BONN: Nicht nur unberechtigte Datenzugriffe, auch vordergründig legitimierte Datentransaktionen können Risikopotentiale bergen. Die Rede ist von sogenannten Executable Contents, in Internet-Seiten eingebettete Programme, die in der Regel mit Java-Technologien oder Active X realisiert werden. Eine im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erstellte Studie deckt große Sicherheitsdefizite auf.Die Zahl der Internet-Benutzer steigt dramatisch, parallel wächst die Zahl derjenigen, die das Know-how und den Willen besitzen, Schaden anzurichten. Mit der Entwicklung des Internet entstanden neue Formen der Kommunikation im World Wide Web. Sogenannte Executable Contents, in Internet Dokumente eingebettete Programme, ermöglichen heute ein höheres Maß an Dynamik und Flexibilität als traditionelle HTML-Seiten und eröffnen neue Anwendungsmöglichkeiten, beispielsweise im E-Commerce.
Mit verbrecherischer Absicht manipulierte Inhalte stellen mittlerweile ein erhebliches Bedrohungspotential dar. Eine vom BSI in Auftrag gegebene Studie analysierte jetzt Java und Active X hinsichtlich der Wirksamkeit ihrer Sicherheitsansätze. Das Ergebnis der Sicherheitsstudie ist wenig erfreulich.
Obwohl Java im Vergleich mit Active X als Punktsieger hervorgeht, bieten beide Technologien nach Ansicht der Experten nur einen ungenügenden Schutz vor den unerwünschten Nebenwirkungen ausführbarer Web-Inhalte. Im globalen Internet mit unbeschränktem Zugang sind diese Techniken alleine nicht geeignet, einen umfassenden Sicherheitsstandard zu bieten.
Einheitlicher Standard für signierte Applets
Prinzipiell ist Java die Technologie, die das kleinste Restrisiko birgt. Die Ausführung von Applets untersteht einer strengen und restriktiven Laufzeitkontrolle, die das Gros der kritischen Fälle abwehrt. Probleme bereitet allerdings das Einbetten von C/ C++-Code in Java-Applets. Active X ermöglicht durch fehlende Laufzeitüberprüfung beliebige Zugriffe auf Ressourcen und Netzwerk. Kommt ein Control zur Ausführung, ist das System nach Meinung der Verfasser schutzlos. Beide Technologien zeichnen sich darüber hinaus durch schlechte Administrierbarkeit hinsichtlich der Sicherheitspolitik aus, da diese im Regelfall auf jedem Rechner separat konfiguriert werden muß.
Es gibt viel zu tun, lautete demzufolge das Resümee der Experten. Als unerläßlich betrachten sie eine Einigung der Browser-Anbieter auf einen einheitlichen Standard für signierte Applets. Ob dies in absehbarer Zeit geschieht, erscheint den Verfassern der Sicherheitsstudie aufgrund der Konkurrenzsituation der maßgeblichen Anbieter Microsoft und Netscape mehr als fraglich. Sicherheit und Stabilität werden ihrer Ansicht nach eindeutig Marketingstrategien untergeordnet.
Die komplette Studie, sowie weitere Hinweise zum Thema Netzwerksicherheit beinhaltet die BSI-Homepage unter www.bsi.bund.de/aktuell. (sd)
Das BSI ist im Auftrag des Staates unterwegs, die Sicherheit in der IT-Branche zu erhöhen.