Orientierungshilfe zu
Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet

1. Einleitung

2

VORBEREITUNG UND PLANUNG

Grundlage für eine datenschutzgerechte Nutzung des Internet ist eine genaue Planung der Internet-Aktivitäten einer Verwaltung. Je nach dem Informations- und Kommunikations-Bedarf ist eine der möglichen Nutzungsarten unter Berücksichtigung einer der Anschlußmöglichkeiten vorzusehen. Es bedarf einer genauen Analyse sowohl dieses Bedarfs als auch der mit der jeweiligen Anschlußart verbundenen Risiken.

 
2.1  Nutzungs- und Anschlußmöglichkeiten

 
2.1.1  Nutzungsarten

Grundsätzlich sind drei verschiedene Konstellationen der Internet-Nutzung einer Behörde zu unterscheiden:

1. Eine Behörde nutzt einen Internet-Zugang nur, um Informationen im Internet suchen zu können, und/oder
2. eine Behörde stellt eigene Informationen im Internet zum (potentiell weltweiten) Abruf zur Verfügung (wobei im Internet von Informationsanbietern erwartet wird, daß sie auch per E-Mail erreichbar sind (siehe 3.)) oder
3. eine Behörde stellt eigene Informationen im Internet zum Abruf zur Verfügung und bietet zusätzlich die Interaktion mit Bürgern und Bürgerinnen, z.B. per E-Mail, an.

 
2.1.2  Anschlußarten

Die Anschlußarten an das Internet können in drei verschiedene Szenarien unterteilt werden, die unterschiedliche Sicherheitsrisiken mit sich bringen:

 
2.1.2.1  Direktanschluß eines Rechners an das Internet

Hier wird ein einzelner nicht lokal vernetzter Rechner per Modem und Telefonleitung über einen Provider (dies kann ein verwaltungsinterner oder ein externer sein) an das Internet angeschlossen (Abbildung 2.1). Diese Variante spielt besonders bei kleinen Behörden und im privaten Bereich eine große Rolle. Bei eventuellen Angriffen besteht ein Sicherheitsrisiko nur für den einzelnen Rechner. Es läßt sich durch entsprechende Maßnahmen reduzieren (z.B. ausschließliche Verwendung des Rechners für den Zugang zum Internet; sicherstellen, daß Ressourcen des Rechner - wie etwa Festplattenverzeichnisse - nicht für den Zugriff über das Netz freigegeben sind).

Abbildung 2.1:  Direktanschluß eines Rechners an das Internet

 
2.1.2.2  Zentrale Kopplung eines lokalen Netzes an das Internet

Hier hat der Rechner (evtl. über ein LAN oder aber direkt per Modem oder ISDN) einen Zugang zum Intranet der Verwaltung. Von dort besteht ein einziger zentraler Zugang zum Internet (Abbildung 2.2). Eventuelle Angriffe aus dem Internet können bereits an der zentralen Übergangsstelle vom Internet zum Intranet zum großen Teil abgefangen werden. Der Rechner bzw. das LAN ist zusätzlich aus dem Intranet heraus angreifbar.

Abbildung 2.2:  Zentrale Kopplung eines lokalen Netzes an das Internet

 
2.1.2.3  Dezentrale Zugänge zum Internet

Neben einem direkten Internet-Anschluß über einen Provider verfügt der Rechner gleichzeitig über eine Verbindung zu einem Intranet, (Abbildung 2.3). Bei eventuellen Angriffen besteht nicht nur ein Sicherheitsrisiko für den an das Internet angeschlossenen Rechner, sondern auch für das LAN, in dem sich der Rechner befindet und dem Intranet. Daher ist von dieser Konstellation generell abzuraten.

Abbildung 2.3:  Dezentraler Anschluß eines lokal vernetzten Rechners an das Internet

 
2.2  Kommunikations- und Risikoanalyse

Vor einem Anschluß an das Internet ist eine Analyse des Kommunikationsbedarfs durchzuführen. Bei der Beurteilung der Erforderlichkeit eines Internet-Anschlusses ist ein strenger Maßstab anzulegen. Auch wenn die Erforderlichkeit bejaht wird, ist zu prüfen, ob der Verwendungszweck nicht schon durch den Anschluß eines isolierten Rechners erreicht werden kann.

