Manfred Kloiber: Obwohl das Loch nun gestopft ist, bleiben Fragen offen. Zum Beispiel, warum dieses Mal so heftig gewarnt wurde. Jan Rähm, was hat die Behörden so alarmiert?
Jan Rähm: In Java war das diesmal ein Zero-Day-Exploit. Und das heißt übersetzt soviel wie Nulltage-Lücke und bezeichnet eine hochkritische Sicherheitslücke, die dem Hersteller bis zum Bekanntwerden nicht klar war. Und diese Zero-Day-Exploits bergen ein sehr großes Angriffs- und Schadpotenzial. In diesem Fall betraf es die Java-Webanwendungen in der Java-Version 7. Und durch diese Lücke konnte ein voll gepatchtes Windows, also ein Windows mit allen Sicherheitsupdates ... da konnte beliebiger Code eingeschleust und ausgeführt werden. Der Besuch einer infizierten Webseite reichte dafür schon aus. Außerdem heißt es, dass diese Lücke schon vielfältig in Aktion war bei Cyber-Kriminellen. Und das ist gerade auch hier in Deutschland kritisch, weil viele wichtige Anwendungen im Webbrowser auf Java basieren, zum Beispiel das Steuermeldeverfahren ELSTER, die Ausweis-App für den neuen Personalausweis und auch viele Fernzugriffslösungen für Unternehmensnetzwerke – die setzen alle auf Java.
Kloiber: In diesem Fall also klaffte die Lücke vor allem auf der Anwenderseite von Java. Doch die ist nicht zu unterschätzen. Denn das Softwaresystem Java hat eine enorme Verbreitung.
Beginn Beitrag:
Fast 20 Jahre ist Java alt. Die Programmiersprache an sich ist aber nur ein Teil eines komplexen Software-Baukastens, der ursprünglich mit dem Bestreben nach mehr Sicherheit in IT-Systemen entwickelt wurde. Zu Java gehören die Programmiersprache selbst, das Entwicklungswerkzeug Java Development Kit und die Laufzeitumgebung Java Runtime Environment. Das Development Kit wird zum Erstellen von Anwendungen genutzt und die Laufzeitumgebung sorgt für deren Ausführung auf unterschiedlichen Betriebssystemen.
Java-Anwendungen wiederum gibt es als Webanwendungen, Desktop-Programme, Applets und in jüngster Zeit auch als mobile Anwendungen, als Apps. Dabei hat Java den Anspruch, Plattform-unabhängig zu sein. Deshalb und wegen der vielen Spielarten und Einsatzbereiche ist Java zu einem der erfolgreichsten Programmiersysteme geworden. Ole Behrens von Schütze Consulting, ein Berliner Unternehmen, dass sich auf die Arbeit mit Java spezialisiert hat:
"Ich würde sagen, in den letzten fünf bis zehn Jahren hat sich Java zu einer der bedeutendsten Programmiersprachen in der Geschäftswelt gemausert. Wenn man sich anschaut, dass aktuell fast jedes dritte Stellenprofil, das gesucht wird, ein Java-Entwickler ist, kann man das auch ganz gut absehen, wie das im Markt nachgefragt wird."
Ein besonderes Merkmal von Java ist, dass bereits bei der Konzeption besonders auf Sicherheit geachtet wurde. So bietet Java beispielsweise ein automatisches Speichermanagement, dass Speicherüberläufe – ein gefürchtetes Sicherheitsrisiko in anderen Sprachen wie C oder C++ – unmöglich macht.
"Der große Vorteil von Java ist, dass es allein schon von der Architektur sehr stark auf Sicherheit und nicht nur auf die Sicherheit der Sprache selbst, sondern auch der Entwicklungsumgebung und der Art und Weise, wie man Code programmiert, setzt und da natürlich einen gewissen Industriestandard setzt. Und damit mit der Zeit immer stärker an Gewicht gewonnen hat und in vielen Anwendungen verwendet wird."
