Bundesamt für Sicherheit in der Informationstechnik

Aktive Inhalte

Die Daten, die der Browser abruft, um daraus die anzuzeigende Webseite zusammenzusetzen, enthalten häufig nicht sichtbare Programmteile oder Skripte. Sie sind für verschiedene Funktionen wie animierte Menüs oder Videos zuständig und werden als "Aktive Inhalte" bezeichnet. Die bekanntesten sind Java, ActiveX-Controls, JavaScript/JScript und Flash/Silverlight.

An der im Browser angezeigten Webseite ist nicht erkennbar, welche Funktionen sich im einzelnen hinter den Aktiven Inhalten verbergen. Es könnte sich also auch mitunter um Schadprogramme handeln. Jede Art von Aktiven Inhalten hat ein unterschiedliches Schadpotenzial:

Java

Java-Programme, die im Rahmen einer Website ausgeführt werden, werden auch "Java-Applets" genannt. Durch Aufrufen der Webseite werden die Applets auf den PC heruntergeladen und ausgeführt. Die Java-Applets laufen also wie ein direkt auf dem Rechner installiertes Programm ab.
Java-Applets können normalerweise nicht ohne Ihre Erlaubnis auf lokale Daten zugreifen. Wenn ein betrügerisch veranlagter Seitenersteller sich Ihre Erlaubnis jedoch erschleicht oder in der Implementierung der Java Virtual Machine Fehler enthalten sind, kann trotz allem der uneingeschränkte Zugriff auf Ihren Rechner und Ihre Daten möglich werden.

ActiveX-Controls

ActiveX ist eine von Microsoft entwickelte Technik, die im Internet Explorer zum Einsatz kommt. Die ActiveX-Elemente, die als Aktiver Inhalt in Webseiten eingefügt werden können, werden ActiveX-Controls genannt. Sie werden z. B. verwendet für Videos und Musik, aber auch für komplexere Inhalte wie Aktienticker. Leider werden auch häufig Schadprogramme auf diesem Weg verbreitet.
Dies ist so einfach möglich, da es keine umfassenden Sicherheitsrichtlinien gibt. Es gibt zwar signierte ActiveX-Controls, doch die Signatur bestätigt letztlich nur, von wem das ActiveX-Control stammt. Läuft das ActiveX-Programm erst einmal, dann ist sein Funktionsumfang in keiner Weise eingeschränkt. Das ActiveX-Programm besitzt alle Rechte des angemeldeten Benutzers.

JavaScript/JScript

JavaScript ist eine an Java angelehnte Skriptsprache. Skriptsprache heißt dabei, dass es sich um eine Programmiersprache handelt, die beim Anwender im Textformat vorliegt und durch ein eigens dafür vorgesehenes "Übersetzungsprogramm" (Interpreter) ausgeführt wird. JavaScript wurde speziell für den Einsatz als Aktiver Inhalt in Webseiten von der Firma Netscape entwickelt. JavaScript eignet sich beispielsweise zur Überprüfung von Formulareingaben innerhalb von Webseiten.
Wie die Java-Applets kommen auch die in JavaScript geschriebenen Aktiven Inhalte mehr oder weniger ungefragt auf Ihren Rechner. An der angezeigten Webseite ist nicht erkennbar, was sich so alles dahinter verbirgt. Hierdurch entsteht für den Anwender ein unüberschaubares Risiko. Schließlich sind auch bei JavaScript Fehler in der Implementierung nicht ausgeschlossen.
In der JScript genannten Variante von JavaScript, die Microsoft für den Internet Explorer entwickelt hat, gibt es Funktionen, die missbräuchlich eingesetzt einen großen Schaden auf dem Rechner des Anwenders verursachen können. So gibt es unter JScript beispielsweise die Möglichkeit, ActiveX-Controls anzusprechen, die einmal auf den Rechner geladen die gleichen Rechte wie ein lokal installiertes Programm besitzen.

Flash/Silverlight

Über die von Adobe erstellte Software "Flash Player" wie auch über "Silverlight" von Microsoft können interaktive Inhalte und Anwendungen (z. B. interaktive Präsentationen, Spiele oder komplette Webseiten) angezeigt werden. Da Flash- und Silverlight-Inhalte über ein eigenes Plugin wiedergegeben werden, können diese alleine schon Sicherheitslücken enthalten, durch die Ihr Rechner angegriffen werden und Schadsoftware installiert werden könnte. Ebenso könnten diese Sicherheitslücken durch Angreifer ausgenutzt werden, um auf Ihre Webcam oder das Mikrofon Ihres Computers zugreifen zu können.