Die Art des zu realisierenden Zugangs hängt wesentlich davon ab, welche Dienste des Internet genutzt werden müssen. Bei der Beurteilung der Erforderlichkeit ist ebenfalls ein strenger Maßstab anzulegen. Dabei ist zu unterscheiden zwischen Diensten, die von lokalen Benutzern im Internet abgerufen werden, und Diensten, die von lokalen Rechnern für Benutzer im Internet erbracht werden. Diese Kommunikationsanforderungen müssen auf Grund der unterschiedlichen Aufgaben sowohl für den zentralen Zugang zum Internet als auch für jeden einzelnen Rechner analysiert werden.

Ausgangspunkte einer derartigen Analyse sind der Schutzbedarf der zu verarbeitenden Daten und die Sicherheitsziele der öffentlichen Stelle sowie die Risiken der unterschiedlichen Dienste.

In Anlehnung an die Empfehlungen des BSI-Grundschutzhandbuchs [LINK] sind im Rahmen einer Risikoanalyse zur Feststellung des Schutzbedarfs folgende Fragen zu beantworten:

• Welche Datenpakete dürfen auf der Grundlage welchen Protokolls bis zu welchem Rechner im Netz weitergeleitet werden?
• Welche Informationen sollen nicht nach außen gelangen?
• Wie können z. B. die interne Netzstruktur und Benutzernamen nach außen unsichtbar gemacht werden?
• Welche Authentisierungsverfahren sollen benutzt werden; sind benutzerspezifische Authentisierungsverfahren notwendig?
• Welche Zugänge werden benötigt (z.B. nur über einen Internet-Service-Provider)?
• Welche Datenmengen werden voraussichtlich übertragen?
• Welche Rechner mit welchen Daten befinden sich im Netz, die geschützt werden müssen?
• Welche Nutzer gibt es im Netz, und welche Dienste sollen dem einzelnen Nutzer zur Verfügung gestellt werden?
• Welche Aktivitäten im Netz sollen protokolliert werden? (Dabei werden ggf. Fragen des Arbeitnehmerdatenschutzes tangiert)
• Welche Dienste sollen auf keinen Fall genutzt werden?
• Wird sichergestellt, daß nur die Dienste genutzt werden können, die ausdrücklich freigegeben worden sind (was nicht erlaubt ist, ist verboten)?
• Welcher Schaden kann im zu schützenden Netz verursacht werden, wenn Unberechtigte Zugang erhalten?
• Welche Restrisiken verbleiben, wenn die vorgesehenen Schutzmaßnahmen realisiert wurden?
• Welche Einschränkungen würden Benutzer durch den Einsatz von Schutzmaßnahmen akzeptieren?

 
2.3  Sicherheitsrisiken und Schutzmaßnahmen

Mit dem Zugang zum Internet sind Risiken verbunden, die großenteils daraus resultieren, daß das Datennetz nicht unter Sicherheitsaspekten entwickelt wurde. Schwächen finden sich in den Protokollen für die Datenübertragung, in den Implementierungen und Installationen der Programme für die Internet-Dienste und in den angeschlossenen Rechnersystemen. So stellt das zugrunde liegende Protokoll beispielsweise keine sicheren Mechanismen zur Identifikation und Authentisierung bereit.

Die nachfolgend dargestellten Sicherheitsrisiken spiegeln lediglich einen kleinen Ausschnitt der möglichen Angriffe auf Rechnersysteme mit Internet-Anschluß wider. Selbst wenn Gegenmaßnahmen gegen die bekannten Gefährdungen getroffen werden, läßt sich ein hundertprozentiger Schutz ohne Verzicht auf die Internet-Anbindung nicht realisieren. Sobald ein Computer Zugang zu einem Datennetz hat, ist er von anderen angeschlossenen Rechnern aus erreichbar. Damit wird das eigene System der Gefahr eines unberechtigten Gebrauches ausgesetzt. Es gibt jedoch eine Reihe von Schutzvorkehrungen, um das Sicherheitsrisiko zu minimieren.

 
2.3.1  Protokollimmanente Sicherheitsrisiken

Bei vielen gängigen Diensten werden die Inhaltsdaten im Klartext über das lokale Netz (z.B. Ethernet) und über das Internet übertragen. Mit Programmen, die unter der Bezeichnung LAN-Analyzer bekannt sind (wie z.B. Packet Sniffer), kann der Datenverkehr im Netz bzw. auf den Netzknoten belauscht und nach interessanten Informationen durchsucht werden.

Datenpakete können nicht nur abgehört, sondern auch manipuliert werden, z.B. lassen sich die IP-Adressen von Sender und Empfänger fälschen, die TCP Sequence Number von Paketen kann häufig vorhergesagt werden, und der Übertragungsweg ist bei dynamischem Routing modifizierbar. Pakete können abgefangen werden, so daß sie nicht an ihrem Ziel ankommen; ein Angreifer kann sie durch eigene Pakete ersetzen. Weiterhin läßt sich die Kommunikation eines autorisierten Nutzers mitschneiden und später wiedereinspielen (Replay Attack), wodurch sich der Angreifer bei vielen Diensten die Rechte des Nutzers verschafft (z.B. beim Festplattenzugriff über NFS (Network File System)).

Bei vielen Internet-Diensten erfolgt die Authentisierung der Rechner lediglich über die IP-Nummer des Nutzers. Dies kann sich ein Angreifer zunutze machen, indem er IP-Pakete mit gefälschten Absenderadressen (IP-Spoofing) ans fremde Rechnersystem schickt. Sofern das System die IP-Adresse für vertrauenswürdig hält, wird dem Eindringling ein Zugang, unter Umständen sogar mit unbeschränkter Administratorberechtigung, gewährt.

Angriffe mit gefälschten Paketen von ARP (Address Resolution Protocol) oder ICMP (Internet Control Message Protocols) basieren ebenfalls darauf, daß sich Rechner allein durch ihre IP-Adresse als legitimer Absender ausgeben können. So kann ein Angreifer bei einem Mißbrauch von ARP die IP-Adresse eines anderen Benutzers in einem lokalen Netz übernehmen und damit selbst Verbindungen herstellen oder die Erreichbarkeit des anderen Rechners vollständig verhindern. Auch Firewalls, die aufgrund von IP-Adressen entscheiden, ob eine Verbindung zulässig ist, lassen sich dadurch täuschen. Bei ICMP-Angriffen werden gefälschte Statusmeldungen verschickt, die beispielsweise eine Umleitung der Pakete über einen Router des Angreifers bewirken oder die gesamte Kommunikation eines Rechners nach außen verhindern (Denial of Service Attack). Der "Ping of Death" ist ein besonderer ICMP-Angriff, bei dem zu große Pakete beim Empfänger einen Überlauf des Empfangspuffers verursachen und den Rechner zum Absturz bringen. Ein ähnlicher Effekt wird bei vielen Windows-Rechnern durch das Senden spezieller Pakete (Out-of-Band (OOB)) bevorzugt auf den Port 139 erreicht. Gegen diesen Winnuke-Angriff können einige Windows-Versionen durch Patches geschützt werden.

Durch den "TCP Syn Flood"-Angriff können ebenfalls Rechner blockiert werden. Dabei wird ein WWW-Server mit einer großen Anzahl von IP-Paketen mit ungültigen Absenderadressen bombardiert, auf die das System vergeblich zu antworten versucht. Dadurch kann der ganze Server über einen längeren Zeitraum lahmgelegt werden.

 
2.3.2  Dienstespezifische Sicherheitsrisiken

 
2.3.2.1  E-Mail und Usenet-News

Elektronische Post (E-Mail) kann mitgelesen werden, sofern sie nicht verschlüsselt ist. E-Mails und News-Artikel ohne eine digitale Signatur lassen sich leicht verändern oder fälschen. Über den elektronischen Postweg können - wie bei einem Transfer per Diskette - Programme und Textdokumente mit Viren ins System gelangen. Selbst ein automatisches Durchsuchen der Nachrichten nach Viren bietet keinen vollständigen Schutz.

Sendmail, das auf UNIX-Rechnern am häufigsten eingesetzte Programm zum Verschicken elektronischer Post, weist eine ganze Reihe von Sicherheitslücken auf, die zu einer Zugangsmöglichkeit mit Administratorrechten führen können.

