Eine Welt ohne Adobe Flash

In nicht so liebevoller Erinnerung an Adobe Flash.

Seit Anfang 2021 gibt es Adobe Flash offiziell nicht mehr. Einige Fans von alten Browser-Spielen waren nicht so begeistert davon, aber die meisten IT-Sicherheitsexperten atmeten erleichtert auf, während die Welt sich darauf vorbereitete ohne eine zwar namhafte, aber inzwischen toten Technologie auszukommen.  

Aber ist die Welt wirklich darauf vorbereitet? Es stellte sich heraus, dass nicht alle Seiten Flash durch andere Tools ersetzt haben und das, obwohl Adobe schon seit Jahren das Ende von Flash Player angekündigt hat. Darüber hinaus begannen einige Tech-Geisterbeschwörer sich Methoden auszudenken, um die tote Technologie wieder zum Leben zu erwecken. Fast fünfzig Tage nach dem Support-Ende haben wir uns damit befasst, wie die Welt ohne Adobe Flash auskommt (oder nicht auskommt).  

Zugverkehr in Dalian 

Es wird viel darüber gesprochen, was genau im Januar einem Bahnbetreiber in China passiert ist. Es gibt unterschiedliche Meinungen dazu, wie schwerwiegend der Fall war, aber alle sind sich in einem Punkt einig: Die Einstellung von Flash war der Grund für die Fehlfunktion. Obwohl das offizielle Datum auf dem Totenschein von Flash 1. Januar 2021 lautete, räumte Adobe noch eine Nachfrist von 11 Tagen ein, damit sich die Benutzer gebührend von der Technologie verabschieden konnten. Warum es am 12. Januar immer noch Menschen und sogar Unternehmen gab, die immer noch von Flash abhängig waren, ist schlicht und einfach unbegreiflich. Doch tatsächlich wurde die Plattform an dem Tag von einem Bahnbetreiber im nordchinesischen Dalian verwendet.  

Ob nun wirklich Flash den Bahnverkehr lahmgelegt hat und welche Systeme daran beteiligt waren, steht noch zur Debatte und hier geht es eigentlich auch gar nicht darum. In den Medien wurde davon berichtet, dass die Zugbetriebspläne nicht mehr eingesehen und Rangierpläne nicht mehr erstellt werden konnten. Offiziell wurde das Problem verleugnet. Was auch immer der Fall war, das Team für die technische Unterstützung zog alle Register und fand schließlich eine Lösung, um Adobe Flash wieder auf den Computern der Bahnhöfe der Bahnlinie zu aktivieren. Der Betrieb konnte wieder aufgenommen werden. Adobe Flash funktionierte normal und die Züge fuhren wieder wie gewöhnlich.  

Aus der Perspektive von IT-Sicherheit ist diese Lösung nicht gerade lobenswert. Ein Teil einer wichtigen Infrastruktur nutzt jetzt (obschon für nicht allzu kritische Aufgaben) eine veraltete Technologie.   

Ein anderer, aber mit diesem Vorfall verwandter Punkt ist, dass viele Großunternehmen ihre Aktualisierungen stückweise durchführen, weil die Best Practices vorgeben Updates vorab in Maschinen in isolierten Testumgebungen zu prüfen. Vielleicht wurde diese Methode von dem Bahnbetreiber in Dalian verwendet, aber das wissen wir eben nicht. In diesem Fall sind außerdem nicht die Aktualisierungsprotokolle das Problem. Adobe hat Flash am 12. Januar nicht aktualisiert sondern komplett eingestellt. Der Notausschalter wurde schon seit Langem codiert – bereits vor dem letzten Update (das am 8. Dezember veröffentlicht wurde). In einer Testumgebungen wäre es mit einem Patch wahrscheinlich getan.   

In dieser Hinsicht ist ein eingebetteter Notausschalter vieleicht nicht gerade die bewährteste Methode, um eine so weit verbreitete Technologie einzustellen.   

Ein Finanzamt in Südafrika 

Die die südafrikanische Finanzverwaltung South African Revenue Service (SARS) ist dafür zuständig die Steuern im ganzen Land einzutreiben und viele Steuererklärungen werden heutzutage online getätigt. Am 12. Januar entdeckte SARS plötzlich, dass die dafür notwendigen Website-Formulare Flash benutzen.   

