Java-Security-Risiken: So schützen Sie sich

Warum Java gefährlich ist

Grundsätzlich hat jedes größere Softwareprojekt das Problem der Fehleranfälligkeit. Noch schwieriger und komplexer wird die Situation, wenn eine Software im Zusammenspiel mit einer anderen Software oder gar dem Betriebssystem agieren muss - Systemverwalter und Sicherheitsbeauftragte können ein Lied davon singen.

Ein weiteres großes Problem bei Java: Hier werden Programme auf dem PC ausgeführt. Um Programme auf einem Rechner (ganz gleich mit welchem Betriebssystem er betrieben wird) auszuführen, benötigen diese Ressourcen des Betriebssystems und in einigen Fällen auch Zugriff auf die dort gespeicherten Dateien. Vielfach werden diese Aktionen dabei mit sämtlichen Rechten des jeweiligen Nutzers ausgeführt - arbeitet dieser mit den Zugriffsrechten eines Administrators, so sind auch gefährliche Zugriffe und Änderungen möglich. Obwohl es schon seit Windows Vista für einen Standardnutzer nicht mehr wie unter Windows XP nötig ist, mit den Rechten eines Administrators zu arbeiten, ist dies leider allzu häufig noch die Regel.

Nun haben sich die Java-Entwickler ein grundsätzlich gutes Konzept einfallen lassen, indem sie die Java-Programme in einer virtuellen Maschine ausführen und deren Zugriffe auf das System damit abblocken wollten. Die Praxis zeigt leider, dass dies nicht der Fall ist und dass hier auch viele Einflüsse von anderen Programmen einwirken können, die sich dann als veritable Sicherheitslücken entpuppen (in der Computerwissenschaft als "side effects" bezeichnet und häufig mit "Seiteneffekt" nicht zutreffend übersetzt).

Fehler in der Implementierung und bei der Umsetzung neuer Funktionen und Bibliotheken tun ein Übriges, dass immer wieder Sicherheitslücken entstehen. Diese müssen dann vom Anbieter - in diesem Fall Oracle - durch entsprechende Patches und Upgrades wieder beseitigt werden.

Grundsätzlich gilt auch hier: Anwender sollte keine Software aus unbekannten und/oder potenziell unsicheren Quellen auf ihren Systemen ausführen. Genau das tun sie häufig aber, wenn sie eine Website aufrufen, die ein Java-Applet auf dem lokalen PC startet.