computerwoche.de

Security

Gefahren und Sicherheits-Tipps

Warum Java solch ein Risiko darstellt

23.09.2014
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Alle Posts des Autors Email:
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Alle Posts des Autors Email:

Security-Experten warnen

Auch Sicherheitsfirmen werden nicht müde, regelmäßig auf die Gefahren hinzuweisen: Java taucht regelmäßig in Statistiken und Berichten unter den ersten Plätzen der gefährlichen Software auf. Laut Cisco 2014 Annual Security Report, der Anfang des Jahres erschienen ist und unter anderem einen Ausblick auf die größten Gefährdungspotenziale für das Jahr 2014 gibt, sind es die Schwachstellen der Java-Software, die nach wie vor für die meisten Web-Exploits verantwortlich sind.

Java läuft eben nicht nur im Browser ab: In diesen Fällen kommt eine Anwendung auf dem eigenen PC zum Einsatz, die teilweise mit einem uneingeschränkten Zugriff arbeitet.
Java läuft eben nicht nur im Browser ab: In diesen Fällen kommt eine Anwendung auf dem eigenen PC zum Einsatz, die teilweise mit einem uneingeschränkten Zugriff arbeitet.
Foto: Thomas Bär / Frank-Michael Schlede

Die entsprechenden Daten hat Cisco mit Hilfe der FireAmp-Schnittstellen der Unternehmenstochter SourceFire gesammelt und ausgewertet. Sie zeigen, dass die Java-Exploits einen Anteil von 91 Prozent bei den sogenannten IoCs (Indicators of compromise - Indikatoren für Schwachstellen) stellen. Diese Technik findet laut Cisco/SourceFire in Echtzeit die Schwachpunkte, die an den Endpunkten der Netzwerke auftreten, und zeichnet dann auf, welche Art von Software diese Schwachstellen verursacht hat.

Mit Hilfe des Control Panels können Nutzer sowohl die Frequenz als auch die Art und Weise festlegen, in der entsprechende Updates von Java heruntergeladen und installiert werden.
Mit Hilfe des Control Panels können Nutzer sowohl die Frequenz als auch die Art und Weise festlegen, in der entsprechende Updates von Java heruntergeladen und installiert werden.
Foto: Thomas Bär / Frank-Michael Schlede

Die Experten von SourceFire weisen in diesem Zusammenhang auch darauf hin, dass Java allein durch die enorme Verbreitung dieser Software im Jahr 2013 häufig das Mittel der ersten Wahl für Angreifer war. Das wird sich nach Einschätzung der Fachleute auch 2014 und in den folgenden Jahren nicht ändern. Wie verbreitet Java-Lösungen sind, zeigt ein Blick auf die Java-Webseite von Oracle: Danach nutzen 97 Prozent aller Unternehmens-Desktops und 89 Prozent aller Desktops und Rechner allein in den USA Java. Hinzu kommen 100 Prozent (!) aller Blue-Ray-Player, 3 Milliarden Mobiltelefone und nicht zuletzt 125 Millionen Fernsehgeräte. Da kann es nicht verwundern, dass der Security-Report der Java-Software eine Angriffsoberfläche bescheinigt, die für Cyber-Kriminelle einfach viel zu groß ist, um sie zu ignorieren. Sie stellen zudem fest, dass viele Angriffe zunächst mittels bekannter Java-Schwachstellen gestartet werden, da dieser Weg den Kriminellen den besten ROI (Return on Investment) für ihre Bemühungen bietet.

Fazit

Was bleibt als Schlussfolgerung aus all diesen Meldungen, Begebenheiten und Unsicherheiten rund um Java? Wie bekommen Sie Java unter Kontrolle? Wir haben einige Tipps zusammengestellt:

  • Software, die Sie nicht unbedingt für eine bestimmte Anwendung oder in Bezug auf ein Browser-Plug-In für eine ganze bestimmte Web-Seite benötigen, sollten Sie von Ihren Systemen entfernen - das gilt besonders für Software wie Java, die aktiv Programme auf den Systemen ausführen kann.

  • Kontrollieren Sie alle Systeme regelmäßig auf entsprechende Programm-"Überreste" und darauf, ob nicht irgendeine neue Software wieder eine Java-Runtime und damit vielleicht sogar ein Browser-Plug-In mit "eingeschleppt" hat.

  • Wenn Sie Java benötigen - vor allem als Plug-In im Browser - - sorgen Sie dafür, dass die Software immer auf dem aktuellsten Stand ist. Kontrollieren Sie dies nach Möglichkeit von Zeit zu Zeit auch manuell.

  • Verwenden Sie Sicherheitsprogramme wie den Script-Blocker NoScript in Ihrem Browser: Mit Hilfe dieser Programme lässt sich nicht nur der Einsatz von Scripten wirkungsvoll blockieren, sondern beispielsweise auch der Gebrauch von Java auf Seiten unterbinden, denen der Anwender "nicht traut" (untrusted). Zudem können Sie mit Hilfe solcher Programme relativ fein granuliert steuern, auf welchen Seiten Sie welche aktiven Techniken zulassen.

  • Nehmen Sie regelmäßig Update vor und überprüfen Sie, ob die Java-Software auf dem aktuellen Stand ist. Dazu eignet sich beispielsweise im Mozilla Firefox die Option zur Überprüfung der Plug-Ins im "Add-On Manager".

Java wieder "loswerden"

Grundsätzlich ist die Deinstallation von Java - bei den aktuellen Versionen der Software - einfach: Unter Windows 7 finden Anwender bei "Programme und Funktionen" und unter Windows 8 unter "Programme" (bei beiden Windows-Version in den Systemeinstellungen) das installierte Java-Software-Paket mit seiner genauen Versionsbezeichnung. Mit einem Rechtsklick kann die Software endgültig aus dem Betriebssystem entfernt werden.

Die Software kann unter Windows, direkt unter dem Eintrag Programme (beziehungsweise „Programme und Funktionen“ unter Windows 7) wieder deinstalliert werden.
Die Software kann unter Windows, direkt unter dem Eintrag Programme (beziehungsweise „Programme und Funktionen“ unter Windows 7) wieder deinstalliert werden.
Foto: Thomas Bär / Frank-Michael Schlede

Wer nur die Unterstützung von Java in seinem Browser deaktivieren möchte, kann dies beispielsweise beim Mozilla Firefox unter dem Menüpunkt "Add-On" tun. Dort die Plug-Ins auswählen und im folgenden Menü das Java-Plug-In deaktivieren/deinstallieren. Hier finden Sie auch den Link, der eine Überprüfung der Plugins auf Aktualität ermöglicht. (sh)