"Rechner, auf denen für die Organisation, Firma oder Behörde kritische Anwendungen laufen, müssen ohne E-Mail und Internet-Zugang betrieben werden."
[BSI virM5] (∅)
"Aktive Inhalte sind grundsätzlich immer problematisch. ... Im Grunde müsste man auf einen ... textbasierten Mailer zurückgehen, der keine automatischen Previews und keine Attachments kennt." [cirosec]
Das BSI empfiehlt,
Aktive Inhalte prinzipiell auszuschalten.
[ BSIFB AI ]
Durch aktive Inhalte wie Active-X und JavaScript "entsteht für den Anwender ein hohes Risikopotential"
[BSI AI]
"Eigene aktive Inhalte im Intranet sollten mit Java und nicht mit ActiveX oder JavaScript realisiert werden."
"Es sind verschiedene sicherheitsrelevante Schwachstellen bekannt, durch die bei Ausführung von JScript/JavaScript-Code Schäden auf dem Anwenderrechner entstehen können."
[BSI JS]
"Wegen der großen nur schwer zu kalkulierenden Sicherheitsrisiken sollte ActiveX grundsätzlich nicht zum Einsatz kommen. Auch JavaScript sollte wegen der großen Fehleranfälligkeit normalerweise nicht eingesetzt werden." [Task Force "Sicheres Internet"]
"Um einen zuverlässigen Schutz vor der Gefährdung durch bösartige aktive Inhalte zu erzielen [...] sollten aktive Inhalte grundsätzlich erst einmal ausgefiltert werden, so dass sie die Arbeitsplatzrechner gar nicht erst erreichen. Nur in Einzelfällen kann dann die Filterung für bestimmte URLs deaktiviert werden."
BSI M5.45]
Laut Empfehlung des BSI "sollten ActiveX, JavaScript und Java deaktiviert werden, und die Menge der installierten Plug-Ins sollte auf das unbedingt notwendige beschränkt werden. Falls die Benutzung von ActiveX, Java und JavaScript unbedingt notwendig ist, sollten diese nur auf Rechnern zugelassen sein, die gegenüber anderen internen Rechnern so abgeschottet sind, dass die Verfügbarkeit, Vertraulichkeit und Integrität sicherheitsrelevanter Daten nicht beeinträchtigt werden können."
[BSI M5.45]
Auf der Informationsplattform des Bundesministeriums für Wirtschaft und Technologie wird erklärt:
"Wer statt dem Internet Explorer lieber Netscape, Mozilla oder Opera verwendet, hat ein paar Sorgen weniger: Diese Varianten unterstützen weder ActiveX noch VBS - ein klarer Vorteil in punkto Sicherheit. ...
und JavaScript lässt sich "komplett abschalten und bei Bedarf wieder aktivieren."
[EC net]
"viele WWW-Server (sind) heute ohne JavaScript nur noch eingeschränkt darstellbar; sicherheitsbewusste Internet-Nutzer werden so konsequent von deren Angeboten ausgesperrt. Dabei ist JavaScript auf der großen Mehrzahl der WWW-Server nicht notwendig. Meist wird es ausschließlich für optische Spielereien genutzt. Diese WWW-Server könnten mit dem gleichen Funktionsumfang und Informationsangebot ohne JavaScript auskommen. Das BSI empfiehlt deswegen den Betreibern von WWW-Servern dringend, vollständig auf JavaScript zu verzichten (siehe: Uni Dortmund )
Ein einfaches Beispiel: Umlaute in diesem Text werden durch Ligaturen ersetzt:
"Das BSI rät Anbietern von Webseiten vom Einsatz Aktiver Inhalte ab.
[...]
Durch den Einsatz Aktiver Inhalte werden sicherheitsbewusste Anwender, die die Browser-Einstellungen nicht ändern, gar nicht mehr oder nur in eingeschränktem Umfang erreicht."
[...]
"Web-Angebote, die stark auf JavaScript aufbauen, funktionieren mit einigen Browsern gar nicht mehr, verweigern den Zugang oder stellen das Layout nicht korrekt dar.
[BSI AL]"Solche Effekte sind natürlich für den Nutzer sehr ärgerlich und hinterlassen ein negatives Bild des Anbieters.
[...]
