16. Januar 2013: Sicherheitsschwachstelle in Java-Laufzeitumgebung durch Oracle geschlossen

Bonn / Bremen / Wiesbaden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist seit dem 14. Januar 2013 auf ein von Oracle als Hersteller der Java-Laufzeitumgebungen (JRE) verfügbares Update hin, das eine kritische Schwachstelle in der JRE Version 7 Update 10 schließt.

Die JRE Version 7 Update 11 (auch JRE 1.7.0_11) wurde nun auch durch die bos GmbH & Co. KG als Hersteller des Governikus WebSigners für die in VEMAGS verwendete Version 2.6.1.0 SMC v1 freigegeben.

Wie sind Sie betroffen? Alle Benutzer sollten sich über die Verwendung von Java im Zusammenhang mit der Anwendung VEMAGS informieren!

Wir bitten alle VEMAGS-Benutzer, sich mindestens mit Fall 1 vertraut zu machen:

Fall 1: Sie nutzen VEMAGS ohne Signatur und ohne Xvemags-Schnittstelle
Die Anwendung VEMAGS ist in der Programmiersprache Java entwickelt worden. Dies wirkt sich direkt auf die Web-Server, über die Sie die VEMAGS-Masken innerhalb Ihres Browsers zur Verfügung gestellt bekommen, aus. Die Server sind ein Bestandteil der zentralen VEMAGS-Infrastruktur und diese wird stets durch den Technischen Betreiber auf einem sicheren Stand gehalten.
Java-Skript ist etwas anderes als Java-Plugins. Auch in VEMAGS wird wie bei vielen anderen Seiten Java-Skript benötigt, um z.B. Mouse-Over-Effekte (die Maske reagiert auf das Überfahren mit dem Mauszeiger, indem die Schrift fett wird) zu ermöglichen.

Fazit 1: Für die Nutzung der Anwendung VEMAGS benötigen Sie einen Browser (beim Internet-Explorer 9 in der Kompatibilitätsansicht) aber keine Java-Laufzeitumgebung (JRE).
Sie können Java-Plugins in Ihrem Browser deaktivieren. Java-Skript hängt nicht mit der Java-Laufzeitumgebung zusammen und muss im Browser aktiviert sein.

Wenn Sie die qualifizierte elektronische Signatur (qeS) oder Xvemags als Schnittstelle nutzen, müssen Sie noch weiter lesen (andernfalls sollten Sie bei den weiterführenden Hinweisen fortfahren).

Fall 2: Sie signieren Anträge (als Antragsteller) oder Bescheide (als Erlaubnis- und Genehmigungsbehörde)
In Deutschland ist die Signatur im Signaturgesetz geregelt. Nur die qualifizierte elektronische Signatur (qeS) ersetzt rechtswirksam Unterschrift und Firmenstempel (signierter Antrag) bzw. Unterschrift und Dienstsiegel (signierter Bescheid). Technisch basierte diese Form der Signatur auf einer sogenannten „starken Verschlüsselung“. Der in VEMAGS eingesetzte Governikus WebSigner bedient sich über die JRE dieser starken Verschlüsselung. Um diese auf den Rechner zu bringen ist einerseits die richtige JRE (ab Version 7) und innerhalb dieser die Erweiterung JCE (Java Cryptography Extension) erforderlich. Da jedoch der Signatur-Prozess nach dem Java-Web-Start lokal auf Ihrem Rechner stattfindet, kann Java-Plugin (so kommt Java in Ihren Browser) deaktiviert werden.

Fazit 2: Für die Nutzung der qualifizierten elektronischen Signatur innerhalb der Anwendung VEMAGS ist eine Java-Laufzeitumgebung ab der Version 7 auf dem Rechner erforderlich, von dem aus signiert werden soll. Die aktuelle Empfehlung ist die JRE Version 7 Update 11 (auch JRE 1.7.0_11), die Sie über Oracle kostenlos herunterladen können.
Sie können Java-Plugins in Ihrem Browser deaktivieren. Eine Anleitung hierzu finden Sie z.B. bei http://www.heise.de/security/dienste/Java-403125.html. Dort können Sie auch prüfen, ob Sie Java-Plugin erfolgreich in Ihrem Browser deaktiviert haben.


