Die Verwendung aktiver Inhalte (z. B. JavaScript, Java-Applets, ActiveX-Controls) auf immer mehr Webseiten zwingt den Nutzer zur Freischaltung im Browser. Damit sind Gefahren verbunden, die zu erheblichem Schaden führen können [1]. Ein wesentliches Problem besteht darin, dass über den Einsatz aktiver Inhalte auf Anbieterseite entschieden wird, der Schaden jedoch auf Anwenderseite entsteht. Dieser Situation ist der Anwender aber nicht hilflos ausgeliefert, denn es gibt Lösungen zur "sicheren" Nutzung von aktiven Inhalten.
Zunächst stellt sich die Frage, worauf sich "Sicherheit" in diesem Zusammenhang bezieht: Hier geht es nicht um die Daten der Web-Anwendung, bei der aktive Inhalte eingesetzt werden, sondern um den Schutz der – in der Regel vertraulicheren – Systeme und Daten, die bereits im Hausnetz vorhanden sind. Den Überlegungen zur Sicherheit liegt die Vorstellung zugrunde, dass aktive Inhalte von beliebigen Servern im Internet – insbesondere auch aus "verseuchten Quellen" – zusammen mit Webseiten heruntergeladen werden.
Vom sicherheitstechnischen Standpunkt aus lassen sich drei Ansätze zum Umgang mit aktiven Inhalten unterscheiden: Vermeidung, Isolation und Vertrauen (vgl. Abb. 1). Am sichersten ist die Vermeidung, bei der aktive Inhalte nicht ausgeführt werden. Das schließt allerdings auch deren Nutzung aus. Im Falle ihrer Isolation bleiben aktive Inhalte mit einem gewissen Aufwand nutzbar. Mit Isolation ist die dauerhafte Separation der aktiven Inhalte von sensitiven Daten, Anwendungen, Bereichen oder Ähnlichem gemeint. Speicherung und Ausführung aktiver Inhalte erfolgen dabei in einer nichtsensitiven IT-Umgebung. Der dritte Ansatz besteht in einer – wie auch immer gearteten – Herstellung des Vertrauens zu aktiven Inhalten. Sie werden ohne Einschränkung der Nutzbarkeit in der regulären IT-Umgebung gespeichert und ausgeführt.
Abbildung 1: Ansätze zum Umgang mit aktiven Inhalten
Werden die Ansätze Isolation und Vertrauensherstellung kombiniert, entsteht der abgeleitete Ansatz der "Quarantäne". Hierunter versteht man die vorübergehende Separation aktiver Inhalte. Sie werden erst nach einer intensiven Prüfung der Vertrauenswürdigkeit in die normale IT-Umgebung "entlassen". Der Kombination von Isolationsmechanismen mit Methoden zur Vermeidung aktiver Inhalte innerhalb des sensitiven Bereichs kommt in der Praxis große Bedeutung zu. Die Kombination aus Vermeidung und Vertrauen scheidet aus. Innerhalb des vertrauenswürdigen Produktivnetzes führt die Vermeidung zur vollständigen Unterbindung aktiver Inhalte und kann daher nicht mit einem Vertrauensansatz kombiniert werden.
Eine generelle Aussage über die Sicherheit bei den Ansätzen Isolation und Vertrauen ist im Gegensatz zum Vermeidungsansatz nur schwer möglich. Es kommt auf die Sicherheit der jeweils verwendeten Methoden an (s. Tabelle).
Vor einer Erläuterung der einzelnen Methoden stellt sich die Frage, welche Kriterien zu ihrer Beurteilung herangezogen werden sollen. Unabhängig von den konkreten Anforderungen einzelner Anwender ist im Allgemeinen eine Lösung für den Webzugang gewünscht, die es erlaubt, aktive Inhalte in vollem Funktionsumfang, bequem, sicher und kostengünstig zu nutzen. Dementsprechend ergeben sich vier relevante Beurteilungskriterien:
Unter Web-Funktionalität ist die technische Nutzbarkeit von Webseiten im Browser mit WWW-Zugang zu verstehen. Einerseits kann man grob davon ausgehen, dass bei einer Deaktivierung aktiver Inhalte die Web-Funktionalität umso geringer ist, je mehr aktive Inhalte von den Anbietern eingesetzt werden. Andererseits schränken Webseiten, die zwar aktive Inhalte einsetzen, sich aber auch bei deren Deaktivierung im Wesentlichen nutzen lassen (Webseiten der Risikoklasse 1, s. [2]), die Web-Funktionalität nicht ein.
