Anfang März stellte das Bundesamtes für Sicherheit in der Informationstechnik (BSI) seine sogenannte Schwachstellenampel vor. Sie ist als regelmäßig aktualisierter Indikator für Sicherheitslücken in gängigen Software-Produkten gedacht.
Kritische Java-Lücken werden auf PC und Mac in großem Stil ausgenutzt
Es ist der 3. April. Zahlreiche Medien1 und Sicherheitsspezialisten warnen seit Tagen vor in großem Stil durchgeführten Computer-Angriffen, die auf Sicherheitslücken in Java abzielen. Für Windows wurden die aktuell ausgenützten Schwachstellen (fünf davon hatte Oracle in die höchste Risikoklasse einordnet) bereits Mitte Februar durch Java SE 7 Update 3 bzw. Java SE 6 Update 31 geschlossen2. Natürlich haben zahlreiche PC-Anwender dieses Update derzeit immer noch nicht eingespielt. Für Mac-User sieht es noch schlechter aus, denn Apple hat noch gar keine gepatchte Version seiner hauseigenen Java-Implementierung ausgeliefert, weshalb Apple-Jüngern von Sicherheitsfachleuten empfohlen wird, auf ihren Macs Java komplett zu deaktivieren bis ein entsprechendes Update verfügbar ist (Stichwort: „Flashback-Trojaner”).
Schwachstellen in der Schwachstellenampel
Um wohl genau solchen Gefahren zu begegnen, hat das BSI vor einem Monat seine Schwachstellenampel ins Netz gestellt: „Die Schwachstellenampel ist ein Indikator, der die aktuelle Sicherheitslage in Bezug auf Sicherheitslücken in gängigen Softwareprodukten verdeutlicht.” Wir schauen nach:
Als letztes Änderungsdatum wird derzeit der 20.03.2012 angegeben.
Dass das so beruhigend aussieht, wirkt auf mich unter den gegebenen Umständen natürlich sehr beunruhigend. Es gibt dann noch eine weitere Tabelle mit „Informationen zu Schwachstellen, ohne dass diese zuverlässig einem bestimmten Produkt des jeweiligen Herstellers zugeordnet werden können.” Das trifft für den oben genannten Fall zwar nicht zu, aber der Vollständigkeit halber bilde ich auch diese Tabelle hier ab.
Ich verstehe nicht wem diese Ampel was mitteilen möchte. Tatsache ist, dass alle Mac-Anwender Java vollständig deaktivieren und alle PC-Anwender sich nur dann sicher fühlen sollten, wenn sie sich vergewissert haben, dass ihr System mit der aktuellen Java-Version läuft. Inwiefern diese Schwachstellenampel dabei behilflich sein soll ist mir unverständlich, und in der gegenwärtigen Form halte ich sie sogar eher für kontraproduktiv.
Alternative: Secunia PSI
Wie es richtig ginge, zeigt das dänische Sicherheitsunternehmen Secunia mit seinem Tool Secunia PSI (Personal Software Inspector)3. Die für Privatanwender kostenlose Software durchsucht den Computer nach ausführbaren Programmen, meldet Verwundbarkeiten und bietet automatische oder manuelle Lösungen an.
Freilich braucht man ein gewisses Maß an Vertrauen zu einem Anbieter, wenn man ihn den eigenen Softwarebestand scannen lässt. Während viele Anwender Secunia dieses Vertrauen entgegenbringen, da das Unternehmen als Sicherheitsspezialist im Missbrauchsfall um seinen hervorragenden Ruf und somit um sein geschäftliches Überleben bangen müsste, haben deutsche staatliche Institutionen in Zeiten verfassungswidriger Bundestrojaner dieses Vertrauen natürlich längst verspielt. Der Versuch des BSI, eine ähnliche, nützliche Lösung anzubieten, würde nicht nur bei der viel zitierten „Netzgemeinde” allenfalls höhnisches Gelächter erzeugen. Womöglich ahnt man das beim BSI schon und probiert es gar nicht erst…
Weiterführende Links
Fußnote 1:
Zum Beispiel Heise: Kritische Java-Lücke wird im großen Stil ausgenutzt
Fußnote 2:
Siehe Oracle Java SE Critical Patch Update Advisory – February 2012
Fußnote 3:
Secunia PSI