 
2.3.2.2  Telnet

Ist der Telnet-Dienst nicht eingeschränkt, sondern von beliebigen Adressen aus zu beliebigen Ports auf dem eigenen Rechner möglich, wird die Zugangskontrolle gefährdet. Selbst wenn sich ein Angreifer keinen Zugang mit Administratorrechten verschaffen kann, gelingt es ihm häufig, einen nichtprivilegierten Account auf dem Rechner zu nutzen. Dieser Account kann dann als Ausgangsbasis für den Angriff auf weitere Rechner verwendet werden.

Mit Hilfe verschiedener Programme (wie z.B. das Cracker-Tool "Juggernaut") können mittlerweile Telnet-Verbindungen "entführt" werden, d.h. der Angreifer kann damit nicht nur Paßwörter mitlesen, sondern auch in die Verbindung eingreifen, den ursprünglichen Benutzer abhängen und statt dessen sich selbst einklinken. Ähnliche Sicherheitsrisiken bestehen für "R-Utilities" wie rlogin.

 
2.3.2.3  FTP

Schlecht gewartete FTP-Server stellen ein Risiko dar, da in älteren Versionen bestimmter FTP-Server (ftpd) Sicherheitslücken existieren, die zur Erlangung von Administratorrechten führen können. Besondere Vorsicht ist geboten, da viele Beschreibungen zur Installation und Konfiguration von Anonymous-FTP-Servern sicherheitsrelevante Fehler enthalten. Bei Fehlkonfigurationen kann es einem Angreifer gelingen, die Datei mit den verschlüsselten Paßwörtern aller Benutzer auf seinen Rechner zu laden und dort in aller Ruhe zu entschlüsseln. Läßt man zu, daß Benutzer eines FTP-Servers anonym eigene Dateien in Verzeichnissen ablegen können, wo andere sie sich holen können, kann sich der FTP-Server schnell zu einem Umschlagplatz von Raubkopien entwickeln.

 
2.3.2.4  WWW

Gefährdungen entstehen bei WWW-Servern durch fehlerhafte Software oder Konfigurationen. Ohne den Einsatz von SSL (Secure Socket Layer) oder anderen Verschlüsselungen läßt sich die Kommunikation abhören. Außerdem können Skripte zur dynamischen Generierung von Dokumenten Sicherheitslücken aufweisen.

Ende 1996 wurde die Angriffsmethode Web-Spoofing bekannt, bei dem ein Angreifer seinen Server zwischen das eigentliche Zielsystem und den Rechner des Benutzers schaltet. Der Angreifer erstellt auf seinem System eine täuschend echte Kopie der Daten, die er komplett kontrollieren und für seine Belange modifizieren kann. Danach hat er nach Belieben die Möglichkeit, vom Benutzer verschickte Informationen abzufangen oder zu manipulieren.

 
2.3.2.5  DNS

Mit Hilfe des Domain Name Service (DNS) lassen sich Rechnernamen in IP-Adressen umsetzen und umgekehrt. Dabei besteht die Gefahr, daß Informationen über die Struktur des internen Netzes nach außen gelangen. Auch beim DNS gibt es mittlerweile die Angriffsmethode des Spoofing. Mit gefälschten Informationen im DNS können Datenströme in beliebige Bahnen gelenkt werden, wenn der Benutzer statt der numerischen IP-Adresse den leichter zu merkenden Rechnernamen angibt.

 
2.3.2.6  Finger

Die Daten, die der Finger-Dienst ausgibt, können einem Angreifer Informationen über die Nutzerkennungen auf dem System liefern, die gezielt für einen Angriff genutzt werden können. Berühmt geworden ist dieser Dienst 1988 durch den sogenannten Internet-Wurm. Dabei handelte es sich um ein Angriffsprogramm, das ausnutzte, daß die beim Aufruf von Finger übergebenen Parameter in einen Puffer fester Länge geschrieben wurden. Die Daten, die nicht mehr in den Puffer paßten, überschrieben den Stack im Arbeitsspeicher, wo sie als Programmcode behandelt und ausgeführt wurden (Buffer Overflow Bug). Bei geschickter Wahl der übergebenen Zeichenreihe kann so beliebiger Code zur Ausführung kommen. Ähnliche Programmierfehler finden sich auch heute noch in vielen anderen Serverprogrammen.