Mit Bedienungskomfort ist die Bedienbarkeit des Browsers unabhängig von der Nutzbarkeit aktiver Inhalte gemeint. Beispielsweise wird bewertet, ob man den Browser am eigenen Arbeitsplatz oder nur an einem speziellen "Surf-Arbeitsplatz" nutzen kann. Aber auch die Durchführung eines reibungslosen "Copy and Paste" kann eine Rolle spielen.
Wie eingangs erläutert geht es bei der Sicherheit um das – durch aktive Inhalte gefährdete – Sicherheitsniveau des zu schützenden Netzes und damit nicht um die Daten der Webanwendung. Die in der Tabelle verwendeten Sicherheitseinstufungen sollten nicht darüber hinwegtäuschen, dass die Methoden allenfalls für Netze geeignet sind, in denen unter Einhaltung entsprechender Sicherheitsmaßnahmen höchstens Informationen mit dem Geheimhaltungsgrad "VS – Nur für den Dienstgebrauch" (VS-NfD) verarbeitet werden dürfen. Als Ausnahme können bei Methoden mit separatem physischem "Surf-Netz" in dem zu schützenden Netz unter Einhaltung weiterer Sicherheitsmaßnahmen auch Daten mit höherem Geheimhaltungsgrad verarbeitet werden.
Der Realisierungsaufwand umfasst den materiellen und personellen Aufwand für Einrichtung und Unterhalt der jeweiligen Webzugangsmethode. Bei der Suche nach einer konkreten Lösung sollte allerdings auch der Aufwand im Schadensfall berücksichtigt werden. Er hängt vom individuellen Schutzbedarf ab und kann hier nicht pauschal berücksichtigt werden.
Nr. | Vorgehensweise, Methode | Einschätzung bezüglich | |||
---|---|---|---|---|---|
Web-Funktionalität | Bedienungskomfort | Sicherheit | Realisierungsaufwand | ||
Ansatz Vertrauen | |||||
1 | ungeschütztes Surfen | uneingeschränkt | hoch | nicht vorhanden | minimal |
2 | Differenzierung nach Art der aktiven Inhalte | fast uneingeschränkt (variiert) | hoch | sehr niedrig (variiert) | gering |
3 | Differenzierung nach Webseite | eingeschränkt | hoch | niedrig | gering |
4 | funktionale Analyse | eingeschränkt (variiert) | hoch | mittel (variiert) | mittel |
5 | Beschränkung auf signierte aktive Inhalte (zurzeit kaum unterstützt) | deutlich eingeschränkt | hoch | niedrig | gering |
Ansatz Isolation | |||||
6 | speziell gekapselter Browser | uneingeschränkt | mittel | mittel | gering – mittel |
7 | Live-System | uneingeschränkt | niedrig – mittel | mittel – hoch | mittel |
8 | Standalone-PC | uneingeschränkt | niedrig | sehr hoch | mittel |
9 | Internet-PC am Arbeitsplatz, physisches Surf-Netz | uneingeschränkt | mittel – hoch | sehr hoch | sehr hoch |
10 | Internet-PC am Arbeitsplatz, virtuelles Surf-Netz mit VPN | uneingeschränkt | mittel – hoch | hoch | hoch – sehr hoch |
11 | virtueller Rechner am Arbeitsplatz | uneingeschränkt | hoch | hoch | sehr hoch |
12 | ReCoBS: Webzugang mittels gesicherter Terminalserver | uneingeschränkt | hoch | sehr hoch | hoch |
Ansatz Vermeidung | |||||
13 | Deaktivierung im Browser | deutlich eingeschränkt | hoch | sehr hoch | gering – mittel |
14 | zentrales Herausfiltern | deutlich eingeschränkt | hoch | sehr hoch | mittel |
Nachfolgend werden die verbreiteten Vorgehensweisen zum Umgang mit aktiven Inhalten auf der Anwenderseite vorgestellt. Um einen Überblick zu gewinnen, werden auch "unsichere" Methoden genannt. Dies ist insofern sinnvoll, als in einer IT-Umgebung, die keine sensitiven Daten beherbergt und im Wesentlichen der Recherche im Internet dient, eine unsichere, dafür aber kostengünstige Methode die geeignete Lösung sein kann.
Die Einschätzungen hinsichtlich der genannten vier relevanten Beurteilungskriterien können der Tabelle entnommen werden. Eine detaillierte Erläuterung der Einschätzungen würde den Umfang dieses Artikels überschreiten; die Tabelle soll lediglich Tendenzen verdeutlichen.
