Old Java-Versions are killing you!

Hartmut Schlosser

„Die traurige Tatsache: Oracle patched Java. Wir nicht.“ Nach dieser Feststellung zieht Sicherheitsexperte Roger Grimes in einem Infoworld-Artikel das Fazit: Wenn wir es nicht hinbekommen, die eigenen Java-Anwendungen sicher zu machen, dann sollten wir sie loswerden.

Roger Grimes reagiert auf den jährlichen Sicherheitsbericht von Cisco, nach dem 91% aller Web-basierten Hackerangriffe die Java Runtime-Umgebung betreffen. Der eigentliche Skandal: 76% dieser Java-Anwender sind mit einer alten, nicht mehr unterstützten Java-Version unterwegs.

Grimes erkennt durchaus die Bemühungen Oracles an, die Sicherheitslöcher im Java-Browser-Plug-in zu stopfen. Doch können auch noch so viele und schnelle Patches durch Oracle die Gesamtsituation nicht verbessern, wenn die Updates nicht installiert werden!

Diese Update-Faulheit der User lässt Grimes zu dem nefasten Urteil kommen: Es ist die Zeit gekommen, den Unternehmen zu raten, Java auf dem Client nicht mehr zu verwenden.

Dass die Gefahr sich allerdings ausschließlich auf Java in Browser-Anwendungen bezieht, stellt Grimes nicht immer klar heraus. Beispielsweise sind Sätze wie der folgende pauschalisierend:

I think any company actively allowing the use of Java within its environment is accepting an unreasonably high risk of exploitation.

Besser gefällt da die Bemerkung, dass Unternehmen auf jeden Fall ihre Nutzung von Java überprüfen sollten: Was auch immer für Sicherheitsmaßnahmen getroffen wurden – Smart Cards, lange Passwörter, Biometrics -, nichts erhöhe die Sicherheit mehr, als das „Java-Problem“ zu lösen.

Im Grunde sind es also nicht die Bugs in Java, die ein Problem darstellen – Chrome, Firefox und Apple iTunes fabrizieren im Jahr beispielsweise viel mehr angreifbare Sicherheitslöcher. Es ist die Verbreitung alter Java-Versionen und die mangelnde Bereitschaft zum Update, die Hackern das Leben leicht machen.

Die Frage lautet dann aber: Kann man solche soziologischen bzw. psychologischen Faktoren überhaupt beeinflussen? In etwa so, wie die hässlichen Bilder auf Zigaretten-Packungen abschrecken sollen, eine Kampagne starten, die auf die Gefahren nicht aktueller Java-Versionen aufmerksam macht? Old Java-Versions are killing you?

Nun, den Statistiken zufolge ist anscheinend zumindest die Anzahl der Raucher zurückgegangen…

Geschrieben von
Hartmut Schlosser
Hartmut Schlosser
Content-Stratege, IT-Redakteur, Storyteller – als Online-Teamlead bei S&S Media ist Hartmut Schlosser immer auf der Suche nach der Geschichte hinter der News. SEO und KPIs isst er zum Frühstück. Satt machen ihn kreative Aktionen, die den Leser bewegen. @hschlosser
Kommentare

Hinterlasse einen Kommentar

1 Kommentar auf "Old Java-Versions are killing you!"

avatar
400
  Subscribe  
Benachrichtige mich zu:
TestP
Gast

Unternehmen mit alten Java-Versionen sollten ihre Admins feuern. Java lässt sich sehr leicht zentral per Gruppenrichtlinien ausrollen.

Grüße