Manfred Kloiber: Tja, solche Sicherheitslücken ziehen an denen, die mit Java ihr Geld verdienen, eben nicht spurlos vorüber. Da ist es auch nachvollziehbar, wenn nach Alternativen gesucht wird. Jan Rähm, wie sieht es denn in der Praxis aus? Kann ein Unternehmen einfach so von einer Sprache zu einer anderen wechseln?
Jan Rähm: Nein, so einfach ist das leider nicht. Im Gespräch betonte Herr Behrens auch, dass gerade seine erfahrenen Programmierer das Kapital einer Firma seinen. Denn diese Programmierer hätten ja einerseits die Sprachkenntnisse in der Programmiersprache und andererseits ein allgemeines Verständnis verschiedener Programmierparadigmen und Programmierideen. Und letzteres können diese Programmierer durchaus übertragen, in dem Fall auf objektorientierte Sprachen. Aber diese Sprachkenntnis ist halt ganz fest drin. Und außerdem hat ein Unternehmen ja dann auch seine Referenzen in Java. Und der Programmierer hat einen gewissen Gewöhnungseffekt. Daher: So ein Wechsel braucht durchaus seine Zeit. Und die Frage ist auch: Gibt es überhaupt den Willen zum Wechsel? Und das ist eher unwahrscheinlich. Denn Java hat eine unglaublich große Zahl an Anhängern, hat eine sehr lebhafte Community. Es gibt ständig neue Lösungen für Probleme, es gibt neue Frameworks, die neue Funktionen bringen. Man kann also sagen: Java ist sehr vielfältig, sehr flexibel einsetzbar. Und deswegen ist es extrem unwahrscheinlich, dass Java kurzfristig irgendwie zu ersetzen ist.
Kloiber: Sind denn die Sicherheitslücken in Java häufiger als in vergleichbaren Sprachen?
Rähm: Man muss sagen: wahrscheinlich nicht. Denn jede Programmiersprache weist Fehler auf, ebenso wie jedes IT-System in irgendeiner Art und Weise immer fehlerbehaftet ist. Daher muss man schon bei der Konzeption die Gefahr minimieren. Aber durch seine weite Verbreitung sind Lücken in Java extrem kritisch. Also man denke nur an die Android-Plattform: einer der wichtigsten Bausteine dort ist die in Java geschriebene virtuelle Maschine Dalvik. Darin werden die Apps ausgeführt. Und Android ist ja nun mittlerweile wirklich sehr, sehr weit verbreitet, führt ja den Mobilfunkmarkt an. Und auch sonst ist Java sehr verbreitet. Und so reicht dann eine einzige Sicherheitslücke wie die vorliegende oder ehemals vorliegende, um Tausende, wenn nicht sogar Millionen von Opfern zu erwischen. Dazu kommt, dass Oracle bisher nur einen viermonatigen Rhythmus für Updates hat. Und das reicht professionellen Anwendern schon lange nicht mehr aus. Sie fordern, wie in diesem Fall geschehen, umgehend Abhilfe bei Problemen.
Kloiber: Und die Probleme scheinen ja tatsächlich auch weiterzugehen. Nur kurz nach der Veröffentlichung dieses Patches, des Sicherheitsupdates von Oracle, meldeten sich Stimmen, die behaupteten, weitere Nulltages-Lücken würden bereits ausgenutzt werden. Was ist da dran?
Rähm: Also diese Stimme, die Sie da ansprechen, wurde in einem Blogg namens Krebs on Security. Und das soll ein Krimineller gewesen sein, der sich damit gebrüstet hat, diese Lücke schon mehrfach für mehr als 5000 US-Dollar verkauft zu haben. Wie glaubhaft das ist, ist schwer einzuschätzen. Bisher gibt es dazu keine Bestätigung. Aber das US-CERT, also das Security-Response-Team rät weiter zu einer Deinstallation von Java. Das deutsche BSI dagegen hält den Patch in einer Stellungnahme für völlig ausreichend. Oracle selbst hält sich ziemlich bedeckt. Sie wollten uns gegenüber nichts zur vorliegenden Lücke sagen und auch nichts zu dieser potenziellen Lücke. Sie hatten in der Mitteilung nur gesagt, sie hätten zwei Probleme behoben. Da widersprechen Sicherheitsforscher und sagen, es wurde sogar nur eine Lücke geschlossen. Also das heißt, es bleibt ein bisschen spannend.
Kloiber: Das hört sich auch ein bisschen widersprüchlich an. Wie ist es nun: Soll man Java deinstallieren oder nicht?
Rähm: Das ist wirklich schwer zu sagen. Klar ist: Wer auf Java nicht angewiesen ist, wer Java nicht benutzt, sollte zur eigenen Sicherheit Java einfach vom Rechner runterschmeißen, es deinstallieren. Deutlich schwerer ist die Entscheidung schon für Anwender, die dringend auf Java angewiesen sind. Also sei es jemand, der mit Steuermeldeverfahren ELSTER arbeitet. Das könnten Steuerberater sein oder auch Freiberufler wie wir, oder die Ausweis-App benutzt für den Personalausweis. Oder halt auch die Leute, die auf Fernzugriffslösungen angewiesen sind. Die können natürlich jetzt nicht einfach Java deinstallieren, die brauchen das ja für die tägliche Arbeit. Oracle hat zumindest im Update dafür gesorgt, dass die Sicherheit ein wenig höher ist. Sie haben das Sicherheitslevel hochgesetzt. Das heißt, wenn Java im Browser ausgeführt werden soll, dann erscheint eine Nachfrage, ob man das wünscht. Und das ist grundsätzlich schon gut. Aber man sollte natürlich immer auch jede Meldung lesen. Das gilt ja ganz grundsätzlich. Denn auch viele weitere Lücken in anderer Software ist vorhanden, ich sage nur Flash oder ähnliches. Und oft ist es der Anwender, der nicht die Meldungen liest, sondern nur genervt auf "bestätigen" klickt. Das ist gefährlich, weil man hat sich schneller etwas eingefangen als einem lieb ist.
Zum Themenportal "Risiko Internet"
Jan Rähm: Nein, so einfach ist das leider nicht. Im Gespräch betonte Herr Behrens auch, dass gerade seine erfahrenen Programmierer das Kapital einer Firma seinen. Denn diese Programmierer hätten ja einerseits die Sprachkenntnisse in der Programmiersprache und andererseits ein allgemeines Verständnis verschiedener Programmierparadigmen und Programmierideen. Und letzteres können diese Programmierer durchaus übertragen, in dem Fall auf objektorientierte Sprachen. Aber diese Sprachkenntnis ist halt ganz fest drin. Und außerdem hat ein Unternehmen ja dann auch seine Referenzen in Java. Und der Programmierer hat einen gewissen Gewöhnungseffekt. Daher: So ein Wechsel braucht durchaus seine Zeit. Und die Frage ist auch: Gibt es überhaupt den Willen zum Wechsel? Und das ist eher unwahrscheinlich. Denn Java hat eine unglaublich große Zahl an Anhängern, hat eine sehr lebhafte Community. Es gibt ständig neue Lösungen für Probleme, es gibt neue Frameworks, die neue Funktionen bringen. Man kann also sagen: Java ist sehr vielfältig, sehr flexibel einsetzbar. Und deswegen ist es extrem unwahrscheinlich, dass Java kurzfristig irgendwie zu ersetzen ist.
Kloiber: Sind denn die Sicherheitslücken in Java häufiger als in vergleichbaren Sprachen?
Rähm: Man muss sagen: wahrscheinlich nicht. Denn jede Programmiersprache weist Fehler auf, ebenso wie jedes IT-System in irgendeiner Art und Weise immer fehlerbehaftet ist. Daher muss man schon bei der Konzeption die Gefahr minimieren. Aber durch seine weite Verbreitung sind Lücken in Java extrem kritisch. Also man denke nur an die Android-Plattform: einer der wichtigsten Bausteine dort ist die in Java geschriebene virtuelle Maschine Dalvik. Darin werden die Apps ausgeführt. Und Android ist ja nun mittlerweile wirklich sehr, sehr weit verbreitet, führt ja den Mobilfunkmarkt an. Und auch sonst ist Java sehr verbreitet. Und so reicht dann eine einzige Sicherheitslücke wie die vorliegende oder ehemals vorliegende, um Tausende, wenn nicht sogar Millionen von Opfern zu erwischen. Dazu kommt, dass Oracle bisher nur einen viermonatigen Rhythmus für Updates hat. Und das reicht professionellen Anwendern schon lange nicht mehr aus. Sie fordern, wie in diesem Fall geschehen, umgehend Abhilfe bei Problemen.
Kloiber: Und die Probleme scheinen ja tatsächlich auch weiterzugehen. Nur kurz nach der Veröffentlichung dieses Patches, des Sicherheitsupdates von Oracle, meldeten sich Stimmen, die behaupteten, weitere Nulltages-Lücken würden bereits ausgenutzt werden. Was ist da dran?
Rähm: Also diese Stimme, die Sie da ansprechen, wurde in einem Blogg namens Krebs on Security. Und das soll ein Krimineller gewesen sein, der sich damit gebrüstet hat, diese Lücke schon mehrfach für mehr als 5000 US-Dollar verkauft zu haben. Wie glaubhaft das ist, ist schwer einzuschätzen. Bisher gibt es dazu keine Bestätigung. Aber das US-CERT, also das Security-Response-Team rät weiter zu einer Deinstallation von Java. Das deutsche BSI dagegen hält den Patch in einer Stellungnahme für völlig ausreichend. Oracle selbst hält sich ziemlich bedeckt. Sie wollten uns gegenüber nichts zur vorliegenden Lücke sagen und auch nichts zu dieser potenziellen Lücke. Sie hatten in der Mitteilung nur gesagt, sie hätten zwei Probleme behoben. Da widersprechen Sicherheitsforscher und sagen, es wurde sogar nur eine Lücke geschlossen. Also das heißt, es bleibt ein bisschen spannend.
Kloiber: Das hört sich auch ein bisschen widersprüchlich an. Wie ist es nun: Soll man Java deinstallieren oder nicht?
Rähm: Das ist wirklich schwer zu sagen. Klar ist: Wer auf Java nicht angewiesen ist, wer Java nicht benutzt, sollte zur eigenen Sicherheit Java einfach vom Rechner runterschmeißen, es deinstallieren. Deutlich schwerer ist die Entscheidung schon für Anwender, die dringend auf Java angewiesen sind. Also sei es jemand, der mit Steuermeldeverfahren ELSTER arbeitet. Das könnten Steuerberater sein oder auch Freiberufler wie wir, oder die Ausweis-App benutzt für den Personalausweis. Oder halt auch die Leute, die auf Fernzugriffslösungen angewiesen sind. Die können natürlich jetzt nicht einfach Java deinstallieren, die brauchen das ja für die tägliche Arbeit. Oracle hat zumindest im Update dafür gesorgt, dass die Sicherheit ein wenig höher ist. Sie haben das Sicherheitslevel hochgesetzt. Das heißt, wenn Java im Browser ausgeführt werden soll, dann erscheint eine Nachfrage, ob man das wünscht. Und das ist grundsätzlich schon gut. Aber man sollte natürlich immer auch jede Meldung lesen. Das gilt ja ganz grundsätzlich. Denn auch viele weitere Lücken in anderer Software ist vorhanden, ich sage nur Flash oder ähnliches. Und oft ist es der Anwender, der nicht die Meldungen liest, sondern nur genervt auf "bestätigen" klickt. Das ist gefährlich, weil man hat sich schneller etwas eingefangen als einem lieb ist.
Zum Themenportal "Risiko Internet"