Läuft der Browser auf dem Arbeitsplatz-PC, lässt sich die Ausführung aktiver Inhalte relativ leicht durch Deaktivierung in den Browser-Einstellungen verhindern. Der Privatanwender führt dies in eigener Verantwortung durch. Für eine Institution kann solch ein dezentraler Ansatz problematisch werden, da es den Anwendern allzu leicht möglich ist, aktive Inhalte zu reaktivieren. Daher sollten die eingesetzten Browser eher zentral konfiguriert werden und durch Einschränkung der Auswahlmöglichkeiten in den Menüs und der Anwenderrechte die Anwender an der Modifikation gehindert werden. Dieses Vorgehen wird auch für alle nachfolgenden Methoden empfohlen, die sich auf Browser-Einstellungen abstützen.
Mithilfe eines Application Level Gateways können aktive Inhalte am zentralen Sicherheitsgateway aus dem Datenstrom herausgefiltert werden (vgl. [3]). An den Browsern sind keine weiteren Änderungen erforderlich. Wie auch schon bei der Deaktivierung im Browser ist durch die vollständige Vermeidung aktiver Inhalte die Web-Funktionalität deutlich eingeschränkt.
Werden auf Anwenderseite keinerlei Schutzmaßnahmen ergriffen ("blindes Vertrauen"), können ohne Aufwand sämtliche aktiven Inhalte uneingeschränkt ausgeführt und genutzt werden. Von Sicherheit kann dann allerdings keine Rede sein.
Browser lassen sich so konfigurieren, dass aktive Inhalte, die als besonders problematisch gelten, wie zum Beispiel ActiveX-Controls, nicht ausgeführt werden. Andere aktive Inhalte könnten jedoch noch genutzt werden. Die Wirksamkeit dieser Methode ist begrenzt, da trotz unterschiedlichen Gefährdungspotenzials mittlerweile für alle Arten aktiver Inhalte Angriffsszenarien mit großem Schaden bekannt sind.
Es ist möglich, aktive Inhalte nur bei ausgewählten Webseiten zuzulassen, denen ein entsprechendes Vertrauen entgegengebracht wird. Dies kann zentral am Sicherheitsgateway oder dezentral erfolgen – wie etwa beim Zonenmodell des Internet Explorers. Da die Anzahl der als vertrauenswürdig eingestuften Webseiten begrenzt sein wird, ist auch die Web-Funktionalität eingeschränkt. Außerdem kann diese Methode zum Beispiel durch Cross-Site-Scripting (s. a. S. 16) vollständig ausgehebelt werden.
Es gibt technische Lösungsansätze, die zentral (z. B. am Sicherheitsgateway) versuchen, das Schadpotenzial von aktiven Inhalten im Datenstrom zu erkennen, und dementsprechend selektiv filtern. Dahinter verbirgt sich das anspruchsvolle Problem der semantischen Analyse aktiver Inhalte, das prinzipiell nur unvollständig gelöst werden kann. Bei dieser Methode variieren Web-Funktionalität und Sicherheit gegensätzlich je nach Güte der selektiven Filterung.
Einige Browser können so konfiguriert werden, dass sie nur die Ausführung signierter aktiver Inhalte zulassen. Entsprechende Implementierungen gibt es für Java-Applets und ActiveX-Controls. Zurzeit ist diese Methode mit drei schwerwiegenden Problemen verbunden: Zum einen werden aktive Inhalte in der Praxis kaum signiert. Zum anderen rechtfertigt die Signatur des Autors nur bedingt ein erhöhtes Vertrauen in den Code. Und zum Dritten kann bei manchen Implementierungen der Code-Autor selbst festlegen, dass signierte Inhalte größere Rechte auf dem Zielsystem haben als unsignierte (vgl. [1]).
Die Kapselung des Browsers auf dem Arbeitsplatz-PC durch spezielle Software kann den unberechtigten Zugriff auf vertrauenswürdige Ressourcen unterbinden. Hier gibt es eine Reihe unterschiedlich sicherer technischer Ansätze, die sich bisher zum Surfen nur begrenzt durchsetzen konnten. Beispiele sind die chroot-Umgebung unter Linux oder der IE-Controller der Zeitschrift c't [4]. Solche gesicherten Umgebungen stellen für Angreifer eine Hürde dar. Auf diese Weise lässt man allerdings aktive Inhalte weit ins Hausnetz vordringen. Außerdem gibt es praktische Beispiele für den Ausbruch aus Browser-Kapselungen.