Doch trotz der auf Sicherheit ausgelegten Architektur hat auch Java immer wieder mit Sicherheitsproblemen und kritischen Lücken zu tun. Seine große Verbreitung hat dazu geführt, dass Java mittlerweile auch bei IT-Kriminellen sehr gefragt ist. Es hat sogar frühere Lieblings-Angriffsziele wie Flash oder den Adobe Reader abgelöst. Das hat auch Auswirkungen auf Unternehmen, die mit der Programmierung in Java ihr Geld verdienen. Wie das, für das Ole Behrens arbeitet.
"Wenn ich jetzt an Neukunden denke, wenn die Marke Java dort leidet, ist es natürlich schwieriger, dann auch Projekte da zu beginnen. Der Argumentationsaufwand ist dann natürlich an dem Punkt höher. Wobei man da auch sagen muss, eine seriöse Beratung sieht halt immer wieder die Gesamtaspekte eines IT-Systems, macht eine Risikoanalyse zu Beginn und macht dann Vorschläge, wie dieses Risiko zu minimieren ist. Denn ich wage zu behaupten, dass, egal welche Sprache man wählt, man immer ein Grundrisiko hat an vielen verschiedenen Ebenen und nur durch die Kombination mehrerer Maßnahmen ein sicheres System zu erzielen ist."
Deswegen setzen Behrens und seine Kollegen auf ein Modell mit mehreren Schichten.
"Wir versuchen grundsätzlich, ein mehrschichtiges System mit mehreren Absicherungslösungen zu schaffen, so dass jetzt ein solcher Exploit natürlich immer ein Risiko darstellt, aber in der Risikoanalyse von vornherein bedacht ist und nicht dazu führt, dass das gesamte System korrumpiert wird."
Trotzdem: Sollte Java weiter durch Sicherheitslücken in den Schlagzeilen bleiben, müsste auch die Berliner Firma umdenken. Denn dann würde es immer schwieriger werden, den Kunden klarzumachen, warum ausgerechnet Java die richtige Wahl für ihr Projekt ist.
Zum Themenportal "Risiko Internet"
Jan Rähm: In Java war das diesmal ein Zero-Day-Exploit. Und das heißt übersetzt soviel wie Nulltage-Lücke und bezeichnet eine hochkritische Sicherheitslücke, die dem Hersteller bis zum Bekanntwerden nicht klar war. Und diese Zero-Day-Exploits bergen ein sehr großes Angriffs- und Schadpotenzial. In diesem Fall betraf es die Java-Webanwendungen in der Java-Version 7. Und durch diese Lücke konnte ein voll gepatchtes Windows, also ein Windows mit allen Sicherheitsupdates ... da konnte beliebiger Code eingeschleust und ausgeführt werden. Der Besuch einer infizierten Webseite reichte dafür schon aus. Außerdem heißt es, dass diese Lücke schon vielfältig in Aktion war bei Cyber-Kriminellen. Und das ist gerade auch hier in Deutschland kritisch, weil viele wichtige Anwendungen im Webbrowser auf Java basieren, zum Beispiel das Steuermeldeverfahren ELSTER, die Ausweis-App für den neuen Personalausweis und auch viele Fernzugriffslösungen für Unternehmensnetzwerke – die setzen alle auf Java.
Kloiber: In diesem Fall also klaffte die Lücke vor allem auf der Anwenderseite von Java. Doch die ist nicht zu unterschätzen. Denn das Softwaresystem Java hat eine enorme Verbreitung.
Beginn Beitrag:
Fast 20 Jahre ist Java alt. Die Programmiersprache an sich ist aber nur ein Teil eines komplexen Software-Baukastens, der ursprünglich mit dem Bestreben nach mehr Sicherheit in IT-Systemen entwickelt wurde. Zu Java gehören die Programmiersprache selbst, das Entwicklungswerkzeug Java Development Kit und die Laufzeitumgebung Java Runtime Environment. Das Development Kit wird zum Erstellen von Anwendungen genutzt und die Laufzeitumgebung sorgt für deren Ausführung auf unterschiedlichen Betriebssystemen.
Java-Anwendungen wiederum gibt es als Webanwendungen, Desktop-Programme, Applets und in jüngster Zeit auch als mobile Anwendungen, als Apps. Dabei hat Java den Anspruch, Plattform-unabhängig zu sein. Deshalb und wegen der vielen Spielarten und Einsatzbereiche ist Java zu einem der erfolgreichsten Programmiersysteme geworden. Ole Behrens von Schütze Consulting, ein Berliner Unternehmen, dass sich auf die Arbeit mit Java spezialisiert hat:
"Ich würde sagen, in den letzten fünf bis zehn Jahren hat sich Java zu einer der bedeutendsten Programmiersprachen in der Geschäftswelt gemausert. Wenn man sich anschaut, dass aktuell fast jedes dritte Stellenprofil, das gesucht wird, ein Java-Entwickler ist, kann man das auch ganz gut absehen, wie das im Markt nachgefragt wird."
Ein besonderes Merkmal von Java ist, dass bereits bei der Konzeption besonders auf Sicherheit geachtet wurde. So bietet Java beispielsweise ein automatisches Speichermanagement, dass Speicherüberläufe – ein gefürchtetes Sicherheitsrisiko in anderen Sprachen wie C oder C++ – unmöglich macht.
"Der große Vorteil von Java ist, dass es allein schon von der Architektur sehr stark auf Sicherheit und nicht nur auf die Sicherheit der Sprache selbst, sondern auch der Entwicklungsumgebung und der Art und Weise, wie man Code programmiert, setzt und da natürlich einen gewissen Industriestandard setzt. Und damit mit der Zeit immer stärker an Gewicht gewonnen hat und in vielen Anwendungen verwendet wird."
Doch trotz der auf Sicherheit ausgelegten Architektur hat auch Java immer wieder mit Sicherheitsproblemen und kritischen Lücken zu tun. Seine große Verbreitung hat dazu geführt, dass Java mittlerweile auch bei IT-Kriminellen sehr gefragt ist. Es hat sogar frühere Lieblings-Angriffsziele wie Flash oder den Adobe Reader abgelöst. Das hat auch Auswirkungen auf Unternehmen, die mit der Programmierung in Java ihr Geld verdienen. Wie das, für das Ole Behrens arbeitet.
"Wenn ich jetzt an Neukunden denke, wenn die Marke Java dort leidet, ist es natürlich schwieriger, dann auch Projekte da zu beginnen. Der Argumentationsaufwand ist dann natürlich an dem Punkt höher. Wobei man da auch sagen muss, eine seriöse Beratung sieht halt immer wieder die Gesamtaspekte eines IT-Systems, macht eine Risikoanalyse zu Beginn und macht dann Vorschläge, wie dieses Risiko zu minimieren ist. Denn ich wage zu behaupten, dass, egal welche Sprache man wählt, man immer ein Grundrisiko hat an vielen verschiedenen Ebenen und nur durch die Kombination mehrerer Maßnahmen ein sicheres System zu erzielen ist."
Deswegen setzen Behrens und seine Kollegen auf ein Modell mit mehreren Schichten.
"Wir versuchen grundsätzlich, ein mehrschichtiges System mit mehreren Absicherungslösungen zu schaffen, so dass jetzt ein solcher Exploit natürlich immer ein Risiko darstellt, aber in der Risikoanalyse von vornherein bedacht ist und nicht dazu führt, dass das gesamte System korrumpiert wird."
Trotzdem: Sollte Java weiter durch Sicherheitslücken in den Schlagzeilen bleiben, müsste auch die Berliner Firma umdenken. Denn dann würde es immer schwieriger werden, den Kunden klarzumachen, warum ausgerechnet Java die richtige Wahl für ihr Projekt ist.
Zum Themenportal "Risiko Internet"