Viren, Spyware, Datenschutz 11.226 Themen, 94.368 Beiträge

Verfolgung starten Optionen
News: Elster verlangt Java

Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern

Michael Nickles / 62 Antworten / Flachansicht Nickles

Die Pannenserie bei Oracles Java reißt nicht ab. Erst vor rund einer Woche wurde die Version 7 Update 15 ausgeliefert, die auf der Download-Seite  www.java.com/de/download auch weiterhin angeboten wird - ohne besondere Hinweise auf Risiken.

Tatsache ist leider, dass sich auch diese neue Version längst als Griff ins Klo entpuppt hat. Das Sicherheitsunternehmen Security Explorations hat in der aktuellen Version zwei Sicherheitslücken entdeckt und diese Oracle mitgeteilt und "Beweiscode" geliefert. Oracle untersucht die Sache derzeit.

Michael Nickles meint:

Es ist nicht mehr lustig, was sich da abspielt. Oracle scheint dieses Java einfach nicht in den Griff zu kriegen. Und das hat ist leider kein Gimmick, weil diese permanenten Java-Sicherheitslücken zunehmend ausgenutzt werden, bevor Oracle sie stopfen kann.

Unter anderem Zdnet hat berichtet, dass Java-Schwachstellen jüngst für die Cyberattacken auf Apple, Facebook und Microsoft genutzt wurden. Aktuell hat man eigentlich nur eine einzige Chance sich von dem Java-Wahnsinn zu befreien: es im Browser explizit ausschalten.

Das geht bei jedem Browser leider unterschiedlich, ist bei den "Plug-In/Addon"-Einstellungen verbuddelt. Laien haben da eigentlich verloren - aber die kriegen die Existenz solcher Sicherheitsbomben in ihrem Rechner sowieso gar nicht mit.

Noch schlimmer: viele sind sogar dazu gezwungen Java zu verwenden, können es gar nicht abschalten. Seit 2005 sind beispielsweise alle steuerpflichtigen Arbeitgeber und Unternehmer gesetzlich dazu verpflichtet, Lohnsteuer-, Umsatzsteuer- und Lohnbescheinigungsmeldungen über das Elster-Meldeverfahren durchzuführen:

Auf der Elsteronline-Webseite werden die Anforderungen für den Betrieb der Software aufgelistet. An erster Stelle steht "Java".

 

Deutsche Unternehmer sind also staatlich dazu verpflichtet eine Software zu verwenden, die nur auf einer extrem sicherheitsanfälligen Umgebung läuft. Das macht nachdenklich. Zwar gibt es alternative Elster-Software, aber auch die braucht für die Übermittlung das Java-Zeugs. Elster ohne Java geht also nicht, wie auch hier im Elsterforum erklärt.

Es ist schon eine saublöde Situation. Auch Mittelstandswiki hat Anfang Januar berichtet, dass der Elster-Zwang für Unternehmen zunehmend ein Fall für die IT-Abteilungen werde. Pervers: auch das staatliche Bundesamt für Sicherheit in der Informationstechnik warnt längst ausdrücklich vor der Java-Laufzeitumgebung.

bei Antwort benachrichtigen
Noch schlimmer: das Finanzamt verlangt Version 6.0, das ... Slartibartfas
Jo, das hatte ich auch schon mal in einem Thread ... winnigorny1
Die passende Überschrift für Mikes Artikel hätte lauten ... IRON67
Coole Überschrift! :-) Michael Nickles
Das finde ich auch. Zu gefährlich java auszuführen... ... cacare
Dann ist doch aber die Aussage des ... IRON67
Ich denke nein. Laut ... mawe2
Dann hat sich Slartibartfas wohl vertan. Angesichts des ... IRON67
Also Firefox,Google Chrome und Opera haben ja mittlerweile ... mi~we
Ja, Micha, mit diesem Thema hast Du wirklich einen wunden ... XAR61
Java im Browser? NoScript! Ist zwar am Anfang nervig, aber ... BastetFurry
Man kann zwar Java auch mit NoScript eindämmen, ober ich ... IRON67
Tue ich sicherlich nicht. :) Nö, dafür kann man auch ... BastetFurry
Und was ist mit denen, denen man vertraut? NoScript ist ... IRON67
Das glaube ich kaum:bastetfurry@katzenrechner:~$ java ... BastetFurry
Ja, die Linuxer werden auch immer schlampiger. Erwischt sie ... IRON67
Kann ich nix dafür wenns nicht im Rep von Canonical ist. ... BastetFurry
Bei weltweit allen Usern? Glaubsch jetzt aber nicht ;) IRON67
Hi Nö, weil BastetFurry OpenJDK hat, nicht Oracles JDK. Und ... fakiauso
Ahso. Na da darf man ja gespannt sein, welche Lücken da ... IRON67
Hallo Die Versionsbezeichnung kannst Du jetzt nicht 1:1 ... fakiauso
Und trotzdem läuft alles paletti. Okay, das einzige was ... BastetFurry
Naja...aber wirklich wissen kann man es als Endanwender ... IRON67
Hi Das trifft ja in erster Linie Linuxanwender, denn unter ... fakiauso
Die meinte ich mit Endanwender in diesem Fall. Eben. Und ... IRON67
Hi Da vermehrst Du jetzt etwas: OpenJDK wird über die ... fakiauso
Hö? Du meinst wohl "vermengst". Und nein, tue ich nicht. ... IRON67
Hi Auch wenn es jetzt wirklich OT wird: Da bin ich in s ... fakiauso
Jaja, die Bergbewohner .... Wie heißts bei euch? Arzgebirg, ... IRON67
Sollte es dann nicht "verm ä hrst" geschrieben werden? Alter68er
Das kommt auf die Stimmung an;-) fakiauso
... es geht auch noch besser. Ich habe in den Browsern Java ... Buddy1
> Deutsche Unternehmer sind also staatlich dazu verpflichtet ... Hassashin
Farcebook ist ne wirklich nette Wortschöpfung! Aber: Das ... winnigorny1
Lies langsamer! Er schrieb Farcebook ist die Pest des ... IRON67
aaah - ich werde alt! Danke für den Hinweis! winnigorny1
Und was wird an hochschulen gelehrt? Java! Welche entwickelr ... reader
In deinem Auto, wo sich die CPU 200ms Bedenkzeit einräumt ... BastetFurry
Es gibt Java-Implementierungen die harte Echtzeitbedingungen ... Borlander
Als eine von mehreren Sprachen Java ist eine ganze Menge, ... Borlander
mawe2 Michael Nickles „Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern“
Optionen