Fall 3: Sie nutzen VEMAGS über die XML-Schnittstelle Xvemags
Bitte wenden Sie sich in diesem Fall an Ihren Systemhersteller, damit er Ihnen die richtigen Einstellungen außerhalb der Anwendung VEMAGS nennt. Um die sichere Kommunikation der Xvemags-Nachrichten mit dem Governikus-Intermediär (Postfach-System) zu ermöglichen, kommt auch hier wie bei der Signatur die „starke Verschlüsselung“ zum Einsatz. Niemand außer Ihnen oder der Anwendung VEMAGS soll ja Ihre Daten einsehen können.

Fazit 3: Kontaktieren Sie den Systemhersteller der von Ihnen in Verbindung mit Xvemags eingesetzten Software im Bezug auf den Umgang mit Java-Plugins.


Weiterführende Hinweise:

Das BSI veröffentlicht regelmäßig Sicherheitshinweise und Empfehlungen zum sicheren Surfen im Internet (siehe https://www.bsi.bund.de/DE/Home/home_node.html).

Systemhersteller wie Oracle empfehlen zu Recht, Updates sobald sie verfügbar sind herunterzuladen und zu installieren, damit Ihr System die neuesten Performance- und Sicherheitsverbesserungen erhält.

Da VEMAGS eine zentral betriebene Internet-Anwendung ist, stellen wir Ihnen jeweils immer nur das aktuelle VEMAGS-Release zur Verfügung.

Um die Funktionalität von Internet-Anwendungen zu steigern, bedienen sich einige Internet-Seiten und -Anwendungen der über JRE möglichen Funktionalitäten (z.B. interaktive Karten). Klären Sie mit Ihrem IT-Administrator, ob Sie die Java-Plugins deaktivieren können.


Anmerkungen zur JRE 1.7.0_11:

Über Systemsteuerung > Java > Java Control Panel > Sicherheit finden Sie in der JRE 1.7.0_11 neu den Eintrag „Java-Content im Browser aktivieren“. Deaktivieren Sie Java nicht hierüber, da sonst auch der für das Herunterladen des WebSigners erforderliche Web-Start nicht mehr funktioniert.

Wählen Sie das richtige Betriebssystem aus. Nur in Verbindung mit 64-Bit-Browsern können Sie die 64-Bit-Variante der Java-Laufzeitumgebung nutzen. Vom Browser Mozilla Firefox gibt es derzeit keine 64-Bit-Version. In diesem Fall wählen Sie bitte unbedingt die 32-Bit-Variante der JRE 1.7.0_11.

Je nachdem in welcher Reihenfolge Sie die Java-Laufzeitumgebungen installiert oder deinstalliert haben, können die JCE oder die Verknüpfung der Dateiendung „.jnlp“ mit Java-Web-Start verloren gehen. Bitte richten Sie beides bei Bedarf wieder ein.

Unter Windows 7 ist es zwingend erforderlich, den Schritt H unserer Checkliste „qeS“, die Sie in der Rubrik „Elektronische Signatur > WebSigner – Hilfe“ finden, genau einzuhalten. Lokale Administrationsrechte genügen in der Regel nicht. Benutzer mit Windows 7 Home Premium als Betriebssystem müssen unter Umständen einen Administrator mit Passwort einrichten und für den Schritt H den Schieberegler in der Benutzerkontensteuerung ganz nach unten bewegen (bitte VORHER dessen Position notieren), diese Einstellung speichern und den Rechner neu starten. Bitte vergessen Sie nach dem ersten Signieren nicht, diese Einstellung rückgängig zu machen.