Des einen Freud, des anderen Leid

Ein vor­ei­liger Klick,schon wird zusätz­liche Software instal­liert. Sicher­heits-Updates mit Dritt­an­bieter Software zu koppeln ist bei zuneh­mender Ver­netzung und „always-on“ eine frag­würdige Praxis. Allzu leicht öffnen sich neue (Security-)Baustellen.

Java. Schon wieder! Naja, es muss halt sein, wenn es sein muss.
Wie schon (mehrfach) geschrieben, müssen manche Kom­po­nenten eben recht oft aktua­li­siert werden. Da fällt es den Sicher­heits-Aposteln natürlich leicht, dafür zu plä­dieren, nur die betriebs­not­wendige Software zu instal­lieren. Gut, dazu muss man erst eine Bestands­auf­nahme machen und abgleichen was wirklich benötigt wird. Wer aller­dings erst die Erfahrung braucht. Bitte! 2013 fängt ja schon mal gut an.

In den lau­fenden Update-Reigen kommt nun eine gängige Praxis mal wieder auf den Prüf­stand: Crapware & Co! Ja, nicht nur soge­nannte Freeware oder neue PCs, Note­books etc. werden darüber finan­ziert. Auch Sicher­heits-Updates!

Crapware — Noch nie gehört? Macht nichts. Namen sind aus­tauschbar. Es war nur eine Frage der Zeit, bis irgendeine Com­munity das Thema wieder auf­greift. Dabei sind die Namen nur so lange spannend, bis die Über­setzung zuschlägt: Crapware bei­spiels­weise zu Deutsch: Schrott­software – zumindest für den Betrof­fenen; oder höflich und all­ge­mein­gültig for­mu­liert: “Drit­t­an­­bieter-Software“.

Alles hat eben seinen Preis. Wer nichts bezahlen will, wird nicht nur mit Werbung, sondern auch mit Software bedacht, die eigentlich keiner braucht. Mancher Hardware-Her­steller kann mit vor­in­stal­lierter Software den Markt­preis unter den der Kon­kurrenz drücken. Als Kunde sollte man sich dann ernsthaft Gedanken über den Nutzen, die Lizenzen und auch den damit ein­her­ge­henden Sicher­heits­lücken machen, um nicht am Ende als der Dumme dazu­stehen.

Neu ist dieses Ver­fahren nicht. Auch mit dem Sicher­heits-Update von Java erhält der unbe­darfte Nutzer – also der, der schön alles mit OK anklickt, was ihm der wohl­ge­sonnene Anbieter als Sicher­heits-Update liefert, seit langem auch „Dritt­an­bieter Software“ wie die Ask-Toolbar etc. ange­boten oder instal­liert. Aller­dings darf man natürlich in Frage stellen, ob eine solche Praxis den Sicher­heits­ge­danken tat­sächlich folgt. Denn jede neue Software eröffnet unter Umständen unzählige Lücken und damit neue Mög­lich­keiten und Angriffs­flächen.

Dem Anwender wird einmal mehr vor Augen geführt, wie peinlich genau darauf geachtet werden muss, was instal­liert wird. Und bei einer solchen Praxis darüber hinaus auch, über welches Know-how der­jenige ver­fügen sollte.

Wenn ein Auto-Update-Mecha­­nismus dann auch noch unge­fragt instal­liert, sollte jeder Betroffene ernsthaft hin­ter­fragen, ob in diesem Fall die JRE (Java Runtime Edi­tition, zur Aus­führung von Java-Applets, bei­spiels­weise im Browser) tat­sächlich benötigt wird, und diese, wenn ent­behrlich, deinstal­lieren. Ebenso wie jede andere Software, die aus Sicht des Unter­nehmens keinen Nutzen stiftet. Der Fachmann nennt dies „Härten“, da im Sinne einer Pro­phylaxe unnötige Lücken und Gefähr­dungen ver­mieden werden.

Bild:  © Gerd Altmann / pixelio.de