Internet-Law

Onlinerecht und Bürgerrechte 2.0

14.1.13

Gilt die Empfehlung des BSI Java zu deinstallieren auch für Behörden, Gerichte und Anwälte?

Laut einer Meldung von Heise weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf eine kritische Schwachstelle in der aktuellen Java-Laufzeitumgebung hin und empfiehlt Java zu deinstallieren, bis ein Sicherheitsupdate vorliegt.

Die Empfehlung finde ich als Anwalt deshalb besonders interessant, weil das Elektronisches Gerichts- und Verwaltungspostfach (EGVP) eine Javaanwendung ist und eine Java Runtime Environment erfordert.

Das EGVP wird von Gerichten, Justizbehörden, Anwälten und anderen Behörden zum elektronischen Datenaustausch genutzt und stellt das offizielle und amtliche Tool dafür dar.

posted by Stadler at 10:40  

18 Comments »

  1. Das EGVP erfordert also „eine“ JRE. Muss es denn unbedingt die von Sun, äh, Oracle sein?

    Elster läuft in der Tat nur mit dem Original-JRE …

    Comment by Jens — 14.01, 2013 @ 10:55

  2. Besteht eine Verpflichtung, das EGVP zu benutzen? Bei Elster besteht eine solche Verpflichtung ja in der Tat …

    Comment by Jens — 14.01, 2013 @ 10:55

  3. Die Empfehlung sagt aber doch auch, das man zumindest das Browser-Plugin deaktivieren soll, wenn man die JRE benötigt

    Comment by Heiko — 14.01, 2013 @ 11:04

  4. Das Update ist draußen. Nur damit’s keine Probleme gibt. ;-)

    Comment by Stefan — 14.01, 2013 @ 11:16

  5. @Heiko: Als würde der normale Jurist oder Behördenmitarbeiter verstehen, was eine JRE ist …

    Comment by fukami — 14.01, 2013 @ 11:21

  6. Die Empfehlungen vom BSI sind grundsätzlich sinnfrei. Vor ein paar Jahren haben sie für die Verwaltungen empfohlen, dass man wegen LDAP zum Zugriff auf Trustcenter zur Validierung von X.509-Zertifikaten, doch den Firewall öffnen solle, um dann NAT (Network Adress Translation) bis zu den Endgeräten zu machen. Vorher machte man mit 10.er-Adressen einen direkten Zugriff aus dem Internet aus Sicherheitsgründen unmöglich und dann empfiehlt das BSI, das Netzwerk auf dem LDAP-Port der Welt zu öffnen. Völlig gaga.

    Ein anderes Beispiel ist die Verwendung von HTML in E-Mails. Bei einer Untersuchung von 32 Unternehmen vor drei Jahren hatte eins sich daran gehalten, dem BSI zu folgen, HTML nicht zu nutzen. Das war das BSI selber, aber nicht mal der der Dienstherr, das BMI.

    Nichtsdestotrotz vermute ich, dass es ratsamer ist aus Haftungsgründen, das EGVP derzeit nicht zu nutzen. heise sagt, dass Oracle sagt, dass man an einem Java-Patch arbeite:
    http://www.heise.de/newsticker/meldung/Oracle-kuendigt-Patch-fuer-0-Day-Luecke-in-Java-an-1782827.html

    Einfacher wäre natürlich, die EDV-Gerichtsbarkeit würde auf solche unsicheren Technologien verzichten und den Zugang zu Gericht einfacher machen. Bei Urkunden müssen wir ja auch nicht alle Unterschriften notariell beglaubigen und man nutzt das Strafrecht (Urkundenfälschung) statt technologischer Ansätze im Papierwesen. Die Schweizer machen das schon bei ordinärer E-Mail, ohne Technoschnickschnack bei Veränderungen eine E-Mail bei Weiterleitung auf Urkundenfälschung abzuheben. Aber Deutschland fällt halt immer weiter zurück im Vergleich zum Ausland durch die Subventionsprogramme für die „Sicherheitsfirmen“ und durch solche Esoterik wie die Störerhaftung beim WLAN:
    http://www.heise.de/newsticker/meldung/Tel-Aviv-will-stadtweit-WLAN-anbieten-1782873.html

    Aber dafür haben wir eine schöne EIDG, wo sich jetzt alle duzen und dicke Papiere für den Schrank produzieren. Ist ja auch was.

    Comment by Wolfgang Ksoll — 14.01, 2013 @ 11:32

  7. Nachtrag:
    Patchen:
    http://www.heise.de/newsticker/meldung/Oracle-patcht-kritische-Java-Luecke-1782915.html

    Comment by Wolfgang Ksoll — 14.01, 2013 @ 11:34

  8. Hmm, Elster ginge nicht, eID (Personalausweis) ginge nicht, eGK ginge nicht. Das zum Praxisbezug dieser Empfehlung.

    Comment by Lars — 14.01, 2013 @ 11:47

  9. Man kann den Java-Support begrenzt für den Browser deaktivieren. Das geht in Chrome, indem man chrome://plugins/ in die Adresszeile eingibt und Java deaktiviert.

