Viren, Spyware, Datenschutz 11.226 Themen, 94.368 Beiträge

News: Elster verlangt Java

Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern

Michael Nickles / 62 Antworten / Flachansicht Nickles

Die Pannenserie bei Oracles Java reißt nicht ab. Erst vor rund einer Woche wurde die Version 7 Update 15 ausgeliefert, die auf der Download-Seite  www.java.com/de/download auch weiterhin angeboten wird - ohne besondere Hinweise auf Risiken.

Tatsache ist leider, dass sich auch diese neue Version längst als Griff ins Klo entpuppt hat. Das Sicherheitsunternehmen Security Explorations hat in der aktuellen Version zwei Sicherheitslücken entdeckt und diese Oracle mitgeteilt und "Beweiscode" geliefert. Oracle untersucht die Sache derzeit.

Michael Nickles meint:

Es ist nicht mehr lustig, was sich da abspielt. Oracle scheint dieses Java einfach nicht in den Griff zu kriegen. Und das hat ist leider kein Gimmick, weil diese permanenten Java-Sicherheitslücken zunehmend ausgenutzt werden, bevor Oracle sie stopfen kann.

Unter anderem Zdnet hat berichtet, dass Java-Schwachstellen jüngst für die Cyberattacken auf Apple, Facebook und Microsoft genutzt wurden. Aktuell hat man eigentlich nur eine einzige Chance sich von dem Java-Wahnsinn zu befreien: es im Browser explizit ausschalten.

Das geht bei jedem Browser leider unterschiedlich, ist bei den "Plug-In/Addon"-Einstellungen verbuddelt. Laien haben da eigentlich verloren - aber die kriegen die Existenz solcher Sicherheitsbomben in ihrem Rechner sowieso gar nicht mit.

Noch schlimmer: viele sind sogar dazu gezwungen Java zu verwenden, können es gar nicht abschalten. Seit 2005 sind beispielsweise alle steuerpflichtigen Arbeitgeber und Unternehmer gesetzlich dazu verpflichtet, Lohnsteuer-, Umsatzsteuer- und Lohnbescheinigungsmeldungen über das Elster-Meldeverfahren durchzuführen:

Auf der Elsteronline-Webseite werden die Anforderungen für den Betrieb der Software aufgelistet. An erster Stelle steht "Java".

 

Deutsche Unternehmer sind also staatlich dazu verpflichtet eine Software zu verwenden, die nur auf einer extrem sicherheitsanfälligen Umgebung läuft. Das macht nachdenklich. Zwar gibt es alternative Elster-Software, aber auch die braucht für die Übermittlung das Java-Zeugs. Elster ohne Java geht also nicht, wie auch hier im Elsterforum erklärt.

Es ist schon eine saublöde Situation. Auch Mittelstandswiki hat Anfang Januar berichtet, dass der Elster-Zwang für Unternehmen zunehmend ein Fall für die IT-Abteilungen werde. Pervers: auch das staatliche Bundesamt für Sicherheit in der Informationstechnik warnt längst ausdrücklich vor der Java-Laufzeitumgebung.

bei Antwort benachrichtigen
Ich denke nein. Laut ... mawe2
mawe2 Michael Nickles „Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern“
Optionen

Ich habe vor ein paar Wochen den Betreibern von Elster die Frage gestellt, warum ausgerechnet steuerliche Daten mit einer so katastrophalen Software wie Java übermittelt werden müssen. Nach ein paar Tagen habe ich folgende plausible (wenn auch nicht befriedigende) Antwort bekommen:

Zitat: "Java-Applets waren zum Zeitpunkt der Entwicklung des ElsterOnline-Portals als einzige Technologie plattformübergreifend und unter den gängigen Browser lauffähig . Daneben ermöglichen sie einen Zugriff auf die PersonalSecurity-Environments (SoftPSE, Sicherheitssticks, Kartenleser bei ELSTER-Plus). Die Personal-Security-Environments werden zur authentifizierten Abgabe von Steuerdaten mittels Zertifikaten (Signaturerstellung) benötigt. Die Probleme mit Oracle konnten damals (2005) nicht vorhergesehen werden. Wir beobachten jedoch ständig die Marktlage und sollte es eine alternative Technologie geben, die unsere Anforderungen erfüllt, prüfen wir sie gerne!"

Nun kann man den Betreibern natürlich jede Menge Vorwürfe machen...

Man muss aber auch die Frage beantworten: Welche andere Technologie erfüllt denn alle die Voraussetzungen, die hier gebraucht werden?

Wie man sieht: Sichere Alternativen sind willkommen!

Gruß, mawe2

bei Antwort benachrichtigen