M 4.199 Vermeidung problematischer Dateiformate

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Benutzer

E-Mail ist mittlerweile der wichtigste Übertragungsweg für Schadsoftware. Eine rein textbasierte E-Mail ohne Anhänge ist dabei ungefährlich. Gefährlich wird es erst, wenn E-Mail-Anhänge ausgeführt werden, die E-Mail HTML -basiert ist oder die Mail-Empfänger über Links in der E-Mail auf manipulierte Webseiten gelockt werden (siehe unten). Prinzipiell können E-Mails Anhänge in beliebiger Art und Menge beigefügt werden. Durch ein Zuviel an Anhängen kann die Verfügbarkeit eines E-Mail-Clients oder des E-Mail-Servers beeinträchtigt werden (siehe G 5.75 Überlastung durch eingehende E-Mails). Die größere Gefahr sind aber Anhänge, die ausführbaren Code enthalten und damit ungeahnte Nebeneffekte auslösen können.

Anhänge

Anhänge, die ausführbaren Code enthalten, können ungeahnte Nebeneffekte auslösen. Aus diesem Grund muss eine Regelung für den Umgang mit Dateiformaten, die als potentiell problematisch eingeschätzt werden, erstellt werden. Wichtig ist, dass alle Betroffenen sich der Problematik bewusst sind und entsprechend vorsichtig mit diesen Dateiformaten umgehen.

Zum Schutz vor der unbeabsichtigten Ausführung von Schadcode sollten die E-Mail-Clients so eingestellt werden, dass Anhänge nicht versehentlich gestartet werden können, sondern das Programm vor der Ausführung warnt bzw. zumindest nachfragt, ob die Datei geöffnet werden soll. Das Betriebssystem bzw. der E-Mail-Client sollte außerdem so eingerichtet sein, dass Dateien zunächst nur in Viewern oder anderen Darstellungsprogrammen angezeigt werden, die eventuell in den Dateien enthaltenen Programmcode, wie Makros oder Skripte, nicht ausführen.

Sollte ein Benutzer eine E-Mail mit einem potentiell gefährlichen Anhang erhalten, so sollte er sicherstellen, dass die Quelle der E-Mail vertrauenswürdig ist. Dies lässt sich durch Verwendung von kryptographischen Signaturen durch den Versender und durch sachgemäße Überprüfung der Signatur durch den Empfänger realisieren. Auch sollte der Versender von potentiell gefährlichen Anhängen dafür sorgen, dass sein versendeter Anhang tatsächlich ungefährlich ist. Dazu gehört mindestens eine Prüfung mit einem Virenscanner mit aktuellen Schadcode-Signaturen.

Problematische Dateiformate

Für den Umgang mit Dateiformaten, die als potentiell problematisch eingeschätzt werden, können verschiedene Regelungen getroffen werden. Wichtig ist aber auf jeden Fall, dass alle Betroffenen sich der Problematik bewusst sind und entsprechend vorsichtig mit diesen Dateiformaten umgehen.

Die restriktivste Form ist es, das Öffnen aller als problematisch eingestuften Dateiformate zu verbieten bzw. diese am E-Mail-Gateway herauszufiltern. Dies führt allerdings erfahrungsgemäß zu großen Akzeptanzproblemen seitens der Kunden und der Mitarbeiter. Besser ist es im allgemeinen, einerseits die Mitarbeiter für die Problematik zu sensibilisieren und zum Mitdenken anzuregen und sie andererseits technisch zu unterstützen, indem die Gefährdungspotentiale durch entsprechende Konfiguration und Sicherheitswerkzeuge minimiert werden (siehe auch M 2.224 Vorbeugung gegen Schadprogramme, M 5.69 Schutz vor aktiven Inhalten).

Im Folgenden werden einige Einschätzungen verschiedener Dateiformate gegeben. Diese können sich allerdings jederzeit ändern, wenn z. B. ein Hersteller seinem Produkt neue Features hinzufügt, die ungeplante Nebenwirkungen haben, bzw. ein Tüftler solche Nebenwirkungen herausfindet.

Eine als Anlage mitversandte komprimierte Datei kann sich als Mailbombe erweisen, die nach dem Auspacken Unmengen von Unterverzeichnissen anlegt oder sehr viel Festplattenplatz beansprucht. Archive, also mit Packprogrammen komprimierte Dateien, sollten niemals ohne vorhergehende Prüfung ausgepackt werden. Dazu gehört die Sichtung des Inhaltsverzeichnisses auf Art und Größe der komprimierten Dateien und die Überprüfung auf Schadsoftware. Selbstextrahierende Archive, also solche mit Endungen wie *.EXE, sollten niemals aufgerufen werden, da vor dem Auspacken der Inhalt nicht geprüft kann.

HTML-Mails

Immer mehr E-Mails sind heutzutage auch HTML-formatiert. Dies ist einerseits oft lästig, weil nicht alle E-Mail-Clients dieses Format anzeigen können. Andererseits kann dies aber auch dazu führen, dass bereits bei der Anzeige solcher E-Mails auf dem Client ungewollte Aktionen ausgelöst werden, da HTML-Mails eingebetteten JavaScript- oder VisualBasic-Skript-Code enthalten können.

Über im HTML-Quelltext eingebettete Bilder lässt sich auch eine Rückkopplung vom E-Mail-Client zum Spammer realisieren. Wird das eingebettete Bild durch Anzeige der E-Mail aus der Quelle im Internet nachgeladen, weiß der Spammer, dass seine E-Mail gelesen wurde und bekommt somit eine Bestätigung, dass der Empfänger gültig ist und Spam-E-Mails liest. Das automatische Nachladen von HTML-Objekten sollte im E-Mail-Client unterbunden werden.

Durch Kombination verschiedener Sicherheitslücken in E-Mail-Clients und Browsern ist es in der Vergangenheit immer wieder zu Sicherheitsproblemen mit HTML-formatierten E-Mails gekommen (siehe auch G 5.110 Web-Bugs). Ein Beispiel hierfür findet sich unter anderem im CERT -Advisory CA-2001-06 (unter http://www.cert.org/advisories/CA-2001-06.html).

Generell sollten möglichst keine HTML-formatierten E-Mails oder solche mit aktiven Inhalten versendet werden. Außerdem sollte die Möglichkeit überprüft werden, in eingehenden E-Mails enthaltene aktive Inhalte herauszufiltern, beispielsweise an der Firewall.

Weiterhin sollten E-Mail-Clients gewählt werden, bei denen HTML-formatierte E-Mails als solche zu erkennen sind, damit die Benutzer diese nicht unbewusst öffnen.

Generell sollte eine Vorgabe innerhalb einer Institution zum Umgang mit HTML-formatierten E-Mails erstellt werden. Beim Empfang von HTML-formatierten E-Mails sollte festgelegt werden, ob diese

Grundsätzlich sollten alle Benutzer für diese Problematik sensibilisiert sein.

Wer auf Nummer sicher gehen will, der konfiguriert den E-Mail-Client so, dass er standardmäßig eine E-Mail nur als Text anzeigt.

Prüffragen: