Weg mit Java!

Seit länger Zeit fällt die Laufzeitumgebung Java immer wieder durch Sicherheitslücken auf. Das Problem wäre eines von vielen, auch andere Software glänzt durch stete Sicherheitsupdates. Das Problem bei Java ist: die Schwachstellen werden mit immenser Zeitverzögerung geschlossen und öffnen Eindringlingen damit Tür und Tor zum eigenen Rechner. Was tun?

Warnung des BSI

Hersteller mit ständigen Sicherheitslücken in Ihren Produkten sind der Albtraum jedes Administrators. Kaum wurde der eine Patch mühsam auf allen Servern und Arbeitsstationen verteilt, steht auch schon das nächste Update an. Adobe steht hier mit seinen Programmen Adobe Reader und Flash in erster Reihe.

 

Gleiches gilt für Java, nach der Übernahme von Sun heute im Besitz des Datenbankherstellers Oracle. Was Java so „einzigartig“ macht: die benötigten Patches zum Schließen der Schwachstellen lassen oft Wochen auf sich warten. Genau diese Tatsache – und die erhöhte Gefahr der Sicherheitslecks – veranlasste das BSI (Bundesamt für Sicherheit in der Informationstechnik) zum Aufruf, die Software auf den eigenen Rechnern vollständig zu deinstallieren.

Wer benötigt Java?

Einfacher gesagt als getan. Was der Privatanwender noch einfach über die Systemsteuerung seines Windows-PCs mithile von „Programme deinstallieren“ erledigen kann, ist im Unternehmensnetzwerk keine leichte Aufgabe. Zumeist (hoffentlich) hat der Endanwender keine Administratorrechte auf seinem PC. An ihn diese Aufgabe zu delegieren, wäre aus Sicherheitssicht auch fahrlässig. Eine zentrale Deinstallation via Softwareverteilung ist aber nicht immer möglich. Dazu muss eine serverbasierende Verteilungslösung im Einsatz sein. Daran scheitert der Software-Management-Ansatz meistens.

Java Deinstallation über die Systemsteuerung

Eine weitere Hürde: Wer benötigt Java? Die Installation der Laufzeitumgebung ist meistens nicht ohne Grund erfolgt. So manche Bankensoftware basiert heute noch auf Java (der IT-Wahnsinn schlechthin). Eine Deinstallation würde die Funktionsfähigkeit dieser Applikationen zerstören. Somit ist auch eine vollständige Deinstallation auf allen PCs keine gangbare Variante.

Das Java-Plug-In im Browser

Die meisten Infektionen des Rechners holen sich Anwender ohne jede Schuld. Drive-By-Downloads erledigen die Kontamination des gesamten Betriebssystems völlig unbemerkt. Hier beugt nur regelmäßiges Patchen und ein guter Virenscanner vor. Aber selbst dann ist kein Schutz garantiert. »Zero-Day« nennt sich die Spezies der offenen Lücken in der Software, für die der Hersteller noch keine Abhilfe in Form eines Updates bereitstellt. Willkommen im Java-Klub!

Um sich keinen Java-Trojaner beim täglichen Surfen im Web einzufangen, sollte damit als erster Schritt das Java-Plug-In im Browser deaktiviert werden. Damit führt der eingesetzte Browser (Internet Explorer, Firefox, Chrome, u.a.) einfach keinen Java-Code mehr aus. JavaScript bleibt davon unbehelligt – die kritischen Sicherheitslücken betreffen die Laufzeitumgebung.

Deaktivieren und beobachten

Surft man auf eine Webseite, die Java benötigt, und das Java-Plug-In wurde deaktiviert, so erhält man im Browser eine Nachricht, dass das benötigte Plug-In nicht installiert ist und jetzt heruntergeladen werden kann. Genau diese Meldung bietet die Entscheidungsgrundlage. Kann ohne Java-Plug-In die notwendige Arbeit nicht erledigt werden, so sollte die weitere Vorgehensweise mit dem Administrator geklärt werden. Ist man einfach „nur so“ auf diese Meldung gestoßen, so wurde damit nur unnötiger Java-Code blockiert.

Die Verantwortung des Einzelnen

Bei einer Vielzahl von Anwendern und PCs im Netzwerk ist die Praxis schwierig. Weder eine vollständige Deinstallation noch ein gesamter Rollout wird dem EDV-Alltag gerecht. Prügeln Sie nicht Ihren Administrator. Die Schuld liegt beim Java-Hersteller und bei jenen Softwareproduzenten, die immer noch auf diese Plattform setzen bzw. zu wenig Druck auf Oracle ausüben.

Erste Hilfe

Firefox AddOnsDie Deaktivierung des Java-Plug-Ins im Browser unterscheidet sich – je nach eingesetztem Surf-Tool. Firefox-Anwender haben es einfach. In den AddOns kann die Java-Implementierung mit wenigen Klicks ausgeschaltet werden. Nutzer des Internet-Explorers müssen dafür tief in die Registry – und benötigen Admin-Rechte (Details dazu in unserem Support-Dokument, welches für Newsletter-Abonnenten kostenlos im PDF-Format zur Verfügung gestellt wird).

Hintertür für BKA-Trojaner

Handeln Sie jetzt! Die Sicherheitslücken werden zum aktuellen Zeitpunkt von sogenannten Exploit-Kits wie „Black Hole“ bereits aktiv genutzt. Den „BKA-Trojaner“ gibt es in verschiedensten Varianten. Und mit Java sind Sie diesem einen kritischen Schritt näher.

Wer mehr zur ständigen Java-Gefahr wissen will, dem sei der (englischsprachige) Blog „Krebs on Security“ empfohlen. Und sagen Sie nicht, Sie hätten von nichts gewusst… Aktuelle Sicherheitsinformationen erhalten Sie rund um die Uhr als Follower unseres Twitter-Kanals.

 


Teile diesen Artikel

Das könnte dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*