine Anwendung nur eine begrenzt große Softwarefehler Menge an Daten verarbeiten kann. Werden dieser Anwendung übergroße Datenmengen oder Parameter übergeben, können Bereiche im Hauptspeicher mit fremden Code überschrieben werden. Dadurch können Befehle mit den Rechten der Anwendung ausgeführt werden. Dies war u. a mit dem Befehl eject unter SunOS 5.5 möglich, der mit SetUID-Rechten ausgestattet ist, also bei der Ausführung Super-User-Rechte besitzt. IT-Grundschutz-Kataloge: 10. EL Stand

17 Maßnahmenkatalog Organisation M G 5.28 Verhinderung von Diensten Ein solcher Angriff, auch "Denial of Service" genannt, zielt darauf ab, die Benutzer daran zu hindern, Funktionen oder Geräte zu verwenden, die ihnen normalerweise zur Verfügung stehen. Dieser Angriff steht häufig im Zusammenhang mit verteilten Ressourcen, indem ein Angreifer diese Ressourcen so stark in Anspruch nimmt, dass andere Benutzer an der Arbeit gehindert werden. Es können z. B. die folgenden Ressourcen künstlich verknappt werden: Prozesse, CPU-Zeit, Plattenplatz, Inodes, Verzeichnisse. Dies kann z. B. geschehen durch - das Starten von beliebig vielen Programmen gleichzeitig, - das mehrfache Starten von Programmen, die viel CPU-Zeit verbrauchen, - das Belegen aller freien Inodes in einem Unix-System, so dass keine neuen Dateien mehr angelegt werden können, - unkoordiniertes Belegen von Bandstationen in z/os-systemen, so dass Anwendungen auf freie Bandstationen warten müssen und die Online-Verarbeitung eingeschränkt ist, - bewusste Falscheingabe von Passwörtern (auch Skript-gesteuert) mit dem Ziel der Sperrung aller Kennungen eines z/os-systems, - das Versenden bestimmter konstruierter Datenpakete, die beim Empfänger aufgrund von Software-Schwachstellen zu Fehlfunktionen führen können, - die gezielte Überlastung des Netzes, - das Kappen von Netzverbindungen. Sperren von Bandstationen am z/os- System DoS-Attacke auf z/os Kennungen IT-Grundschutz-Kataloge: 10. EL Stand

18 Maßnahmenkatalog Organisation M G 5.71 Vertraulichkeitsverlust schützenswerter Informationen Vertraulichkeit ist die Anforderung, dass eine Information nur den zur Kenntnisnahme berechtigten Personen zugänglich gemacht werden darf. Neben der Integrität und der Verfügbarkeit gehört die Vertraulichkeit zu den Grundwerten der Informationssicherheit. Für Informationen, die einen Schutzbedarf bezüglich ihrer Vertraulichkeit besitzen (wie Passwörter, personenbezogene Daten, firmen- oder amtsvertrauliche Informationen, Entwicklungsdaten), besteht die inhärente Gefahr, dass die Vertraulichkeit durch technisches Versagen, Unachtsamkeit oder auch durch vorsätzliche Handlungen beeinträchtigt wird. Dabei kann auf diese vertraulichen Informationen an unterschiedlichen Stellen zugegriffen werden, beispielsweise - auf Speichermedien innerhalb von Rechnern (Festplatten), - auf austauschbaren Speichermedien (USB-Sticks, CDs oder DVDs), - in gedruckter Form auf Papier (Ausdrucke, Akten) und - auf Übertragungswegen während der Datenübertragung. Auch die Art und Weise, wie die vertraulichen Informationen gewonnen werden, kann sehr unterschiedlich sein, zum Beispiel: - Auslesen von Dateien, - Kopieren von Dateien, - Wiedereinspielen von Datensicherungsbeständen, - Diebstahl des Datenträgers und anschließendes Auswerten, - Abhören von Übertragungsleitungen, - Infektion mit Schadprogrammen, - Mitlesen am Bildschirm. Werden Informationen unberechtigt gelesen oder preisgegeben, kann dies schwerwiegende Folgen für eine Institution haben. Unter anderem kann der Verlust der Vertraulichkeit zu folgenden negativen Auswirkungen für eine Institution führen: - Verstoß gegen Gesetze, zum Beispiel Datenschutz, Bankgeheimnis - Negative Innenwirkung, zum Beispiel Demoralisierung der Mitarbeiter - Negative Außenwirkung, zum Beispiel Beeinträchtigung der Beziehungen zu Geschäftspartnern, verlorenes Vertrauen von Kunden - Finanzielle Auswirkungen, zum Beispiel Schadensersatzansprüche, Bußgelder, Prozesskosten - Beeinträchtigung des informationellen Selbstbestimmungsrechtes Zu beachten ist außerdem, dass ein Verlust der Vertraulichkeit nicht immer sofort bemerkt wird. Oft stellt sich erst später heraus, dass Unbefugte sich Zugang zu vertraulichen Informationen verschafft haben und dadurch Schäden entstanden sind. IT-Grundschutz-Kataloge: 10. EL Stand

