Helfer oder Nervensägen? - Das steckt hinter Flash und Java

Fast jeder hat sie auf dem PC, aber kaum jemand weiß, was sie tun: Dienstprogramme wie Flash Player von Adobe und Java von Oracle. Sie unterstützen andere Anwendungen bei der Arbeit, entpuppen sich aber oft auch als Nervensägen - oder sogar als Sicherheitsrisiko. «Flash ist eine Ergänzung für den Browser, um Webdesignern mehr gestalterische Möglichkeiten zu geben», erklärt Andreas Paul von der Fakultät für Informatik an der Technischen Universität München. Als sogenanntes Plug-in sorgt Flash zum Beispiel dafür, dass der Browser Animationen und andere Spielereien zeigen kann. Wichtig ist Flash aber vor allem für Videos: Wer die Erweiterung nicht installiert hatte, konnte lange Zeit zum Beispiel keine Youtube-Clips ansehen.

Java ist eigentlich kein Programm, sondern eine weit verbreitete Programmiersprache. Entwickler mögen sie vor allem, weil in Java geschriebene Anwendungen ohne großen Aufwand sowohl auf Windows-Rechnern als auch auf dem Mac oder auf anderen Plattformen laufen. Voraussetzung ist nur, dass dort die Java-Laufzeitumgebung installiert ist. «Abhängig vom Programm und vom Betriebssystem ist diese Laufzeitumgebung entweder Teil der Installation, manchmal muss sie aber auch separat installiert werden», sagt Paul.


Auch für den Browser gibt es Java-Anwendungen, die sogenannten Applets. Sie spielen heute aber kaum noch eine Rolle, sagt der Experte: «Es gibt ein paar Webseiten, die nur damit funktionieren. Denen begegnet man beim alltäglichen Surfen aber eher selten.»


Fast auf jeder Webseite anzutreffen ist dagegen Javascript, das abgesehen vom Namen aber nichts mit Java zu tun hat. Diese Skriptsprache verwenden Designer zum Beispiel für Aufklappmenüs und andere dynamische Elemente im Internet. Software oder Plug-ins müssen Nutzer dafür nicht installieren.


So unterschiedlich Flash und Java auch funktionieren, eine Gemeinsamkeit haben sie doch: «Flash und Java sind relativ alte Technologien, deren Sicherheitsmechanismen über viele Jahre gewachsen und daher sehr komplex sind», erklärt Eric Bodden, Professor an der Technischen Universität Darmstadt. Gerade bei Java sei die Codebasis sehr umfangreich und schwer zu warten. «Da ist es kein Wunder, dass immer wieder Fehler entstehen, die zu Sicherheitslücken führen.»


Und das ist nicht ungefährlich, schließlich hat ein Flash-Plug-in für Chrome oder Firefox theoretisch die gleichen umfangreichen Zugriffsrechte auf den Computer wie der Browser. «Kriminelle können die Sicherheitslücken nutzen, um zum Beispiel über eine manipulierte Webseite Malware auf Ihren Computer mogeln», so Bodden.


Rund um die Sicherheitslücken und Flicken (Patches) dafür entsteht so eine Art Wettrüsten zwischen Hackern und Entwicklern. Nutzer bekommen das zu spüren, wenn Flash und Java gefühlt bei jedem Hochfahren des Rechners neue Updates herunterladen oder installieren wollen. Das ist zwar nervig, ignorieren sollten Anwender die Anfragen aber nicht: «Wer Flash und Java noch verwendet, sollte Updates der Entwickler immer sofort installieren, anders geht es nicht», warnt Eric Bodden.


Allerdings ist es inzwischen auch möglich, ganz auf die Dienstprogramme zu verzichten. Das gilt vor allem für Flash, sagt Hajo Schultz vom «c't»-Magazin: «Was Flash kann, kann Javascript eigentlich auch.» Webdesigner bräuchten heute also keine Zusatzprogramme mehr, um ihre Seiten bunt und beweglich zu machen. Auch für Videos gibt es inzwischen andere Technologien, allen voran HMTL5. Selbst Youtube kommt damit inzwischen ganz ohne Plug-in aus.


Das heißt aber nicht, dass Flash ganz aus dem Netz verschwunden ist. Je nach Surfverhalten kann es aber sein, dass ein Anwender trotzdem schon ganz ohne auskommt. Wer das ausprobieren will, sollte das Plug-in probeweise in den Browser-Einstellungen abschalten oder in den Einstellungen das Plug-in auf «Click to Play» umstellen. Dann nutzt der Browser Flash nur, wenn der Nutzer es per Mausklick genehmigt - ein guter Schutz gegen Angriffe über manipulierte Seiten.


Ein Java-Verzicht fällt nicht ganz so leicht. «Das hat ja auch außerhalb des Browsers noch eine gewisse Daseinsberechtigung», sagt Schultz. Eine Probe-Deinstallation kann sich aber auch hier lohnen. Denn selbst Anwendungen wie LibreOffice oder das Portal ElsterOnline für die elektronische Steuererklärung, die Java eigentlich fordern, brauchen die Software oft nur noch für bestimmte Funktionen. (DPA/TMN)