Java deaktivieren in Internet Explorer, Firefox, Chrome und Safari

Im Fall von Java 7 Update 11 genügte es bereits, eine mit Schadsoftware hinterlegte Web-Seite zu besuchen, um es einem Angreifer zu ermöglichen, eigenen Code auf dem Fremdrechner auszuführen. Dieses Verfahren zählt mittlerweile zu den beliebtesten Angriffstechniken. Neben eigens dafür aufgesetzten Web-Sites nutzen Cyber-Kriminelle auch gehackte Internet-Seiten renommierter Unternehmen oder Organisationen. Auch dort platzieren sie Schadcode und infizieren die Rechner von Besuchern, auf denen Java-Software mit Sicherheitslücken installiert ist.

Verfügbare Lösungen

Um sich vor den aktuellen und kommenden Sicherheitslücken in Java zu schützen, gibt es folgende Methoden:

Umgehend Patches installieren: Das US-Cert und IT-Sicherheitsexperten raten dringend dazu, umgehend Java 7 Update 13 auf allen Systemen zu installieren, die Java benötigen (siehe Knowledge-Base-Beitrag des Cert). Allerdings ist davon auszugehen, dass sich trotz des Patches in Kürze erneut Sicherheitslücken bei Java auftun. Daran ist Oracle nicht ganz unschuldig: Das Unternehmen will die nächsten "Critical Patch Updates" für Java SE erst am 18. Juni und 15. Oktober 2013 sowie am 14. Januar 2014 bereitstellen.

Java komplett deinstallieren: Das Cert rät Unternehmen und sicherheitsbewußten Anwendern, wenn möglich ganz auf Java zu verzichten. Das heißt, die Software deinstallieren.

Mit "Java Control Panel" Java-Content in Browsern deaktivieren: Das Control Panel wird seit Java 7 Update 10 mit installiert. Es klinkt sich in die Systemsteuerung von Windows ein und erlaubt es, grundlegende Java-Einstellungen zu verwalten. Unter dem Reiter "Sicherheit" findet sich oben die Checkbox "Java-Content im Browser aktivieren". Wer Sicherheitsrisiken minimieren möchte, entfernt das Häkchen.

Wer Java nutzen möchte, kann mit dem Java Control Panel zudem Sicherheitsstufen festlegen. Die von Oracle empfohlene Ebene ist "Hoch". Laut einem Beitrag des Sicherheitsfachmanns Chester Wisniewski im Blog NakedSecurity der IT-Sicherheitsfirma Sophos sind normale Anwender allerdings damit überfordert, die passende Einstellung zu wählen.

Allerdings gilt es abzuwägen, ob ein "Kahlschlag", sprich Deinstallation oder komplettes Deaktivieren von Java, die richtige Lösung ist. Einige Applikationen wie etwa die "Elster"-Software der bundesdeutschen Finanzbehörden basieren auf Java und können nach Entfernen oder Deaktivieren nicht mehr genutzt werden.

Java-Plugin in Browsern deaktivieren

Wer Java in einzelnen Browsern "lahmlegen" möchte, kann die entsprechenden Plug-ins deaktivieren. Dies erfolgt bei den einzelnen Browsern auf folgende Weise:

• Microsoft Internet Explorer unter Windows 7: Mit ALT+X die "Extras" aufrufen und dort zu Add-ons gehen. Im Fenster, das sich öffnet, unten "Alle Add-ons" aktivieren und in der Liste rechts nach Java Ausschau halten. Mit dem "Deaktivieren"-Button unten rechts Java ausschalten. Damit ist es leider nicht getan. Wie Sophos in diesem Beitrag in NakedSecurity beschreibt, muss anschließend die Registriy editiert werden.
  Zunächst beim Key HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Plug-in\{version}\UseJava2IExplorer den Default-Wert auf 0 setzen. Bei 64-Bit-Windows ist ein weiterer Eingriff nötig: Den Wert HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Plug-in\{version}\UseJava2IExplorer ebenfalls auf 0 ändern.
• Google Chrome unter Windows: Etwas kompliziert ist der Vorgang bei Chrome. Unter "Google Chrome anpassen" (Button ganz rechts) auf "Einstellungen" gehen. Dann ganz unten auf "Erweiterte Einstellungen anzeigen" klicken. Weiter unter "Datenschutz" auf "Inhaltseinstellungen" gehen. Und dort wiederum weiterhangeln zu "Plug-ins" und unten auf "Einzelne Plug-ins deaktivieren" klicken. Auf der folgenden Seite ist es möglich, Java zu deaktivieren. Wer stattdessen "Click-to-Play" bevorzugt, kann ein Plug-in einmalig auf Anforderung ausführen. Bei Anwendungen, die Java zwingend benötigen, ist dies eine brauchbare Option.
• Mozilla Firefox 18.x unter Windows 7/8: Mit dem Shortcut Strg+Umschalt+A die Plug-in-Verwaltung aufrufen. Anschließend den "Deaktivieren"-Button bei den Java-Plug-ins betätigen - fertig
• Apple Safari auf MacOS-X-Systemen: Entweder das Menü mittels Apfeltaste und Komma (,) aufrufen oder zu "Safari / Einstellungen" gehen. Dort unter "Sicherheit" Java deaktivieren. Noch eine Anmerkung zu Safari unter Windows: Vom Einsatz dieser Version ist abzuraten. Die letzte Safari-Ausgabe 5.1.7 für Windows stammt vom Mai 2012 und ist nicht mehr aktuell. Die neueste Version des Browsers (Safari 6) stellt nur für MacOS und iOS zur Verügung, nicht für Windows.
• Opera 12.xx unter Windows 7/8: Opera hat nur einen geringen Marktanteil, aber der Vollständigkeit halber auch hier ein Workaround: Mit Strg+F12 "Einstellungen" / "Inhalte" aufrufen. Dort ein Häkchen bei "Plug-ins nur auf Anforderung aktivieren" setzen. Damit unterbleibt die automatische Nutzung von Java.

Test: Ist Java noch aktiv?

Auf Heise.de/security ist übrigens eine Testseite zu finden, mit der User überprüfen können, ob Java tatsächlich deaktiviert wurde. Das funktioniert auch über die Web-Seite von Java. Der Check ermittelt, ob Java installiert ist beziehungsweise aktiviert wurde.

Übrigens: Nicht Java mit JavaScript verwechseln und im Eifer des Gefechts auch JavaScript deaktivieren. Unter einigen Betriebssystemen wie MacOS X ist das leider nur allzu einfach möglich, weil die entsprechende Checkbox neben der von Java platziert ist.