 
2.3.2.7  SNMP

Mit Hilfe des Simple Network Management Protocol-Dienstes können Netzwerkkomponenten von zentraler Stelle aus verwaltet werden. Dazu können Informationen über die Konfiguration und den Betriebszustand der Komponenten abgefragt und verändert werden. Dies bietet dem Angreifer u.U. wertvolle Hinweise über die eingesetzte Hard- und Software, die für weitergehende Attacken ausgenutzt werden können.

Besondere Bedeutung kommt dabei den sog. Community Strings zu, die eine einfache Form der Authentisierung bei SNMP darstellen. Häufig ist bei Auslieferung der Community String "public" eingestellt, der einen unberechtigten Zugriff auf den Dienst sehr erleichtert.

 
2.3.3  Aktive Inhalte/Aktive Elemente

 
2.3.3.1  ActiveX

ActiveX ist eine Entwicklung der Firma Microsoft. Es steht für eine Reihe von Technologien, die dafür sorgen, daß Windows-Anwendungen mit dem Internet oder Intranet zusammenarbeiten. WWW-Seiten können mit dieser Technologie um eine Vielzahl von multimedialen Effekten, unterschiedlichen Layouts und ausführbaren Applikationen, die über das Internet geladen werden, erweitert werden. Die Technologie besteht im wesentlichen aus folgenden Elementen: ActiveX-Controls, Active Documents und Active Scripting.

ActiveX-Controls sind Programme, die auf einer WWW-Seite dargestellt oder als eigene Programme aufgerufen werden können. Active Documents ermöglicht die Anzeige und Betrachtung von Nicht- HTML-Dokumenten (z.B. Word oder Excel) innerhalb eines Browsers. ActiveX Scripting ermöglicht das Verwalten und die Kommunikation von ActiveX-Controls, beinhaltet einen Java-Compiler und ist eine Umgebung zur serverseitigen Nutzung von ActiveX-Controls. Eine ActiveX-Sicherheitsarchitektur gibt es nicht. Die vorhandenen Sicherheitsmechanismen bieten kein in sich konsistentes Sicherheitssystem. Microsoft setzt auf die Nachvollziehbarkeit der Herkunft der heruntergeladenen Codes durch Codesignierung. Für die Codesignierung setzt Microsoft die selbstentwickelte Authenticode Technologie ein. Sie beruht auf einer digitalen Signatur und erlaubt neben der sicheren Identifikation des Absenders den Nachweis der Echtheit der übertragenen Codes. Dieses Verfahren macht aber keine Aussage über die Funktionsweise der Software selbst und ob sie gewollt oder ungewollt (Programmierfehler) schadensstiftende Wirkung entfalten kann. Microsoft arbeitet mit der Firma Verisign als Zertifizierungsstelle zusammen und vergibt zwei unterschiedliche Zertifikate: Individualzertifikate und kommerzielle Zertifikate. Es existiert ein mehrstufiges Sicherheitssystem im Zusammenspiel von ActiveX und den unterschiedlichen Browsern. Neben der Möglichkeit, die ActiveX-Funktionalität (gilt für alle Browser) abzuschalten, besteht auch die Option, im Internet-Explorer einen Sicherheitslevel (hoch, mittel und niedrig) vorzugeben. Bei einem hohen Sicherheitslevel werden nur zertifizierte ActiveX-Controls akzeptiert. Bei einem mittleren Level müssen nicht zertifizierte ActiveX-Controls explizit freigegeben werden. Ein niedriger Level bietet gar keinen Schutz. Eine weitere Möglichkeit sich zu schützen bieten ActiveX-Filter, die Listen mit Servern definieren, von denen ActiveX-Komponenten akzeptiert werden. Der Einsatz des Internet-Explorer-Administration-Kit (IEAK) ermöglicht die Erstellung von spezifisch angepaßten Internet-Explorern.

