Java-Chaos birgt grosses Cyber-Angriffsrisiko

Auf fast zwei Dritteln aller Unternehmens-PCs sind demnach mehrere Java-Versionen installiert, im gesamten Unternehmensnetz finden sich oft Dutzende - die meisten davon veraltet und entsprechend unsicher. Ein wesentliches Grundproblem ist demnach, dass Java-Updates alte Versionen oft nicht beseitigen.

Heilloses Versionschaos

Bit9 hat in hunderten Unternehmen rund um die Welt etwa eine Mio. Endpunkte analysiert und ist auf ein wahres Versionschaos gestossen. Schon auf der Mehrheit der Rechner laufen zumindest zwei Versionen, innerhalb eines Unternehmens finden sich im Normalfall über 50. In jeder 20. Enterprise-Umgebung sind sogar über 100 Java-Varianten zu finden. Die gängigste Version ist demnach Java 6 Version 20, die auf neun Prozent der Rechner läuft und 96 höchst kritische Sicherheitslücken hat. Dagegen nutzt weniger als ein Prozent der Unternehmen das aktuellste Java. Teils finden sich laut Bit9-CTO Harry Sverdlove sogar Versionen, die so alt sind wie Windows 95.

«Über die letzten rund 15 Jahre herrschte bei IT-Administratoren die Fehlwahrnehmung, dass ein Updaten von Java seine Sicherheitsprobleme löst», meint Sverdlove. Doch gerade bei Java sei ein Update nicht gleich einem sauberen Upgrade. Denn lange Zeit wurde dabei zwar eine neuere Version von Java installiert, die alte aber nicht deinstalliert - für Angreifer nutzbare Schwachstellen bleiben erhalten. Das trägt auch dazu bei, dass nach wie vor die für viele Lücken bekannte Java-6-Generation die mit Abstand gängigste ist. Sie findet sich auf 82 Prozent aller Rechner, obwohl seit Juli 2011 Java 7 die aktuellste Produktgeneration ist.

Breite Ahnungslosigkeit

Die Ahnungslosigkeit der meisten Unternehmen, wie viele und wie alte Java-Versionen sich auf ihren Systemen finden, überrascht Sverdlove nicht. «Die meisten Organisationen haben keine Ahnung, was auf ihren Endpunkten und Servern läuft - ihnen fehlt der Einblick in diese Systeme», so der Bit9-CTO. Dem Sicherheitsanbieter zufolge wäre ergo für Unternehmen ein Audit aller genutzten Java-Versionen sinnvoll, um sich dann von nicht geschäftsrelevanten, unsicheren Java-Altlasten zu befreien.

Grundsätzlich ist davon auszugehen, dass ähnliches auch für Privatanwender gilt. Die wenigsten Heimanwender tendieren dazu, nach einem Java-Update auch zu überprüfen, ob wirklich alle Altversionen deinstalliert wurden. Wenn Sie in der Windows-Systemsteuerung je nach Windows-Version über den Unterpunkt Software oder Programme die Übersicht aller installierten Produkte aufrufen, können Sie feststellen, ob auf ihrem Rechner mehr als nur eine Java-Version zu finden ist bzw. ob es sich um die derzeit aktuellste (Java 7 Update 25) handelt.

 

 

(tafi/pte)