Security-Experten warnen
Auch Sicherheitsfirmen werden nicht müde, regelmäßig auf die Gefahren hinzuweisen: Java taucht regelmäßig in Statistiken und Berichten unter den ersten Plätzen der gefährlichen Software auf. Laut Cisco 2014 Annual Security Report, der Anfang des Jahres erschienen ist und unter anderem einen Ausblick auf die größten Gefährdungspotenziale für das Jahr 2014 gibt, sind es die Schwachstellen der Java-Software, die nach wie vor für die meisten Web-Exploits verantwortlich sind.
Die entsprechenden Daten hat Cisco mit Hilfe der FireAmp-Schnittstellen der Unternehmenstochter SourceFire gesammelt und ausgewertet. Sie zeigen, dass die Java-Exploits einen Anteil von 91 Prozent bei den sogenannten IoCs (Indicators of compromise - Indikatoren für Schwachstellen) stellen. Diese Technik findet laut Cisco/SourceFire in Echtzeit die Schwachpunkte, die an den Endpunkten der Netzwerke auftreten, und zeichnet dann auf, welche Art von Software diese Schwachstellen verursacht hat.
Die Experten von SourceFire weisen in diesem Zusammenhang auch darauf hin, dass Java allein durch die enorme Verbreitung dieser Software im Jahr 2013 häufig das Mittel der ersten Wahl für Angreifer war. Das wird sich nach Einschätzung der Fachleute auch 2014 und in den folgenden Jahren nicht ändern. Wie verbreitet Java-Lösungen sind, zeigt ein Blick auf die Java-Webseite von Oracle: Danach nutzen 97 Prozent aller Unternehmens-Desktops und 89 Prozent aller Desktops und Rechner allein in den USA Java. Hinzu kommen 100 Prozent (!) aller Blue-Ray-Player, 3 Milliarden Mobiltelefone und nicht zuletzt 125 Millionen Fernsehgeräte. Da kann es nicht verwundern, dass der Security-Report der Java-Software eine Angriffsoberfläche bescheinigt, die für Cyber-Kriminelle einfach viel zu groß ist, um sie zu ignorieren. Sie stellen zudem fest, dass viele Angriffe zunächst mittels bekannter Java-Schwachstellen gestartet werden, da dieser Weg den Kriminellen den besten ROI (Return on Investment) für ihre Bemühungen bietet.
Fazit
Was bleibt als Schlussfolgerung aus all diesen Meldungen, Begebenheiten und Unsicherheiten rund um Java? Wie bekommen Sie Java unter Kontrolle? Wir haben einige Tipps zusammengestellt:
-
Software, die Sie nicht unbedingt für eine bestimmte Anwendung oder in Bezug auf ein Browser-Plug-In für eine ganze bestimmte Web-Seite benötigen, sollten Sie von Ihren Systemen entfernen - das gilt besonders für Software wie Java, die aktiv Programme auf den Systemen ausführen kann.
-
Kontrollieren Sie alle Systeme regelmäßig auf entsprechende Programm-"Überreste" und darauf, ob nicht irgendeine neue Software wieder eine Java-Runtime und damit vielleicht sogar ein Browser-Plug-In mit "eingeschleppt" hat.
-
Wenn Sie Java benötigen - vor allem als Plug-In im Browser - - sorgen Sie dafür, dass die Software immer auf dem aktuellsten Stand ist. Kontrollieren Sie dies nach Möglichkeit von Zeit zu Zeit auch manuell.
-
Verwenden Sie Sicherheitsprogramme wie den Script-Blocker NoScript in Ihrem Browser: Mit Hilfe dieser Programme lässt sich nicht nur der Einsatz von Scripten wirkungsvoll blockieren, sondern beispielsweise auch der Gebrauch von Java auf Seiten unterbinden, denen der Anwender "nicht traut" (untrusted). Zudem können Sie mit Hilfe solcher Programme relativ fein granuliert steuern, auf welchen Seiten Sie welche aktiven Techniken zulassen.
-
Nehmen Sie regelmäßig Update vor und überprüfen Sie, ob die Java-Software auf dem aktuellen Stand ist. Dazu eignet sich beispielsweise im Mozilla Firefox die Option zur Überprüfung der Plug-Ins im "Add-On Manager".
Java wieder "loswerden"
Grundsätzlich ist die Deinstallation von Java - bei den aktuellen Versionen der Software - einfach: Unter Windows 7 finden Anwender bei "Programme und Funktionen" und unter Windows 8 unter "Programme" (bei beiden Windows-Version in den Systemeinstellungen) das installierte Java-Software-Paket mit seiner genauen Versionsbezeichnung. Mit einem Rechtsklick kann die Software endgültig aus dem Betriebssystem entfernt werden.
Wer nur die Unterstützung von Java in seinem Browser deaktivieren möchte, kann dies beispielsweise beim Mozilla Firefox unter dem Menüpunkt "Add-On" tun. Dort die Plug-Ins auswählen und im folgenden Menü das Java-Plug-In deaktivieren/deinstallieren. Hier finden Sie auch den Link, der eine Überprüfung der Plugins auf Aktualität ermöglicht. (sh)