IBM gibt Tipps zum Schutz vor Java-Exploits

Java in Unternehmen sicher nutzen

| Autor / Redakteur: Gerd Rademann* / Stephan Augsten / Stephan Augsten

Durch Java-Schwachstellen in Unternehmen fließen IBM zufolge vermehrt wertvolle Informationen ab.
Durch Java-Schwachstellen in Unternehmen fließen IBM zufolge vermehrt wertvolle Informationen ab. (Bild: Archiv)

Ob Smartphone, Server oder Spielekonsole: Java läuft auf nahezu jeder Plattform und ist bei Anwendungsentwicklern dementsprechend populär. Nach Angaben von Oracle findet sich die Java Runtime Environment auf 97 Prozent aller Firmenrechner. Leider ist die Programmiersprache aber auch bei Cyber-Kriminellen als Einfallstor beliebt.

Laut IBM war 2013 das Jahr der Java-Schwachstellen: Die Anzahl der entdeckten Sicherheitslücken hatte sich seit 2012 von 68 auf 208 fast verdreifacht, heißt es im IBM X-Force-Report des ersten Quartals 2014. Dies ist insbesondere vor dem Hintergrund bedenklich, dass Java auch gerne in Unternehmen eingesetzt wird.

Dank der weiten Verbreitung verlocken Sicherheitslücken in Java laut IBM dazu, Malware in Unternehmen einzuschleusen. Im Dezember 2013 basierte die Hälfte aller weltweiten Cyberattacken auf Java-Schwachstellen, so das Tochterunternehmen Trusteer. Nur folgerichtig seien Java-Schwachstellen die primäre Ursache für mehr als einer halbe Milliarde gestohlener, persönlicher Daten im Jahr 2013.

Um Endgeräte zu infizieren, erstellen Malware-Entwickler beispielsweise Dateien oder Dokumente mit schadhaftem Code. Werden diese von einer Java-Anwendung geöffnet, kompromittiert der Schädling den PC oder das Smartphone. Dabei profitieren die Cyber-Kriminellen zwar von unaufmerksamen oder ungeschulten Anwendern, letztlich kann es bei einer gut gefälschten Mail aber jeden treffen.

Gleichzeitig verbreiten die Angreifer aber auch manipulierte Java-Anwendungen über das Internet, warnt IBM. Solchen Applikationen sei besonders schwer beizukommen. Von Fall zu Fall müssten Unternehmen deshalb aufwendige Sicherheitsprüfungen vornehmen. Gerd Rademann von IBM hat vier Sicherheitstipps zum Schutz vor Java-basierten Angriffen parat:

Denken wie ein Hacker: Wer versteht, wie Cyberkriminelle vorgehen, der kann bereits die klassischen Infiltrationswege blockieren. Das gilt besonders für Gefahren, die auf die Unachtsamkeit von Usern zurückzuführen sind, wie das Öffnen von Phishing-Mails. Darüber hinaus sollten Unternehmen sicherstellen, dass ihre IT-Abteilung auch für den Fall eines Angriffs auf noch unbekannte und damit ungepatchte Sicherheitslücken (Zero-Day-Attacke) rasch reagieren kann.

Die beliebtesten Anwendungen auf dem Radar: Lösungen für den Schutz von Endgeräten sollten vor allem diejenigen Anwendungen auf dem Radar haben, die als Haupteinfallstore für Malware gelten. Dazu zählen neben Java-Programmen zum Beispiel Web Browser, Adobe Acrobat oder Flash. Intelligente Systeme überprüfen kontinuierlich das Verhalten dieser und anderer Programme und warnen oder schützen User im Notfall.

Fallweise Beurteilung: Eine Lösung, die wirkungsvoll vor Java-Attacken schützen soll, muss von Fall zu Fall beurteilen können, wie vertrauenswürdig ein in der Java-Umgebung ausgeführter Code ist und was er auf dem ausführenden System bewerkstelligt: zum Beispiel in ein Dateisystem schreiben oder sensible Veränderungen in Datenbanken vornehmen. Unbedenkliche Vorgänge, wie die Anzeige von Grafiken oder gewöhnliche Rechenoperationen, können stets weiterlaufen – selbst bei Ausführung von schadhaften Applikationen. Die Idee dahinter ist, nur solche Systemvorgänge zu unterbinden, die manipulierte Java-Anwendungen ausnutzen.

Hände weg von Dateien aus fragwürdigen Quellen: Unternehmen können Java-Exploits und Malware-basierte Infiltrationen verhindern, wenn sie den Dateizugriff auf vertrauenswürdige Java-Dateien einschränken. Wer diesen Aufwand scheut, sollte nur die Ausführung von Dateien vertrauenswürdiger Anbieter erlauben. Auf Java-Dateien aus fragwürdigen Quellen sollten User innerhalb von Unternehmen keinesfalls frei zugreifen können.

* Gerd Rademann arbeitet in der Business Unit „Executive Security Systems“ bei IBM DACH.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43007332 / Sicherheitslücken)