Ein Live-System ist ein Betriebssystem, das ohne Installation und ohne Beeinflussung der Festplatte direkt von einem Speichermedium (z. B. von CD) gebootet werden kann. Gelingt es, den Festplattenzugriff zuverlässig zu unterbinden, können aktive Inhalte keinen Schaden auf der Festplatte erzeugen und Schadprogramme können sich nicht festsetzen. Nach Abschluss der Surf-Sitzung und erneutem Booten von der Festplatte steht das zu schützende ursprüngliche System wieder zur Verfügung. Individuelle Konfigurationen können mit auf der Live-CD oder auf einem wiederbeschreibbaren Medium (z. B. USB-Stick oder Diskette) abgelegt werden.
Betreibt man den Browser in vollem technischen Funktionsumfang auf einem dedizierten PC, der keine Verbindung zum Hausnetz hat, sind die Daten an den Arbeitsplatz-PC und im Hausnetz gut geschützt. Da ein solcher Standalone-PC in der Regel aber in einem separaten Raum "allein steht", stößt er bei den Anwendern auf geringe Akzeptanz.
Eine aufwändige Variante des Standalone-PC ist der dedizierte Internet-PC an jedem Arbeitsplatz. Die physische Trennung vom Hausnetz erfordert nicht nur die Bereitstellung eines zweiten PC an jedem Arbeitsplatz, sondern auch die eines zweiten Hausnetzes, in dem beliebig gesurft werden kann (Surf-Netz). Ein "Copy and Paste" zwischen beiden Infrastrukturen ist nur bedingt möglich. Vergleichbar zum Einsatz eines dedizierten PC ist der Einsatz einer dedizierten Festplatte, die über eine spezielle Schaltung als einzige Platte im System beim Surfen mit Strom versorgt wird.
Alternativ zum dedizierten physischen Surf-Netz können die unterschiedlichen Datenströme im Hausnetz beispielsweise auch durch ein Virtual Private Network (VPN) voneinander getrennt werden. Beide PC am Arbeitsplatz benutzen das gleiche physische Netz, sind aber an unterschiedliche virtuelle Netze angeschlossen.
Zusätzlich zum Netz lässt sich auch der Internet-PC virtualisieren. Auf dem Host-Betriebssystem des Arbeitsplatz-PC wird ein virtueller Rechner eingerichtet, der den Browser zum freien Surfen kapselt. Die beiden Rechner sind an unterschiedliche logische Netze angeschlossen.
Unter einem Remote-Controlled Browsers System versteht das BSI den Webzugang mithilfe von speziell gesicherten Terminalserver-Systemen. ReCoBS ist ein modularer Bestandteil des Sicherheitsgateways. Dabei laufen die Browser auf einem Terminalserver, der sich außerhalb des Hausnetzes befindet. Dort werden alle Webinhalte ausgeführt, sodass bei Einhaltung entsprechender Sicherheitsanforderungen aktive Inhalte nicht ins Hausnetz gelangen können. Stattdessen werden grafische Informationen an die Arbeitsplätze übermittelt, von wo aus die Browser ferngesteuert werden. Damit erfolgen Ausführung und Darstellung aktiver Inhalte getrennt auf unterschiedlichen Rechnersystemen. Charakteristisch für ReCoBS ist die umfassende Sicherheitskonzeption, sodass ReCoBS weit mehr ist als ein Terminalserver "von der Stange". Der dritte Teil dieser <kes>-Serie wird die Methode ReCoBS in Ausgabe 2006#1 ausführlich vorstellen.
Neben diesen Grundmechanismen sind viele sinnvolle Kombinationen denkbar – etwa für kleinere Institutionen das zentrale Herausfiltern aktiver Inhalte am Sicherheitsgateway mit Bereitstellung von Standalone-PC. Erwartungsgemäß gibt es nicht die allgemein gültige Lösung fürs Webbrowsing. Eine sinnvolle Lösung hängt von den konkreten Anforderungen der Anwender und den Eigenschaften der Methoden ab. Die Anforderungen sollten sich unter anderem aus folgenden Aspekten ergeben:
Je höher der Schutzbedarf der vorhandenen Daten ist, umso stärker sollte der Umgang mit aktiven Inhalten (aus beliebigen Quellen) von den zu schützenden Bereichen separiert werden. Bei geringerem Schutzbedarf kann dafür aus Kostengründen auch ein Vertrauenswürdigkeitsansatz ausreichend sein. Nach einer Lösung für das Problem des Surfens auf beliebigen Webseiten kann als nächster Schritt der Schutz sensitiver Webanwendungen behandelt werden. Hierbei ist neben den genannten Aspekten auch der Schutzbedarf der übertragenen Daten wichtig. Analog gilt: Je höher der Schutzbedarf der übertragenen Daten ist, umso stärker sollte die betroffene Webanwendung vom übrigen Internetverkehr getrennt werden.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#6, Seite 54