Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 3.38 Konfigurations- und Bedienungsfehler - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 3.38 Konfigurations- und Bedienungsfehler

Konfigurationsfehler entstehen durch eine falsche oder nicht vollständige Einstellung der Parameter und Optionen, mit denen ein Programm gestartet wird. In diese Gruppe fallen z. B. falsch gesetzte Zugriffsrechte für Dateien. Bei Bedienungsfehlern sind nicht nur einzelne Einstellungen falsch, sondern es werden IT-Systeme oder IT-Anwendungen falsch behandelt. Ein Beispiel hierfür ist das Starten von Programmen, die für den Einsatzzweck des Rechners nicht notwendig sind, aber evtl. von einem Angreifer missbraucht werden können.

Beispiele für aktuelle Konfigurations- bzw. Bedienungsfehler sind das Speichern von Passwörtern auf einem PC, auf dem ungeprüfte Software aus dem Internet ausgeführt wird (solche Software wurde z. B. im Frühjahr 98 für das Ausspähen von T-Online-Passwörtern eingesetzt), oder das Laden und Ausführen von schadhaften ActiveX-Controls. Diese Programme, die u. a. die Aufgabe haben, WWW-Seiten durch dynamische Inhalte attraktiver zu machen, werden mit den gleichen Rechten ausgeführt, die auch der Benutzer hat - sie können also beliebig Daten löschen, verändern oder versenden.

Viele Programme, die für die ungehinderte Weitergabe von Informationen in einem offenen Umfeld gedacht waren, können bei falscher Konfiguration potentiellen Angreifern Daten zu Missbrauchszwecken liefern. So kann beispielsweise der finger-Dienst darüber informieren, wie lange ein Benutzer bereits am Rechner sitzt. Aber auch WWW-Browser übermitteln bei jeder Abfrage einer Datei eine Reihe von Informationen an den WWW-Server (z. B. die Version des Browsers und des verwendeten Betriebssystems, den Namen und die Internet-Adresse des PCs). In diesem Zusammenhang sind auch die Cookies zu nennen. Hierbei handelt es sich um Dateien, in denen WWW-Server-Betreiber Daten über den WWW-Nutzer auf dem Rechner des Nutzers speichern. Diese Daten können beim nächsten Besuch des Servers abgerufen und vom Server-Betreiber für eine Analyse der vom Benutzer vorher auf dem Server besuchten WWW-Seiten verwendet werden.

Der Einsatz eines Domain Name Systems (DNS), das für die Umsetzung eines Internet-Namens wie rechner1.universitaet.de in die zugehörige numerische Adresse zuständig ist, stellt eine weitere Gefahrenquelle dar. Zum einen ermöglicht ein falsch konfigurierter DNS-Server die Abfrage von vielen Informationen über ein lokales Netz. Zum anderen hat ein Angreifer durch die Übernahme dieses Servers die Möglichkeit, gefälschte IP-Nummern zu verschicken, so dass jeglicher Verkehr von ihm kontrolliert werden kann.

Eine große Bedrohung geht auch von den automatisch ausführbaren Inhalten (Executable Content) in E-Mails oder HTML-Seiten aus. Dies ist unter dem Stichwort Content-Security-Problem bekannt. Dateien, die aus dem Internet geholt werden, können Code enthalten, der nur beim "Betrachten" und ohne Rückfrage beim Benutzer ausgeführt wird. Dies ist z. B. bei Makros in Winword-Dateien der Fall und wurde zum Erstellen von so genannten Makro-Viren ausgenutzt. Auch neue Programmiersprachen und -schnittstellen wie ActiveX, Javascript oder Java, die für Anwendungen im Internet entwickelt worden sind, besitzen bei falscher Implementierung der Kontrollfunktionen ein Schadpotential.

Die Verfügbarkeit des Sicherheitssystems RACF ist bei z/OS-Betriebssystemen von zentraler Bedeutung für die Verfügbarkeit des gesamten Systems. Durch unsachgemäßen Einsatz von z/OS-Utilities bei der RACF-Datenbanksicherung oder fehlerhafte Bedienung der RACF-Kommandos kann diese eingeschränkt werden.