Etwas überspitzt lässt sich zusammen fassen, dass die Verwendung von Aktiven Inhalten und insbesondere von JavaScript die beste Möglichkeit ist, dafür zu sorgen, dass ein Web-Angebot in Zukunft nicht mehr funktionieren wird."
aus: BSI: E-Government-Handbuch (∅)
"Das Internet ist das am besten geeignete Medium zur weltweiten Verbreitung von Informationen sowohl nützlicher als auch überflüssiger und schädlicher Art. Damit sind auch die Inhalte-Anbieter in der Pflicht, Maßnahmen zu ergreifen, um die Beeinträchtigung ihrer Kunden durch Computer-Viren zu minimieren."
[...]
Auch sollte auf den Einsatz von Cookies verzichtet werden."
[BSI masnvir]
"in den verbreiteten WWW-Browsern Microsoft Internet Explorer und Netscape Communicator" (wurden) "zahlreiche neue Sicherheitslücken entdeckt, die durch aktive Inhalte (ActiveX, JavaScript, Java u.a.) in WWW-Seiten ausgenutzt werden können. ... So können Angreifer beispielsweise Nutzererkennung mit Passwörtern oder lokal gespeicherte Daten von privaten und kommerziellen Internetnutzern ausspionieren. ... Da sich der Internet Nutzer einem kaum einschätzbaren Schadenspotential aussetzt, rät das BSI dringend, bei der Nutzung des Internet auf aktive Inhalte zu verzichten." ...
Pressesprecher M.Dickopf
Bundesamt fuer Sicherheit in der Informationstechnik 1999
( siehe: Uni Dortmund )
"Auch heute noch kann man sehr gut auf das Internet zugreifen, ohne wirklich aktive Inhalte zu benötigen."
[BSI M5.69]
warnt vor *.XLS und *.DOC-Dateien
beim Versenden per E-Mail
und empfiehlt,
solche Dokumente im RTF-Format zu versenden.
"Auch Textdokumente vom Typ *.doc oder Tabellen vom Typ *.xls können virenverseucht sein."
[BfB viren]
Das BSI empfiehlt nachdrücklich
"Keine Applikationsverknüpfung für Anwendungen mit potentiell aktivem Code (MS-Office) im Browser nutzen oder Anwendungen über Internet aktivieren."
[BSI masnvir]
"Microsoft Windows- und Office-Produkte (stellen) aufgrund der ... bestehenden Angriffsmöglichkeiten das größte Gefährdungspotential dar..."
[BSI masnvir]
Die Bundesministerien für Wirtschaft/Arbeit und Inneres hatten empfohlen:
"Öffnen Sie keine fremden oder unverlangt zugesandten Dokumente von MS Word, Excel, Access, PowerPoint."
Im Zusammenhang mit "Schwachstellen im Betriebssystem oder in Programmen" hatte das BSI festgestellt:
"Vorrangig betroffen sind die Benutzer des Microsoft Internet Explorers." (∅)
"Um auf Nummer sicher zu gehen: Wechseln Sie den Browser. ... Die Benutzer der Browser Opera, Firefox und Mozilla für Windows und Apples Safari müssen eine Entführung nicht fürchten."Bei Untersuchungen der WWW-Browser
"sind in der Vergangenheit des öfteren Schwachstellen insbesondere im Microsoft Internet Explorer bekannt geworden."
[BSI M5.45]
Diese Fehler entsprangen alle aus dem Versuch von Microsoft, WWW und lokale Windows-Komponenten miteinander zu verbinden. Dabei wurde bestimmten WWW-Seiten soviel Vertrauen wie lokalen Daten eingeräumt. Hierdurch konnten durch entsprechende Schadprogramme alleine durch das Aufrufen unseriöser WWW-Seiten auf den lokalen Rechnern der WWW-Benutzer gefährliche Programme ausgeführt werden, ohne daß die Benutzer dies bemerkten.
"Alles was ein Web-Server braucht, um Sie als Benutzer beim nächsten Besuch wiederzuerkennen sind Cookies. Eigentlich sind das ja Kekse. Und die krümeln bekanntlich."
[BfB browser]
Die Verwendung von Cookies kann jedoch im datenschutzrechtlichen Sinne mißbräuchlich genutzt werden. [...] Diese Informationen werden von bestimmten Interessengruppen genutzt, um ihr Angebot besser verkaufen zu können. [BSI CO]
www.ahok.de/dt/risiken.html
[valid
HTML4.01
and
CSS]