In Zeiten von Cloud-Computing, sozialen Netzwerken, vernetzter Heimelektronik sowie Online-Shopping und -Banking betreffen die Themen Sicherheit und Datenschutz nicht nur Firmen, sondern jeden einzelnen Internetnutzer. Ein guter Virenschutz ist dabei aber nur die halbe Miete, denn diese Programme reagieren nur zuverlässig auf Bedrohungen, welche bereits bekannt sind. Nutzen Angreifer bisher unbekannte Schwachstellen, ist die Chance groß, dass sie den Computer trotz Firewall und Virenschutz mit Schadsoftware infizieren können. Dies gilt insbesondere für das betagte Windows XP, welches noch nicht über die Schutzmechanismen moderner Betriebssysteme verfügt.

Die Verbrecher verwenden heutzutage seltener direkte Einfallstore wie den Internetbrowser oder das Betriebssysteme, sondern greifen lieber auf Zusatzprogramme wie Adobes Reader und Flash Player oder die Laufzeitumgebung von Java zurück. Seit Jahren zeichnet sich dieser Trend ab und insbesondere Java und der Flash Player mussten in den vergangenen Monaten oftmals außer der Reihe geflickt werden, um Angriffe auf bis dato unbekannte Sicherheitslücken zu unterbinden. Obwohl Oracle erst Anfang Februar 2013 stolze 50 Sicherheitslücken in Java geschlossen hatte, musste heute schon wieder nachgebessert werden. Unser Sicherheitsratgeber erklärt am Beispiel von Windows XP (hier ist die Gefahr erfolgreicher Infektionen am größten), wie man Java absichern kann.

Das Java Plug-in systemweit deaktivieren
"3 Milliarden Geräte verwenden Java" verkündet Oracle stolz während der Installation der Laufzeitumgebung Java JRE. Java läuft nicht nur auf Computern, sondern auch auf Smartphones, Mobil- und VoIP-Telefonen, elektronischen Büchern, Fernsehgeräten und Set-Top-Boxen, Routern, Druckern und in Fahrzeugen. Die große Verbreitung von Java lässt sich einfach erklären: Man schreibt ein Programm, welches nicht nativ an eine Architektur gebunden ist, sondern über Laufzeitumgebungen auf den unterschiedlichsten Rechnerarchitekturen läuft. Ein geniales Konzept, welches von vielen Herstellern genutzt wird.

Wie mit allen Programmiersprachen, lassen sich auch mit Java schädliche Programme erstellen. Die Laufzeitumgebung ist zwar mit Schutzmechanismen wie einer Sandbox - ein isolierter Bereich, in dem bösartiger Code normalerweise keinen Schaden anrichten kann - ausgestattet, doch in der Vergangenheit ließen sich diese bereits mehrfach umgehen. Das Hauptproblem ist aber nicht die Laufzeitumgebung an sich, sondern ihre Integration in diversen Internetbrowsern. Diese geschieht mit Hilfe von Plug-ins, welche zusammen mit Java JRE installiert werden und durch die ein Java-Angriff beim Aufruf bösartiger Webseiten erst möglich wird. Wohlgemerkt: Wir sprechen hier über Java und nicht über die Scriptsprache JavaScript, welche vom Internetbrowser selbst verarbeitet wird.

Wer eine Webseite öffnet, kann sich leider nie sicher sein, ob diese bösartigen Java-Code startet. Darum sollte man auf Nummer sicher gehen und die Java-Unterstützung für alle Browser deaktivieren. Dies hat mittlerweile auch Oracle eingesehen und die Java-Konfiguration seit der Version 7 Update 10 mit der Option "Enable Java content in the browser" versehen. Die Java-Konfiguration öffnen wir über die Systemsteuerung von Windows und wählen dann den Reiter "Security".

Hier entfernen wir den Haken vor "Enable Java content in the browser". Wer im Internet nicht ganz auf Java verzichten möchte, kann hier alternativ eine Sicherheitsstufe definieren sowie manuelle Anpassungen vornehmen. Da nur wenige Webseiten Java benötigen, empfiehlt es sich den Weg der vollständigen Deaktivierung zu gehen und das Java Plug-In erst im Bedarfsfall wiederzubeleben. Damit unsere Änderungen Anwendung finden, müssen wir jeden Internetbrowser - oder idealerweise gleich den ganzen Rechner - neu starten. Erst danach sind alle Browser vor Java-Angriffen geschützt.

Wer nicht auf Java verzichten kann, sollte einen anderen Weg einschlagen und das Java Plug-in auf einen einzelnen Internetbrowser beschränken. Diesen verwendet man dann ausschließlich für vertrauenswürdige Java-Seiten, während ein anderer Browser zum normalen Surfen genutzt wird. Leider bietet Oracle für die unterschiedlichen Browser keine Einstellmöglichkeiten, so dass wir die Plug-ins manuell deaktivieren müssen. Wie das funktioniert, erklären wir auf den folgenden Seiten.