# taz.de -- Lecks in Programmierumgebung: Java besser abschalten
       
       > Erneut sind schwere Sicherheitslücken in der weit verbreiteten
       > Programmierumgebung Java aufgetaucht – das aber kaum verwendet wird.
       > Zeit, sie zu entfernen.
       
 (IMG) Bild: Macht Durst auf Kaffee: Java-Logo.
       
       BERLIN taz | Es ist ein wenig wie bei einer seit Jahren unabgeschlossenen
       Kellertür, von deren Existenz man nichts weiß: Auf den meisten PCs befindet
       sich eine Kopie der Programmierumgebung
       [1][//en.wikipedia.org/wiki/Java_%28software_platform%29:Java], auch wenn
       relativ wenige Nutzer sie überhaupt noch aktiv nutzen.
       
       Das Problem: Über die Jahre hat es immer wieder schwerwiegende
       Sicherheitslücken in Java gegeben und Nutzer neigen dazu, die Software
       selten oder gar nicht zu aktualisieren. Da Java auch über ein Plug-in im
       Browser aufrufbar ist, lassen sich Löcher in der Programmierumgebung
       vergleichsweise leicht ausnutzen.
       
       Jüngstes Beispiel ist eine kritische Lücke in Java-Version 7, die von
       Online-Ganoven bereits aktiv verwendet wurde, um Datenschädlinge zu
       installieren. Zwar hat Hersteller Oracle mittlerweile ein [2][Update]
       online gestellt. Doch Experten wie der polnische Sicherheitsforscher Adam
       Gowdiak, der 2012 zahlreiche Java-Probleme aufgedeckt hatte, glauben nicht,
       dass das ausreicht. Die grundsätzlichen Lücken in der Software seien nach
       wie vor nicht behoben. „Wir trauen uns nicht, den Usern mitzuteilen, dass
       es sicher ist, Java wieder zu aktivieren“, so Gowdiak.
       
       Sein Kollege HD Moore stieß ins gleiche Horn: Um alle Fehler zu beheben,
       die aktuell in Java steckten, mit dem sich viele Nutzer im Internet
       bewegen, werde es für Oracle bis zu zwei Jahre dauern – und das nur unter
       der Voraussetzung, dass es keine weiteren großen „Exploits“ gebe.
       
       Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt
       vor Java. Die von Oracle mittlerweile behobene Schwachstelle sei bereits in
       weit verbreiteten Exploit-Kits vorhanden „und kann somit massiv und relativ
       einfach ausgenutzt werden“. Noch in der vergangenen Woche
       [3][//www.bsi.bund.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell
       /Meldungen/Sicherheitsluecke-in-Java-Version_29082012.html:empfahl das BSI]
       deshalb, Java in den gängigen Browsern zu deaktivieren. Nach erscheinen der
       Oracle-Aktualisierung, die die Versionsnummer Java 7 Update 11 trägt, war
       das BSI allerdings bereit,
       [4][//www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Entwa
       rnung_Update_Schw_Java_7_10_14012013.html:Entwarnung] zu geben: Mit dem
       Update könne man die Browser-Plug-ins nun wieder aktivieren und nutzen.
       
       ## Im Auftrag der Regierung
       
       Ein Problem an Java ist die Tatsache, dass die Programmierumgebung noch
       immer bei einigen wichtigen Anwendungen verwendet wird –
       problematischerweise auch solchen, die die Bundesregierung in Auftrag
       gegeben hat. Dazu gehört etwa ein [5][Werkzeug] für den neuen
       Personalausweis, mit dem die sogenannte eID-Funktion verwendet werden kann.
       Dass es auch ohne Java geht, zeigt indes Apple: Dessen jüngstes
       Betriebssystem Mountain Lion kommt standardmäßig ganz ohne die Software.
       Wer sie wirklich will, muss sie nachinstallieren.
       
       Neben Java gilt auch die Multimedia-Umgebung Flash als großes Einfallstor
       für Online-Angreifer. Diese wird im Gegensatz zu Java im Netz noch vielfach
       verwendet, beispielsweise zur Darstellung von Videos oder Browserspielen.
       Das Problem: Viele Nutzer halten Flash nicht aktuell, so dass bereits
       bekannte Sicherheitslücken auf ihrem Rechner bestehen bleiben. Ähnlich wie
       bei Java sind bei Flash sogenannte „Drive-by-Exploits“ möglich: Dabei
       reicht es aus, eine infizierte Web-Seite im Browser nur aufzurufen, um sich
       einen Datenschädling einzufangen. Flash sollte daher über die eingebaute
       Update-Funktion automatisch aktualisiert werden.
       
       Alternativ lässt sich auch ein Browser wie [6][Google Chrome] einsetzen,
       der Flash selbst und unabhängig vom restlichen Betriebssystem aktuell hält.
       Sowohl Java als auch Flash lassen sich zudem im Browser so einstellen, dass
       sie nicht automatisch, sondern nur per Klick des Nutzers ausgeführt werden
       können. Dieses Feature steckt als „Click to Play“ beispielsweise in
       [7][Firefox], aber auch in Chrome. Die Firefox-Macher haben diese Funktion
       für die von Sicherheitslücken betroffene Java-Version mittlerweile
       [8][automatisch aktiviert].
       
       15 Jan 2013
       
       ## LINKS
       
 (DIR) [1] http://https
 (DIR) [2] http://www.heise.de/security/meldung/Oracle-patcht-kritische-Java-Luecke-1782915.html
 (DIR) [3] http://https
 (DIR) [4] http://https
 (DIR) [5] http://de.wikipedia.org/wiki/Personalausweis_(Deutschland)#eID-Funktion
 (DIR) [6] /Vor--und-Nachteile-von-Googles-Chrome-/!97461/
 (DIR) [7] http://blog.mozilla.org/addons/2012/10/11/click-to-play-coming-firefox-17/
 (DIR) [8] http://blog.mozilla.org/security/2013/01/11/protecting-users-against-java-vulnerability/
       
       ## AUTOREN
       
 (DIR) Ben Schwan
       
       ## TAGS
       
 (DIR) Firefox
 (DIR) Browser
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Sicherheitslücken beim Internet Explorer: Bundesamt empfiehlt Abschaltung
       
       Der Browser Internet Explorer ist nach Ansicht des Bundesamtes für
       Sicherheit in der Informationstechnik ein hohes Sicherheitsrisiko. Er
       sollte nicht genutzt werden.
       
 (DIR) Sicheres Chatten mit Crypto.cat: Der Katzenkryptograf
       
       Nutzer haben Vieles im Netz nicht unter ihrer Kontrolle, findet Nadim
       Kobeissi. Deshalb hat er einen verschlüsselten Browserchat erfunden.