Anstatt die Frist für die Abgabe zu verlängern und die Online-Formulare mithilfe einer modernen Technologie neu zu codieren, entschloss das Finanzamt einen eigenen Browser für die Steuerpflichtigen entwickelt zu lassen, der Flash weiterhin unterstützt. Südafrikanische Steuerzahler sehen sich jetzt gezwungen sensible Finanzdaten über eine Technologie zu schicken, die nicht mehr unterstützt wird.  

Die südafrikanische Regierung hat auch keinen komplett neuen Browser entwickelt – Es wurde eine zurechtgestutzte Version des Open-Source-Browsers Chromium eingesetzt, der nur Zugriff auf eine einzige Website ermöglicht. Als Notlösung ist es zugegebenermaßen nicht lebensgefährlich, aber uns ist schleierhaft, wie die Abteilung den Browser aktualisieren will.    

Ein weiterer Nachteil besteht darin, dass der SARS-Browser nur auf Windows-Systemen läuft und somit die Nutzer von anderen Betriebssystemen nach Möglichkeiten suchen müssen, um Flash auf ihren Geräten zu aktivieren, was sehr riskant ist. Wir hoffen, dass es sich wirklich nur um eine vorübergehende Notlösung handelt und das Finanzamt Flash bald nicht mehr für die Online-Formulare verwendet.  

Workarounds 

Es gibt durchaus Möglichkeiten Flash zu aktivieren. Das Schlimmste daran ist, das diese Methoden zurzeit sehr gefragt sind und nicht nur bei Fans von Flash-basierten Computerspielen. Es gibt immer noch einige recht große Unternehmen, die diese Technologie noch für bestimmte Services verwenden (oft handelt es sich um interne Dienste). Suchen Sie nach „Flash 2021 weiter nutzen“ und Sie werden eine Menge Tipps und Tricks finden, um Flash-Inhalte weiter zu nutzen. Wir raten diese Methoden nicht zu verwenden.  

Eine Option besteht darin eine ältere Version des Flash-Players zu installieren, die den fest codierten Ausstiegstermin 12. Januar nicht kennt. Auch wenn auf der Website von Adobe keine Links zu älteren Versionen mehr zu finden sind, gibt es immer noch genügend inoffizielle Websites, die solche Links zur Verfügung stellen. Das ist von vornherein problematisch, weil die Nutzung von alten Software-Versionen grundsätzlich ein Risiko darstellt, aber Software auf unbekannten Websites herunterzuladen ist mit noch größeren Risiken verbunden – man kann unmöglich wissen, was eine skrupellose Person eventuell in das Installationspaket gepackt hat…  

Es wurden auch verschiedene Anleitungen veröffentlicht, um den eingebauten Notausschalter zu deaktivieren und so einige Flash-Inhalte ansehen zu können.  

Es gibt allerdings Tipps, die sinnvoller sind. Beispielsweise basieren mehrere Browser-Erweiterungen auf der Opensource-Software namens Ruffle, ein Flash-Emulator, der moderne Browser-Sandboxing-Technologien verwendet. Ruffle ist Rust programmiert und bietet eine hohe Speichersicherheit. Zudem ist der Der Flash-Player-Emulator laut Hersteller sicherer als ein normaler Flash-Player, da herkömmliche Flash-Probleme und Schwachstellen behoben wurden.  

Das hört sich gar nicht so schlecht an. Bitte beachten Sie aber trotzdem, dass Ruffle eine Opensource-Software ist und von Enthusiasten betrieben wird. Ob Enthusiasmus hierfür ausreicht, ist noch abzuwarten. Ruffle kann auch eigene Schwachstellen haben, die dann von jemanden behoben werden, wenn es soweit ist.  

Inzwischen werden auch spezielle B2B-Lösungen angeboten. Zum Beispiel hat Harman ein Abkommen mit Adobe unterschrieben, um benutzerdefinierte Browser zu entwickeln und zu unterstützen, auf denen Flash für Unternehmen aktiviert ist, die sich noch nicht von dieser Technologie trennen möchten.  

Was kann ich tun, wenn ich Flash noch brauche?

Wenn Sie nicht ohne Flash leben können, empfehlen wir Folgendes:  

  • Überlegen Sie noch einmal, ob Sie Flash wirklich brauchen. Versuchen Sie stattdessen Ihre Website-Inhalte zu aktualisieren.
  • Nutzen Sie alte Versionen und andere Workarounds nur in virtuellen Umgebungen und nur wenn es wirklich nicht anders geht.
  • Installieren Sie eine Sicherheitslösung, um Exploit-Versuche sofort zu entdecken, auch wenn Ihre Workarounds Ihnen recht sicher erscheinen. 
Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.