Java: Gefährlicher Ausbruch aus dem Sandkasten

Java sorgt immer wieder Probleme. (Foto: Flickr User Nat Bat; CC BY NC SA 2.0)

Java sorgt immer wieder Probleme. (Foto: Flickr User Nat Bat; CC BY NC SA 2.0)

Die Software ist überall: Auf Rechnern, auf Mobiltelefonen, auf Servern. Gerade deshalb sind Sicherheitslücken in Java so brisant und immer wieder wird vor ihnen gewarnt. Doch gerade staatliche Stellen setzen auf die Programmiersprache.

Es war eine Notbremse sonder gleichen: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte in der vergangenen Woche eine Warnung, wie man sie von deutschen Behörden nur selten liest: Wenn man die Software Java nicht unbedingt benötige, solle man sie tunlichst von seinem Computer entfernen. Das US-Heimatschutzminsterium schloss sich an. 

Und auch die Browser-Hersteller reagierten: Sowohl Mozilla Firefox als auch Apples Browser Safari deaktivierten Java zentral. Sicherheitsalarm höchster Stufe.

Aggressive Sicherheitslücke

Grund war eine besonders aggressive Sicherheitslücke, die kurz zuvor bekannt geworden war: Kriminelle konnten mit Hilfe von manipulierten Webseiten die Kontrolle über Rechner übernehmen, um Daten auszuspionieren, weitere Viren nachzuladen oder den Rechner auf Dauer zu übernehmen. Und nach Berichten von Experten taten sie das bereits fleißig.

Sicherheitslücken in Java sind nichts Neues – seit Jahren steht die vom US-Konzern Oracle herausgegebene Software auf den Spitzenplätzen der IT-Sicherheitswarnungen. Da die Software auf fast jedem Computer installiert ist, ist sie ein einladendes Angriffsziel für Kriminelle. Und ständig tauchen neue Lücken auf: So berichten verschiedene Sicherheitsexperten, dass trotz eines inzwischen herausgegebenen Updates Java nach wie vor verwundbar ist.

Sandkasten-Idee mit Mängeln

Dabei ist Java gerade wegen seiner Sicherheitsfunktionen so verbreitet. Statt Programme einfach auf dem Rechner zu installieren, führt Java die Befehle in einer so genannten “Sandbox” – einem Sandkasten – aus. Das bedeutet: Die Programme haben nur eingeschränkten Zugriff auf den Rechner des Nutzers und können beispielsweise keine Viren auf die Festplatte schreiben. Was immer sie dort tun: Schaden anrichten können sie nicht – ganz wie im Sandkasten. So ist es gedacht. Doch in der Praxis klappt das Konzept nicht ganz so gut: Immer wieder können Programme aus dem scheinbar harmlosen Sandkasten ausbrechen.

Eigentlich können Privatnutzer sich durch die Deinstallation von Java im Prinzip einen brisanten Risikoherd ersparen. Denn in den letzten Jahren wurden Java-Anwendungen für Privatanwender eher unpopulär. Nur wenige Webseiten verlangen heute noch das einst unverzichtbare Plugin: Online-Vorverkaufsstellen nutzen Java zur Platzreservierung, Webcams lassen sich mit Java-Applets steuern – nichts Unverzichtbares. Mit einer Ausnahme: Gerade von staatlichen Stellen herausgegebene Programme benötigen nach wie vor Java.

Deutsche Behörden setzen auf Java

Im Bemühen, die Verwaltung zu modernisieren, haben deutsche Behörden in den letzten Jahren große Anstrengungen unternommen, um zum Beispiel der elektronischen Personalausweis zu etablieren. Mit ihm kann man Formulare rechtsverbindlich zu Hause am Rechner unterschreiben – dazu benötigt wird allerdings oft auch Java. Wer die Erweiterung deinstalliert hat, muss die Formulare dann wie gehabt ausdrucken, unterschreiben und einschicken. Auch die Elektronische Steuererklärung per Browser verlangt die Installation von Java. Immerhin empfehlen die Finanzbehörden, Java für nicht vertrauenswürdige Webseiten zu deaktivieren. Problem: Diese Methode hilft nicht aber nicht gegen alle Java-Sicherheitslücken – deshalb die Empfehlung des BSI zur Deinstallation.

Auf die Anfrage von Hyperland, auf welche Dienste die Nutzer verzichten müssen, wenn sie Java deinstallieren, gibt sich die Behörde unterdessen ahnungslos. Ein Sprecher erklärt: “Das BSI empfiehlt, generell nur Software auf den Rechner aufzuspielen, die man tatsächlich braucht. Die Entscheidung, diese Empfehlung auch umzusetzen, obliegt dem jeweiligen Nutzer.” Inzwischen habe das BSI nach einem Update von Oracle wieder Entwarnung gegeben. Wenn der Nutzer beim nächsten Alarm ohne Java seine Umsatzsteuervoranmeldung nicht einreichen kann, ist das eben sein Problem.

(Das ZDF ist für den Inhalt externer Internetseiten nicht verantwortlich)

Autor: Torsten Kleinz

Autorenbild

Torsten Kleinz ist freier Journalist und Blogger aus Köln. Seine Kernfrage: Was macht das Netz mit uns und was machen wir mit dem Netz?
Alle Beiträge von Torsten Kleinz anzeigen