ActiveX-Komponenten stellen, da sie keinerlei Einschränkungen bzgl. der Windows- und System-Funktionalität unterliegen, ein immenses Sicherheitsrisiko dar. Folgende Sicherheitsrisiken sind bisher bekannt: Ausforschung von Nutzern und Computersystemen, Installieren und Ausführen von Viren und Trojanischen Pferden, Beschädigung von Systemressourcen und Überlasten des Systems. Aus Sicherheitsgründen empfiehlt es sich daher, die ActiveX-Unterstützung gänzlich abzuschalten.

Abschließend sei noch auf die unzureichenden Sicherheitsmechanismen der Betriebssystemplattformen hingewiesen. Die Plattform Windows 95 verfügt über keinerlei eingebaute Sicherheitsmechanismen zur Abwehr von Angriffen, und unter Windows NT laufen ActiveX-Controls im Rechteraum (mit den Zugriffsrechten) des gerade angemeldeten Benutzers.

 
2.3.3.2  Java

Java ist eine ojektorientierte Programmiersprache, die unabhängig von der jeweiligen Systemplattform nutzbar ist. Sie wurde von SUN Microsystems entwickelt. Java bietet die Möglichkeit, Stand-Alone-Anwendungen (Java-Applikations) sowie Anwendungen für das WWW (Java-Applets) zu schreiben. Java-Applets können in HTML-Seiten integriert, über das Internet angefordert und auf beliebigen Rechnern ausgeführt werden, ohne daß der Entwickler die lokale Umgebung des Anwenders kennen muß. Einzige Bedingung für die Lauffähigkeit ist die Verfügbarkeit der JVM (virtuelle Java Maschine) auf der Plattform. Java verfügt über ein integriertes Sicherheitssystem. Das Sandbox-System ist mehrstufig bezogen auf die vier Softwareebenen, die bei der Herstellung und Ausführung von Java-Funktionen beteiligt sind:

1. Programmiersprache Java,
2. Virtuelle Java Maschine,
3. Lader für Java-Klassen und
4. Java Bibliotheken.

Applets können im Standardfall auch nur definierte Systemeigenschaften (z.B. Betriebssystem NT) lesen. SUN bietet in neueren Versionen die Möglichkeit mit signierten Applets zu arbeiten. Die Applets werden zertifiziert und mit einer digitalen Signatur versehen, bevor sie im Netz zur Verfügung gestellt werden. Somit kann der Client die Authentifikation und die Herkunft prüfen. Die Signierung sagt nichts über die Funktionalität des Programmes. Die Java-Spezifikation bietet mit ihren durchdachten Mechanismen eine ausreichende Sicherheit, aber durch Implementierungsfehler wurden Angriffe durch Java-Applets möglich. Hier muß man unterscheiden zwischen Angriffen, die das System und seine Ressourcen modifizieren (durch Programmier- und Implementationsfehlern in den Ablaufumgebungen) oder die eine weitere Nutzung des Systems verhindern (Überlasten des Systems) oder die Nutzer ausforschen oder belästigen.

Um sich vor Angriffen zu schützen, bieten sich mehrere Optionen an. Zusätzlich zu dem eigenen Sicherheitssystem können noch folgende Maßnahmen ergriffen werden. Man kann im Browser die Java-Funktionalität abschalten. Einen weiteren Schutz bieten Java-Filter, die Listen mit Servern definieren, von denen Java-Applets akzeptiert werden. In neueren Browser-Versionen ist das Arbeiten mit signierten Applets möglich.

