Konfigurationsfehler entstehen durch eine falsche oder nicht vollständige Einstellung der Parameter und Optionen, mit denen ein Programm gestartet wird. In diese Gruppe fallen z. B. falsch gesetzte Zugriffsrechte für Dateien. Bei Bedienungsfehlern sind nicht nur einzelne Einstellungen falsch, sondern es werden IT- Systeme oder IT-Anwendungen falsch behandelt. Ein Beispiel hierfür ist das Starten von Programmen, die für den Einsatzzweck des Rechners nicht notwendig sind, aber evtl. von einem Angreifer mißbraucht werden können.
Beispiele für aktuelle Konfigurations- bzw. Bedienungsfehler sind das Speichern von Paßwörtern auf einem PC, auf dem ungeprüfte Software aus dem Internet ausgeführt wird (solche Software wurde z. B. im Frühjahr 1998 für das Ausspähen von T-Online- Paßwörtern eingesetzt), oder das Laden und Ausführen von schadhaften ActiveX-Controls. Diese Programme, die u. a. die Aufgabe haben, WWW-Seiten durch dynamische Inhalte attraktiver zu machen, werden mit den gleichen Rechten ausgeführt, die auch der Benutzer hat - sie können also beliebig Daten löschen, verändern oder versenden.
Viele Programme, die für die ungehinderte Weitergabe von Informationen in einem offenen Umfeld gedacht waren, können bei falscher Konfiguration potentiellen Angreifern Daten liefern, die diese mißbrauchen können. So kann bspw. der finger -Dienst darüber informieren, wie lange ein Benutzer bereits am Rechner sitzt. Hierzu gehören auch WWW-Browser, die bei jeder Abfrage einer Datei eine Reihe von Informationen an den WWW-Server übermitteln (z. B. die Version des Browsers und des verwendeten Betriebssystems, den Namen und die Internet-Adresse des PCs). In diesem Zusammenhang sind auch die Cookies zu nennen. Hierbei handelt es sich um Dateien, in denen WWW-Server- Betreiber Daten über den WWW-Nutzer auf dem Rechner des Nutzers speichern. Diese Daten können beim nächsten Besuch des Servers abgerufen und vom Server-Betreiber für eine Analyse der vom Benutzer vorher auf dem Server besuchten WWW-Seiten verwendet werden.
Der Einsatz eines Domain Name Systems (DNS), das für die Umsetzung eines Internet-Namens wie rechner1.universitaet.de in die zugehörige numerische Adresse zuständig ist, stellt eine weitere Gefahrenquelle dar. Zum einen ermöglicht ein falsch konfigurierter DNS-Server die Abfrage von vielen Informationen über ein lokales Netz. Zum anderen hat ein Angreifer durch die Übernahme dieses Servers die Möglichkeit, gefälschte IP-Nummern zu verschicken, so daß jeglicher Verkehr von ihm kontrolliert werden kann.
Eine große Bedrohung geht auch von den automatisch ausführbaren Inhalten ( Executable Content) in E-Mails oder HTML-Seiten aus. Dies ist unter dem Stichwort Content-Security-Problem bekannt. Dateien, die aus dem Internet geholt werden, können Code enthalten, der nur beim "Betrachten" und ohne Rückfrage beim Benutzer ausgeführt wird. Dies ist z. B. bei Makros in Winword-Dateien der Fall und wurde zum Erstellen von sogenannten Makro-Viren ausgenutzt. Auch neue Programmiersprachen und -schnittstellen wie ActiveX, Javascript oder Java, die für Anwendungen im Internet entwickelt worden sind, besitzen bei falscher Implementierung der Kontrollfunktionen ein Schadpotential.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000
.