    Dann können gehackte Webseiten die Schwachstelle nicht ausnutzen, weil im Browser Java nicht läuft. Dafür funktionieren aber Desktop-Anwedungen, die Java benötigen. Bei diesen sind die Java-Exploits in aller Regel unerheblich.

    Ich habe Java IMMER im Browser deaktiviert, weil es jedes Quartal eine kritische Sicherheitslücke. Ich habe es nur noch installiert, weil einige Programme die JRE benötigen.

    Comment by Jonny — 14.01, 2013 @ 12:55

  10. Die betroffene Java-Version soll unter Windows wohl in den Systemeinstellungen neuerdings (anders als die früheren Java-Versionen) eine Option anbieten, mit der man gezielt die Ausführung von Java in allen Webbrowsern deaktivieren kann. (Ich selbst nutze Linux, kann das also nicht nachprüfen oder genauer beschreiben.) Das dürfte ausreichen. Die komplette Deinstallation von Java empfiehlt das BSI auch nur, wenn man Java ansonsten nicht benötigt.

    Comment by Lucomo — 14.01, 2013 @ 13:26

  11. Was ist der Unterschied zwischen JDK und JRE ?
    Was muß ich installieren?

    Bei mir im Windows konnte man z.b. das Häckchen für den IE nicht entfernen. Im Opera habe ich nur JavaScript als Einstellung, aber kein Java.

    Comment by Troll — 14.01, 2013 @ 14:09

  12. @11 (Troll) :
    JRE steht für »Java Runtime Environment« (Java Laufzeit-Umgebung). Das braucht der Endanwender, um kompilierte Java-Software auf seinem Programm ausführen zu lassen.

    JDK steht für »Java Development Kit« (Java Entwicklungs-„Kiste“) und wird benötigt, wenn man selber in Java entwickeln möchte. Es beinhaltet sozusagen dass JRE, enthält aber zudem noch weitere Funktionalitäten, wie beispielsweise den Java-Compilier, den man zur Erstellung des Java-Byte-Codes benötigt.

    Comment by SC — 14.01, 2013 @ 14:37

  13. @9: laut Heise kann man im IE den Java-Support *nicht* vollständig abschalten.

    Seit heute gibt es ein Update 7u11 unter java.sun.com zum Download.

    Comment by ths — 14.01, 2013 @ 15:17

  14. Mit dem Firefox-Add-on QuickJava lässt sich Java im Browser gezielt ein- und ausschalten:

    https://addons.mozilla.org/de/firefox/addon/quickjava/

    Comment by Jens Leinenbach — 14.01, 2013 @ 16:35

  15. *kicher* Es ist doch nur die 10er Version betroffen….wer WindowsVista einsetzt, macht kein Update. Hier läuft höchstens 6.0 nochwas…

    Comment by Wohlinformiertekreise — 14.01, 2013 @ 18:29

  16. Ich bin seit 2009 in einer anderen Branche und nutze seitdem kein EGVP mehr.
    Zuletzt war es bei uns noch so, dass man keine Java-Updates einspielen durfte und das auch wirklich nicht tun sollte, weil die EGVP-Software auf eine bestimmte alte Java-Version angewiesen war und sich weigerte, mit einem anderen Java überhaupt nur zu starten.

    Comment by Torem — 14.01, 2013 @ 20:50

  17. Die Konsequenz ist doch ganz offensichtlich, eine andere als Oracles Javaversion zu benutzen. Gibt es die für Windoof etwa nicht? Na, dann sollte man vielleicht doch etwas sicherere Betriebssysteme nutzen (z.B. Linux [„Hihihihi, er hat das L-Wort gesagt.“]).

    Comment by Heinz Handtuch — 15.01, 2013 @ 19:01

  18. Wer meint, Linux sei sicher, der zeigt, daß er von Tuten und Blasen keine Ahnung hat.

    Java wurde gefixt, also die Software mal auf den jüngsten Stand bringen. Privatleute können es dennoch abschalten, denn Java wird sowieso aussterben. Man braucht es nicht oder zunehmend weniger.

    Behörden etc. sollten sich langsam mal nach einer Alternative umschauen.

    Es gibt keine Sicherheit im Netz. Sicherheit ist mittlerweile nur eine Momentaufnahme. Der sehr kurze Zeitraum zwischen den laufenden Sicherheitswarnungen. Und zwischendurch ist/war man auch nicht sicher, wußte es nur nicht.

    Irgendwie lustig, oder?

    Manchmal ist Nichtwissen auch ganz entspannend.

    Comment by Corinna — 19.01, 2013 @ 15:11

RSS feed for comments on this post.

Leave a comment