Wieder ein staatliches Softwareprojekt welches einfach Sche..eeen ist

ElsterOnline. Es ist schön zu sehen daß sich die Finanzbehörden darauf besonnen haben ihre Raubritterburgen ihre Institution auf elektronischem Wege zugänglich zu machen. Das könnte in der Tat Kosten sparen und diverse Dinge erleichtern. Aber es gibt einen klitzekleinen Kritikpunkt am Ergebnis zu dessen Nutzung Unternehmer jetzt gezwungen sind.

Unbeirrt der Sicherheitslage im Internet hat man offenbar beschlossen eine Software vorauszusetzen deren Nutzung scheunentorgroße Sicherheitslücken in einem ansonsten sicheren System aufreißt: JRE. Die letzten Jahre sind nur so gefüllt mit Meldungen zu Sicherheitslücken in Java. Zitieren wir mal unsere freundlichen Finanzbehörden:

Bitte beachten Sie, dass ein Java Runtime Environment (JRE1) auf Ihrem Computer installiert sein muss, wenn Sie ElsterOnline nutzen möchten!

Übersetzt in ein Deutsch für einfache Leute:

Bitte beachten Sie, daß uns die Sicherheit Ihrer EDV-Infrastruktur am A…llerwertesten vorbeigeht und wir daher voraussetzen daß sie das von Sicherheitslücken nur so strotzende Java Runtime Environment (JRE) installiert haben. Wir gefährden damit nämlich Ihre Systeme und nicht unsere.

… eigentlich fehlt nur noch ein kindisches *lol*. Es würde den Gesamteindruck einer unprofessionellen Lösung jedoch nur unwesentlich ändern.

Jupp, während das BSI krampfhaft versucht die Deutschen zu einem sichereren Umgang mit EDV-Themen anzuhalten, schert sich ein anderer Arm des deutschen Staates einen Dreck um die Sicherheit der Daten von Unternehmen. Beim Geld hört bekanntlich die Freundschaft auf.

Industriespionage ist ein Problem? Stimmt. Und wie kommt ein Angreifer auf ein Endanwendersystem? Na, liebe Experten? Könnte es etwa lückenbehaftete Software wie das JRE sein? Laßt uns also so viele lückenbehaftete Programme und Plugins voraussetzen wie nur möglich.

Java Applets auf Webseiten sind tot. Sie sind es schon seit Jahren und den meisten Leuten ist das auch vollkommen bewußt. Sicherheitsbewußte Anwender mögen zwar noch Java installiert haben, die Plugins in den Webbrowsern sind dann aber deaktiviert. Daß es auch ohne Java geht, haben spätestens seit 2005 die meisten Webmaster begriffen. Aber natürlich können steuerfinanzierte Projekte in den Sand gesetzt werden, denn wir bezahlen es ja kollektiv. Es geht ja nicht etwa Einzelnen an den Geldbeutel. Warum also nicht JRE. Und bevor der Einwand kommt, daß Linux und MacOS X und so weiter ja auch unterstützt werden müssen, kann ich nur lächelnd antworten: “Na und? Schon von JavaScript, CSS und HTML gehört?”. Es gibt sehr viele interaktive Webseiten die wunderbar ohne Java Applets oder Flash-Inhalte auskommen und dennoch sicher und formschön daherkommen. Und es kommt noch besser, das bekommt man heute auch alles browserunabhängig hin. Hier sind allerdings einige kommerzielle Anbieter auch gefühlte zwei Dekaden im Rückstand.

// Oliver

  1. Java-Laufzeitumgebung, sprich ein Programm welches kompilierte Javaprogramme ausführen kann. []
This entry was posted in DE, EDV-Sicherheit, Gedanken, Meinung. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *