Ist Java wirklich unsicher?

Immer wieder schrecken Meldungen auf, nach denen eine Sicherheitslücke in Java gefunden wurde und aufgrund dessen man Java deinstallieren oder das Browser-Plugin deaktivieren soll. Doch ist das wirklich die optimale Lösung?

Deinstallieren Sie sofort Ihr Windows-Betriebssystem oder Mac OS, nur weil eine Sicherheitslücke gefunden wurde? Und glauben Sie wirklich, dass andere Systeme weniger Sicherheitslücken aufweisen?

Die Frage, ob eine Software sicher ist oder nicht, kann man grundsätzlich so beantworten: Es gibt keine Software, die 100%ig sicher ist. Jede Software hat ihre Lücken. Die Frage, auf die es ankommt, ist: „Wie schnell werden die Sicherheitslücken gefunden und behoben?“ Dass bei Software, die mehrere Millionen User nutzen, schneller und mehr Sicherheitslücken gefunden werden, als bei einer, die nur von einer Handvoll Usern verwendet wird, sollte einleuchtend sein. Das heißt aber nicht, dass eine weit verbreitete Software wie z.B. Java deshalb unsicherer ist. Nein, es werden nur mehr Sicherheitslücken in kürzeren Zeitabständen gefunden, was im Grunde ja positiv zu bewerten ist. Weniger verbreitete Software hat hingegen häufig noch erheblich gravierendere Sicherheitslücken. Nur werden diese in der Regel erst sehr viel später gefunden – wenn überhaupt.

Neben dem Auffinden von Sicherheitslücken ist ein weiterer wichtiger Aspekt, wie schnell eine solche Lücke geschlossen wird. Und auch hier gilt die Faustregel, je weiter eine Software verbreitet ist, desto größer ist das Unternehmen oder die Community, die dahinter steht und desto schneller ist eine Sicherheitslücke geschlossen.

Nehmen wir als Beispiel hier Java 7. Die neue Version war nur wenige Tage veröffentlicht und schon wurde eine große Sicherheitslücke gefunden, die wiederum innerhalb von wenigen Stunden von Oracle gefixt und somit beseitigt wurde. Wenn es sich hier um eine Software mit wenigen Anwendern gehandelt hätte, ist fraglich, ob diese Lücke überhaupt jemals gefunden worden wäre.

Die weite Verbreitung von Java und die damit verbundene weltweite Beobachtung bezüglich Sicherheitslücken ist aber nicht nur Segen sondern auch Fluch. Denn jeder neu entdeckte Fehler  wird sogleich als die ultimative Sicherheitslücke beschworen, die nun den Untergang des eigenen Systems zur Folge haben wird. Und aufgrund der weiten Verbreitung ist eine Anti-Java-Meldung stets einfach und günstig an den User zu bringen und somit gefundenes Fressen. Kaum einer wird über eine Sicherheitslücke in einer Software berichten, die nur eine geringe Verbreitung hat.

Ein gutes Beispiel dafür sind die Web-Browser Microsoft Internet Explorer und Mozilla Firefox. Als der Internet Explorer noch der mit großem Abstand am weitesten verbreitete Web-Browser war, hieß es häufig, dass er ein großes Sicherheitsrisiko darstelle und man auf alternative Browser wie z.B. Firefox ausweichen solle. Das Blatt hat sich in den letzten Jahren deutlich gewendet. Heute ist Firefox der beliebteste Web-Browser. Allerdings mit dem Seiteneffekt, dass dessen Sicherheitslücken scheinbar mit der Anzahl der User wachsen. Doch auch hier ist es so, dass eben nur mehr Lücken gefunden werden; unwahrscheinlich, dass die Firefox-Entwickler in letzter Zeit mehr davon produzieren. Aktuell läuft nun eine Diskussion, man solle auf Google Chrome umsteigen, da dieser sicherer als Firefox ist. Mal sehen, wie lange es dauert, bis auch zu Chrome die ersten Sicherheitsdiskussionen auftauchen und behauptet wird, die Software sei besonders unsicher…

Ach ja und denken Sie daran, falls Sie es nicht schon wissen: JavaScript hat mit Java nur die ersten vier Buchstaben gemeinsam. Sonst nichts. Das wird häufig auch gerne in Artikeln und Diskussionen (manchmal vielleicht absichtlich) durcheinander gebracht.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s