J wie Java

IT-Sicherheit

Meistens geht es in unseren Beiträgen um Themen rund um die Netzwerksicherheit. Doch heute soll es beim Buchstaben J um Java gehen. Die Java-Technik ist nicht nur eine Programmiersprache, sondern eine ganze Sammlung von Spezifikationen und Definition von Laufzeitumgebungen für Computerprogramme. Obwohl sie in letzter Zeit an Beliebtheit eingebüßt hat, ist sie immer noch eine recht verbreitete Programmiersprache und damit auch ein beliebtes Ziel für Hacker.

Die Geschichte von Java

Die meisten PC-Anwender kennen Java vom typische Kaffeetassen-Logo, das hin und wieder am eigenen PC auftaucht. Ursprünglich wurde Java vom Unternehmen Sun entwickelt. Dahinter steht eine Open Source Community bzw. eine General Public License. Über viele Jahre war es möglich, Java unentgeltlich zu nutzen. Dann übernahm das IT-Unternehmen Oracle Java. Seitdem ist Java für Unternehmen bzw. den kommerziellen Einsatz kostenpflichtig geworden.

Es gibt aktuell noch einige Anbieter, die Java weiterhin kostenpflichtig anbieten. Doch das ist gleichzeitig das Problem. Denn alle Produkte, die auf dem Rechner laufen, brauchen ab und zu ein Update, um Sicherheitslücken zu vermeiden. Egal, ob sie kostenpflichtig oder kostenlos sind.

Warum ist Java so beliebt?

Insgesamt hat Java gewisse Vorzüge. Entsprechend weit verbreitet ist die Technologie. Das hat aber auch Nachteile. Wenn Hacker angreifen möchten, haben sie viel Angriffsfläche. Da es immer wieder Sicherheitslücken gab und gibt, sind Updates wichtig. Unsere Schwachstellenanalysen hat bei alten Java-Versionen bereits Sicherheitslücken im dreistelligen Bereich aufgedeckt – auf einem einzigen Gerät. Dies passiert, wenn nötige Updates nicht installiert werden. Dass es ein Update gibt, ist nicht immer ersichtlich, da nicht jede Version aktiv danach sucht.

In einem großen Netzwerk kann es sein, dass es nötig ist, sich jeden einzelnen PC anzusehen. Nur so findet der Admin heraus, was genau auf dem Rechner drauf ist. Anschließend sind alle Programme entsprechend upzudaten. Um dies nicht manuell machen müssen, ist es empfehlenswert, einen automatischen Mechanismus einzurichten. Patchmanagement ist eine große Hilfe im Unternehmensalltag der IT.

Die Log4j: Die Java-Sicherheitslücke

Große Bekanntheit erlangte die Log4j-Sicherheitslücke. Dabei handelte es sich um eine Sicherheitslücke, die im November 2021 in der Apache Log4j-Bibliothek entdeckt wurde. Apache programmiert Klassenbibliotheken für Java. Durch die Sicherheitslücke hatten Hacker die Möglichkeit, einen Vektor einzubauen. Damit war es möglich, die vollständige Kontrolle über das Gerät zu erlangen. Möglich war das, wenn noch eine nicht gepatchte Version genutzt wurde.

Wer die Java-Variante von Oracle installiert hat, hat einen großen Vorteil. Diese Variante benachrichtigt automatisch über Updates. Dafür sorgt eine integrierte Funktion. Zudem prüft die Update-Funktion, wie lange Java schon nicht mehr auf dem Gerät genutzt wurde. Ab einer bestimmten Dauer schlägt das Programm automatisch die Deinstallation vor.

Was genau ist eine Sicherheitslücke in einer Anwendungssoftware?

Eine Sicherheitslücke ist ein Fehler im Programm. Einfach ausgedrückt, ermöglicht es diese Lücke, dass das Programm Sachen macht, die es so nicht sollte. Es ist zum Beispiel möglich, Java zu initiieren. Das bedeutet, dass Java Programmcode aus einer anderen – unsicheren – Quelle nachlädt und dann ausführt.  Das öffnet Tür und Tor für Trojaner. Damit das nicht passiert, hier noch einmal der Hinweis auf die Sicherheitsroutine und die regelmäßigen Updates.

Die Problematik hinter vermeintlich kostenlosen Tools

Zum Vergleich: Auch das Betriebssystem Linux ist kostenfrei. Ist es jedoch im Unternehmen im Einsatz, braucht es einen (bezahlten) Fachmann, der sich mit dem System auskennt. Für den Enterprise-Einsatz gibt es daher eine Reihe von kostenpflichtigen Serviceanbietern, die sich um die Wartung und Entwicklung kümmern.

An dieser Stelle ein wichtiger Hinweis von unserer Seite: Zum Ausprobieren sind kostenlose Tools gut. Vorsicht ist geboten, wenn Sie Ihr Unternehmen auf Freeware aufbauen wollen. Seine Einkommenssituation auf einem kostenlosen Tool aufzubauen, mag verlockend sein.  In der Praxis ist es schwierig und stellt sich eher früher als später als Problem heraus.

Fälle, in denen ein Update unmöglich ist

Dass das mit den Updates manchmal leichter gesagt ist als getan, wissen wir aus unserer eigenen Erfahrung. Es gibt zum Beispiel Kunden, die haben ein besonderes ERP-System im Einsatz. Damit dieses ERP-System läuft, muss eine bestimmte Version von Java Runtime installiert sein. Bei einer anderen Version von Java läuft das System nicht mehr. In diesem Fall kann der Kunde kein Update auf eine neuere und damit sichere Java-Version installieren. Wäre ich der Admin von diesem Unternehmen, wäre meine Empfehlung, eine Schwachstellenanalyse zu machen, um zumindest eine Übersicht über die betroffenen Geräte zu bekommen. Bei solchen Schwachstellenanalysen haben wir auch schon festgestellt, dass noch ein alter Mozilla Firefox in einer 32-Bit-Version läuft. Wir haben das gar nicht gemerkt, da unser Standard schon längst die 64-Bit-Version ist.

Updates sind unser täglich Brot

Wir werden nicht müde zu betonen, wie wichtig Updates sind. Wir patchen unsere Software standardmäßig auf die aktuellste Version. Bei Microsoft sind wir als User es gewohnt, dass wir irgendwann das Update vorgeschlagen bekommen. Die Entscheidung, es auszuführen, muss jeder User immer noch selbst treffen. Wir können nur empfehlen, auch Anwendungssysteme auf dem neuesten Stand zu halten. Und wenn Sie dabei Hilfe benötigen, sind wir gerne für Sie da.

Bei Fragen rund um IT-Sicherheit, Schwachstellenanalyse und Co. Nehmen Sie gerne Kontakt mit uns auf. Vereinbaren Sie jetzt ein unverbindliches Beratungsgespräch.