Widgets und Gadgets als Sicherheitsrisiko

Mini-Anwendungen sind großes Einfallstor für Malware

15. November 2007
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Widgets und Gadgets erleichtern das Leben von Anwendern. Meist werden sie sorglos auf Computern installiert und verwendet, inzwischen auch verstärkt im Business-Bereich. Allerdings enthalten die kleinen Anwendungen vielfältige Sicherheitslücken, die Cyber-Kriminelle ausnutzen, um unbemerkt Malware einzuschleusen. Das hat der US-Sicherheitsanbieter Finjan in einer aktuellen Untersuchung herausgefunden. IT-Verantwortliche in Unternehmen sollten deshalb klare Regeln und Begrenzungen für die Installation und Verwendung von Widgets im Firmennetzwerk aufstellen.
In ein personalisiertes iGoogle-Portal sind zahlreiche Widgets eingebunden.
In ein personalisiertes iGoogle-Portal sind zahlreiche Widgets eingebunden.

Widgets - auch als Gadgets bezeichnet - sind kleine grafische Web-Anwendungen, die speziell für ein Betriebs-System, einen Browser oder eine andere Software entwickelt wurden. Sie erleichtern Anwendern den Zugang zu häufig benötigten Funktionalitäten.

Millionenpublikum für Cyber-Kriminelle

Als Laufzeitumgebung der Widgets fungiert eine so genannte “Widget Engine”. Vor allem MicrosoftMicrosoft, GoogleGoogle und Apple haben inzwischen mehrere Tausend dieser Mini-Anwendungen im Angebot. Allein bei Google sind nach Angaben des Sicherheitsanbieters derzeit 3.720 Widgets zu haben, auf der Website von Apple gibt es 3.197 und bei FacebookFacebook sind derzeit 3.959 dieser kleinen Programme zu finden. Alles zu Facebook auf CIO.de Alles zu Google auf CIO.de Alles zu Microsoft auf CIO.de

Viele davon würden mittlerweile von mehreren Millionen Internet-Nutzern eingesetzt. Aber auch Anbieter von Geschäfts-Software, wie etwa SAPSAP, setzen bei der Modellierung von grafischen Benutzeroberflächen ihrer Anwendungen verstärkt auf Widgets, beispielsweise um Arbeitsvorräte anzuzeigen. Alles zu SAP auf CIO.de

Das macht Widgets zunehmend interessant für Angreifer, die damit auf einen Schlag ein "Millionenpublikum" erreichen. Gefährdet sind alle Widgets - unabhängig davon, ob es sich um Applikationen für ein Betriebs-System, den Browser oder andere Anwendungen handelt. Die Sicherheits-Experten warnen deshalb vor deren sorgloser Installation und Verwendung auf Computern und weisen auf die Bedrohungen hin, die davon ausgehen können.