19 Maßnahmenkatalog Organisation M G 5.84 Gefälschte Zertifikate Zertifikate dienen dazu, einen öffentlichen kryptographischen Schlüssel an eine Person zu binden. Diese Bindung des Schlüssels an den Namen der Person wird wiederum kryptographisch mittels einer digitalen Signatur einer vertrauenswürdigen dritten Stelle abgesichert. Diese Zertifikate werden von Dritten dann verwendet, um digitale Signaturen der im Zertifikat ausgewiesenen Person zu prüfen bzw. um dieser Person Daten mit dem im Zertifikat aufgezeichneten Schlüssel verschlüsselt zuzusenden. Ist ein solches Zertifikat gefälscht, werden digitale Signaturen fälschlicherweise als korrekt geprüft und der Person im Zertifikat zugeordnet oder es werden Daten mit einem ggf. unsicheren Schlüssel verschlüsselt und versandt. Beide Angriffsmöglichkeiten können einen Täter bewegen, gefälschte Zertifikate in Umlauf zu bringen. Gefälschte Zertifikate können auf verschiedene Weise erzeugt werden: - Ein Innentäter der vertrauenswürdigen Stelle erstellt mit dem eigenen Signaturschlüssel ein Zertifikat mit gefälschten Angaben. Dieses Zertifikat ist authentisch und wird bei einer Prüfung als korrekt verifiziert. - Ein Täter gibt sich als eine andere Person aus und beantragt ein Zertifikat, welches auf diese andere Person ausgestellt wird, obwohl der Täter im Besitz des geheimen Schlüssels ist, der mit dem öffentlichen Schlüssel im Zertifikat korrespondiert. - Ein Täter erzeugt ein Zertifikat und signiert es mit einem eigenen Schlüssel. Die Fälschung fällt nur auf, wenn das Zertifikat geprüft wird und dabei festgestellt werden kann, dass das Zertifikat von einer nichtvertrauenswürdigen Stelle ausgestellt wurde. Wenn ein Täter erst einmal ein Zertifikat mit falschen Angaben auf irgendeinem Weg erhalten hat, kann er sich gegenüber Kommunikationspartnern jederzeit als eine andere Person ausgegeben, und zwar sowohl beim Versand als auch beim Empfang von Nachrichten. IT-Grundschutz-Kataloge: 10. EL Stand

20 Maßnahmenkatalog Organisation M G 5.88 Missbrauch aktiver Inhalte Während des Surfens im Internet können WWW-Seiten mit aktiven Inhalten auf den Anwenderrechner geladen werden (z. B. ActiveX oder Java-Applets). Diese Software kann gezielt zu dem Zweck erstellt worden sein, dass sie vertrauliche Daten des Benutzers ausspioniert und anschließend so ausgespähte Informationen an den Angreifer über das Internet zurückgibt. Ein Java-fähiger Browser erlaubt es dem Benutzer, Java-Applets vom Netz zu laden und auszuführen, ohne dass der Benutzer das Applet erkannt hat. Dies stellt Java-Benutzer vor bedeutende Sicherheitsrisiken: - Ein Java-Applet kann Standardnetzprotokolle (wie zum Beispiel SMTP) benutzen, um Daten vom Rechner des Benutzers aus zu verschicken. - Ein Java-Applet kann das Java-System angreifen, indem es dessen Speicher korrumpiert, oder es kann das darunterliegende Betriebssystem angreifen, indem es Dateien fälscht oder wichtige Prozesse beendet. - Ein Java-Applet kann den gesamten Speicher des Systems belegen oder hochprioritäre Nachrichten erzeugen. Der Verfügbarkeitsangriff ist auch bei der korrekten Interpretation des Java- Sicherheitsmodells möglich. Bei ActiveX ist anders als bei Java die Funktionsvielfalt kaum eingeschränkt: Bis hin zur Formatierung der Festplatte kann ein ActiveX-Programm alle Befehle enthalten. Diese kleinen ausführbaren Codes nennt man Controls. Die meist zur Illustration oder Unterhaltung verteilten Controls können auch böswillige Elemente besitzen, die dann Zugriff auf den Datenspeicher des Anwenderrechners haben oder andere Programme - für den Benutzer unbemerkt - fernsteuern. ActiveX-Controls können die Festplatte löschen, einen Virus oder ein Trojanisches Pferd enthalten oder die Festplatte nach bestimmten Informationen durchsuchen. All dies kann passieren, ohne dass der Nutzer bzw. Betrachter des Controls dies bemerkt. Während der Betrachter ein durch Controls übertragenes Spiel ausführt, kann im Hintergrund dieses Control die nach bestimmten Informationen durchsuchen. Bei entsprechender Voreinstellung seines WWW-Browsers kann ein Benutzer zwar dafür sorgen, dass nur digital signierte ActiveX-Controls ausgeführt werden. Eine solche digitale Signatur beweist allerdings nur, dass der Hersteller des ActiveX-Controls bei einer Zertifizierungsstelle bekannt ist und dass das von diesem Hersteller bereitgestellte Control unverändert geladen wurde. Hierdurch wird nichts über die Funktionsweise oder Schadensfreiheit eines solchen Controls ausgesagt und auch keine Gewähr dafür übernommen. IT-Grundschutz-Kataloge: 10. EL Stand