Datendiebstahl mit Internet Explorer 4

Während Sie im Web surfen oder Ihre Email lesen, stiehlt ein Angreifer aus dem Internet ungehindert ihre Daten. Diese Horrorvorstellung macht der neue Internet Explorer 4 von Microsoft zur Realität. Er ermöglicht es, Befehle in Web-Seiten und Email zu verstecken, durch die heimlich Dateien an Unbefugte übermittelt werden können.

Internet Consultant Ralf Hüskes, der das Microsoft-Produkt im Auftrag der c't-Redaktion testete, bewertet die Sicherheitslücke als ein ernstes Problem für Endanwender und Firmen: "Nicht einmal ein durch Firewall geschütztes Firmen-Netz ist vor diesem Angriff sicher." Das Sicherheitsloch beruhe nicht auf einem Programmfehler, sondern sei konzeptbedingt. Es besteht auch dann, wenn die Sicherheitsoptionen des Browsers auf die Standardwerte für "hoch" eingestellt sind.

Mindestens Text- und HTML-Dateien lassen sich auf diese Weise von außen ausspähen. Ob auch andere Dateitypen betroffen sind, ist noch ungeklärt. Das Sicherheitsloch besteht im Internet Explorer 4.0 für Windows 95 und Windows NT, nach ersten Analysen jedoch nicht in der Preview 1 für Apple Macintosh. Einziges Hindernis für den Angreifer: Er muß die Dateien durch Pfadangaben beziehungsweise Adressen im Intranet genau spezifizieren. Da viele Programme beispielsweise unter Windows standardisierte Verzeichnisnamen verwenden, hat der Datendieb jedoch sehr gute Chancen, etwa die PIN-Datei eines Homebanking-Programms abzurufen.

Der Trick ist sehr einfach und basiert auf Microsofts Dynamic HTML. Der Angreifer versteckt in Webseite oder Mail einen sogenannten IFRAME mit einem Verweis auf das gesuchte Dokument. Während das arglose Opfer liest, lädt der Microsoft-Browser oder der Mail Client Outlook Express die betreffende Datei in das unsichtbare Fenster. Ein weiterer versteckter IFRAME schickt sie an den Server des Hackers.

Schützen kann man sich derzeit nur, indem man die Funktion "Active Scripting" für alle Internet-Zonen in den Grundeinstellungen des Internet Explorer außer Kraft setzt. (Zu finden im Menü "Ansicht", Menüpunkt "Internetoptionen", Reiter "Sicherheit", Schaltfläche "Einstellungen"). Dadurch gehen aber auch wichtige Programmfunktionen verloren; viele Web-Angebote lassen sich nicht mehr nutzen.

Die c't-Redaktion hat die deutsche Microsoft-Tochter von den Testergebnissen informiert. Firmensprecher Jörg Lorenz räumte in einer ersten Stellungnahme ein, daß die Möglichkeit einer solchen Sicherheitslücke bestehe. Die Information sei zur Prüfung an die Microsoft-Zentrale in Redmond weitergeleitet worden.

Detaillierte Informationen über das "IFRAME-Sicherheitsloch" hat Ralf Hüskes auf seinem Web-Server bereitgestellt. (cp)