 
2.3.3.3  JavaScript

JavaScript ist eine von der Firma Netscape Communication entwickelte Skriptsprache, die plattformunabhängig ist. Sie wird direkt in die HTML-Seiten eingebettet und über einen Interpreter interpretiert und ausgeführt. Die Motivation für die Entwicklung von JavaScript waren die Unzulänglichkeiten der vorhandenen Techniken (HTML und CGI) für Benutzer-Interaktivitäten. Jede Interaktion mußte an den Server gesendet werden, um mit Hilfe des CGI-Programmes Plausibilitätsprüfungen durchzuführen. Durch den Einsatz von JavaScript wurde die Anzahl der notwendigen Verbindungen zum Server drastisch verringert. Dynamisch zur Laufzeit können mit JavaScript beispielsweise Eingaben überprüft oder auch Berechnungen durchgeführt werden. Außerdem lassen sich wichtige Funktionen des Browsers, wie Öffnen und Schließen von Fenstern, Manipulieren von Formularelementen und das Anpassen von Browser-Einstellungen verwirklichen. Ein Zugriff auf Dateisysteme auf anderen Rechnern ist nicht möglich. Netscape bietet die Möglichkeit, mit zertifizierten JavaScript-Codes zu arbeiten. Es wurden jedoch Sicherheitsprobleme in zwei Bereichen bekannt, zum einen in der Ausforschung von Nutzern und Computersystemen und zum anderen in der Überlastung von Rechnern. Hier muß man unterscheiden zwischen Angriffen, die das System und seine Ressourcen durch Programmierfehler und Implementierungsfehler in den Ablaufumgebungen modifizieren oder eine weitere Nutzung des Systems - vorsätzlich erzeugt oder ungewollt durch Programmierfehler - verhindern oder die das Lesen von fremden Nachrichten, Ändern von Nachrichten und Verschicken von Texten ermöglichen. Die meisten Sicherheitslöcher sind implementierungsabhängig.

 
2.3.3.4  Plug Ins

Browser Plug Ins sind auf dem Client laufende Software Module, die den Funktionsumfang des Browsers erweitern und beispielsweise die Darstellung von Audio- und Videodaten erlauben. Plug Ins sind plattformabhängig, belegen lokalen Plattenspeicher und müssen vom Benutzer beschafft und installiert werden.

 
2.3.3.5  Cookies

Cookies (engl. cookie = Keks) sind kleine Datenmengen, die zusammen mit den eigentlich angeforderten Daten aus dem Internet an den Computer des Benutzers übermittelt werden. Dort werden diese Daten gespeichert und für einen späteren Abruf bereitgehalten. Dadurch wird im einfachsten Fall ein wiederholter Zugriff eines bestimmten Benutzers (exakt: des Browsers auf dem Computer, den er verwendet) auf das Internet-Angebot erkennbar, doch die Anwendungsmöglichkeiten gehen weit über diese Feststellung hinaus.

Typischerweise werden Cookies eingesetzt, damit der Nutzer das Angebot des angewählten Webservers auf seine persönliche Belange hin abstimmen kann, bzw. um dem Webserver zu ermöglichen, sich selbsttätig auf die (vermuteten) Bedürfnisse des Nutzers einzustellen. Ein Betreiber von WWW-Diensten kann jedoch aus geeignet gewählten und eingerichteten Cookies ein Nutzungsprofil erstellen, das vielfältige Auskunft über den Benutzer gibt und ihn so als geeignete Zielperson (z.B. für Werbebotschaften) identifiziert, die in WWW-Seiten eingeblendet werden. Eine Manipulation des Computers über die Speicherung und Abfrage der Cookie-Daten hinaus ist mit dem Cookie-Mechanismus selbst nicht möglich. Da die Cookie-Informationen, die auch benutzerbezogene Paßwörter für Web-Seiten umfassen können, jedoch in einer Datei im Dateisystem auf dem Rechner gespeichert werden, kann ein Unberechtigter beispielsweise mit Hilfe von ActiveX-Controls (siehe Abschnitt 2.3.3.1) darauf zugreifen.

Problematisch sind Cookies trotzt dieses vergleichsweise geringen Gefährdungspotentials für die Computersicherheit aufgrund ihrer geringen Transparenz für den Benutzer. Der Datenaustausch mittels Cookies erfolgt vollkommen im Hintergrund zwischen den beteiligten Computern, ohne daß der Benutzer über Inhalte, Zweck, Umfang, Speicherdauer oder Zugriffsmöglichkeiten auf die Cookie-Daten informiert wird, sofern er keine besonderen Maßnahmen ergreift. Diese Parameter sind innerhalb der Cookies selbst festgelegt und werden somit allein vom Betreiber des WWW-Servers bestimmt; der Internet-Nutzer hat hierauf im normalen Betrieb keinen Einfluß. Es hängt wesentlich von der Initiative des Nutzers und seiner technischen Kenntnis und Ausrüstung ab, ob er Cookies bemerkt und sich ggf. vor ihnen schützen kann.