improvee design - stock.adobe.co
DORA-Compliance und Java: Was Unternehmen wissen müssen
DORA verpflichtet Finanzdienstleister, ihre Widerstandsfähigkeit gegen Cyberangriffe zu stärken. Die Absicherung des Java-Ökosystems spielt dabei eine zentrale Rolle.
Seit 17. Januar 2025 gilt Digital Operational Resilience Act (DORA) verbindlich für alle betroffenen Unternehmen mit Sitz in der EU sowie deren ICT-Dienstleister (Information and Communications Technologies). Darüber hinaus wirkt sich die neue EU-Regulierung auch auf außereuropäische Finanzdienstleister aus, die Geschäftsbeziehungen mit der Region pflegen. Bei Verstößen drohen empfindliche Strafen von bis zu zwei Prozent des Jahresumsatzes, Lizenzentzug und administrative Konsequenzen. Hinzu kommen Reputationsschäden, die lang anhalten können.
Um DORA-konform zu sein, müssen Unternehmen Mindestanforderungen in fünf Bereichen erfüllen: ICT-Risikomanagement, Meldung von ICT-bezogenen Sicherheitsvorfällen, Testen der digitalen operationalen Resilienz, Drittanbieter-Risikomanagement und Austausch von Informationen zu Cyberbedrohungen. Im Fokus stehen alle Software- und Hardware-Assets, die in den Netz- und Informationssystemen eines Finanzinstituts zum Einsatz kommen.
Gerade die Absicherung der Java-Umgebung spielt dabei eine besondere Rolle: gut die Hälfte des Softwarecodes in der Branche (51 Prozent) ist laut einer Studie der Fintech Open Source Foundation (PDF) in dieser Programmiersprache geschrieben.
Java-Umgebungen als beliebtes Angriffsziel
Cyberkriminelle greifen bevorzugt dort an, wo sie leichtes Spiel haben. Das macht Java-Umgebungen zu einem attraktiven Ziel. So zeigt der State of Java Survey & Report von Azul: Über 41 Prozent der befragten Unternehmen haben wöchentlich oder sogar täglich mit kritischen Sicherheitsproblemen in ihrer Java-Umgebung zu tun. Ein Grund dafür ist, dass Java-Anwendungen die Neuerungen von Open-Source-Komponenten von Drittanbieter-Bibliotheken nutzen. Diese können anfälligen Code beinhalten. Zudem geben 33 Prozent der Unternehmen an, dass ihre DevOps-Teams täglich mehr als die Hälfte ihrer Arbeitszeit Java-bezogenen Fehlalarmen widmen müssen.
Insgesamt sehen sich Unternehmen einer großen Masse an Warnmeldungen ausgesetzt, die wiederum das Risiko eines Security-Vorfalls steigern. Wie gefährlich Sicherheitslücken in Java sein können, hat der Log4-Shell-Vorfall Ende 2021 gezeigt. Die Zero-Day-Schwachstelle in der weit verbreiteten Log4j-Bibliothek gilt als eine der kritischsten aller Zeiten. Fast 80 Prozent aller Unternehmen weltweit waren davon betroffen, und noch heute kämpfen Security-Teams damit, die Sicherheitslücke vollständig zu schließen.
Diese Risiken sollten Unternehmen kennen
Ein besonders hohes Risiko für offene Schwachstellen bergen nicht unterstützte Open JDK-Versionen (Java Development Kit) oder ältere Oracle-JDK-Versionen, da diese keine regelmäßigen Sicherheits-Updates oder Patches erhalten. Wer zum Beispiel noch Oracle JDK 6 oder 7 einsetzt, sollte sich der Gefahren bewusst sein. Eine zusätzliche Herausforderung ist die oftmals heterogene Systemlandschaft. Laut der Azul-Studie setzen mehr als die Hälfte der Unternehmen verschiedene Java-Versionen parallel ein, was das Sicherheitsmanagement erschwert. So steigt die Gefahr, dass Schwachstellen unentdeckt bleiben.
Auf kommerziell unterstützte Java-Distributionen setzen
Um Java-Umgebungen besser abzusichern und die DORA-Anforderungen zu erfüllen, empfiehlt sich der Einsatz einer kommerziell unterstützten Java-Distribution. Diese liefert getestete, stabile Builds und stellt regelmäßig Sicherheitsupdates über verschiedene Betriebssysteme und Versionen hinweg bereit. Unternehmen verpassen keine Patches mehr und sind immer über die neuesten Schwachstellen informiert.
„Die DORA-Umsetzung verursacht zunächst etwas Aufwand. Doch die Sicherheit des Java-Ökosystems zu optimieren, zahlt sich aus. Denn ein kontinuierliches Risiko- und Schwachstellenmanagement ist heute unverzichtbar für einen stabilen Geschäftsbetrieb.“
Simon Ritter, Azul
So können sie sowohl das nach DORA verpflichtende ICT-Risikomanagement umsetzen als auch den geforderten Informationsaustausch über Cyberbedrohungen verbessern. Außerdem schafft eine Java-Version mit Support die Voraussetzung für verlässliche Testumgebungen, was im Hinblick auf das vorgeschriebene Testing unverzichtbar ist. Da sich die Pflicht zum ICT-Risikomanagement auf die gesamte Lieferkette erstreckt, sollten Finanzdienstleister auch bei ihren Partnern und Zulieferern auf geprüfte Java-Distributionen achten.
Kontinuierliches Monitoring und Vulnerability Scanning
Darüber hinaus müssen Unternehmen in der Lage sein, ihre Java-Umgebungen kontinuierlich zu überwachen und Sicherheitslücken schnell zu erkennen. Denn DORA fordert einen Prozess zu Überwachung, Protokollierung und Klassifizierung von ICT-bezogenen Sicherheitsvorfällen. Für schwerwiegende Security-Ereignisse gilt eine Meldepflicht. Wichtig ist, die Security-Maßnahmen sowohl in der Build- als auch der Run-Phase zu implementieren, sodass auch Schwachstellen im produktiven Java-Ökosystem erfasst werden können. Damit der Vulnerability Scanner außerdem keine versteckten Komponenten übersieht, sollte er direkt in die JVM (Java Virtual Machine) integriert sein.
Java-Sicherheit ist Geschäftssicherheit
Keine Frage: Die DORA-Umsetzung verursacht zunächst etwas Aufwand. Doch die Sicherheit des Java-Ökosystems zu optimieren, zahlt sich aus. Denn ein kontinuierliches Risiko- und Schwachstellenmanagement ist heute unverzichtbar für einen stabilen Geschäftsbetrieb. Wer eine kommerziell unterstützte Java-Distribution und auf Java spezialisierte Security-Tools einsetzt, kann seine Resilienz gegen Cyberangriffe erheblich stärken. Das lohnt sich am Ende für alle Unternehmen – selbst wenn sie nicht von DORA betroffen sind.
Über den Autor:
Simon Ritter ist Deputy CTO bei Azul und seit 1984 in der IT-Branche tätig. In den 90er Jahren begann er bei Sun Microsystems mit Java zu arbeiten und war im Laufe seiner Karriere sowohl in der Java-Beratung als auch der Java-Entwicklung tätig. Nach seinem Wechsel zu Oracle im Zuge der Übernahme von Sun leitete er das Java-"Evangelism"-Team für die Java-Kernplattform. Simon Ritter wurde zweimal mit dem Java Rockstar Status auf der JavaOne ausgezeichnet und ist ein Java Champion. Er vertritt Azul in der Java SE Expert Group, der OpenJDK Vulnerability Group und dem Adoptium Steering Committee.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