Ich habe vor ein paar Wochen den Betreibern von Elster die Frage gestellt, warum ausgerechnet steuerliche Daten mit einer so katastrophalen Software wie Java übermittelt werden müssen. Nach ein paar Tagen habe ich folgende plausible (wenn auch nicht befriedigende) Antwort bekommen:

Zitat: "Java-Applets waren zum Zeitpunkt der Entwicklung des ElsterOnline-Portals als einzige Technologie plattformübergreifend und unter den gängigen Browser lauffähig . Daneben ermöglichen sie einen Zugriff auf die PersonalSecurity-Environments (SoftPSE, Sicherheitssticks, Kartenleser bei ELSTER-Plus). Die Personal-Security-Environments werden zur authentifizierten Abgabe von Steuerdaten mittels Zertifikaten (Signaturerstellung) benötigt. Die Probleme mit Oracle konnten damals (2005) nicht vorhergesehen werden. Wir beobachten jedoch ständig die Marktlage und sollte es eine alternative Technologie geben, die unsere Anforderungen erfüllt, prüfen wir sie gerne!"

Nun kann man den Betreibern natürlich jede Menge Vorwürfe machen...

Man muss aber auch die Frage beantworten: Welche andere Technologie erfüllt denn alle die Voraussetzungen, die hier gebraucht werden?

Wie man sieht: Sichere Alternativen sind willkommen!

Gruß, mawe2

bei Antwort benachrichtigen
Irgendwie verstehe ich das nicht. Ich habe gerade eben mit ... Ventox
Wenn du kein Java installiert hast, dann MUSS diese Meldung ... IRON67
Ich hatte vor kurzem wegen der Sicherheitslücken alle ... Ventox
Na das ist doch nicht verwunderlich. Verwaiste ... IRON67
Daran hatte ich auch schon gedacht. Allerdings entfernt es ... Ventox
Das ist aber alles sehr seltsam bei dir. Ist Elster-Online ... IRON67
Ich habe die Elster Software installiert. Habe aber mal ... Ventox
Also gehts bei dir ausschließlich um die separat ... IRON67
Ich mache die Steuererklärung seit Jahren per Elster. Und ... Ventox
Wenn Du über Elster das Java-Applet aufrufst, erscheint ... mawe2
Das wär ein Knaller. Weia. IRON67
Ich kann diese Funktion in der Elster Software nicht finden. Ventox
Hat sich erledigt. In der Elster Version zum Installieren ... Ventox
Hallo Ventox! Was ist ein Sekundärvegetarier? Hört sich ... maxzwo1
Das ist jemand, der Tiere isst, die Pflanzen gefressen ... IRON67
Na, das nenne ich aber eine schnelle und aufschlussreiche ... maxzwo1
Das wäre lustig aber auch sehr beunruhigend. aldebuedel
Ich esse nur Tiere, die sich vegetarisch ernähren. ;-) Ventox
Naja, man muss aber schon mal sagen dass das Finanzamt da ... InvisibleBot
Nein. Aber als die Probleme unübersehbar groß wurden, ... IRON67
Anscheinend noch mehr Lücken in Java, die Kriminelle auch ... mi~we