Java: OpenJDK reicht nicht

Java: OpenJDK reicht nicht

ID: 2262349

Frei verfügbares OpenJDK bekommt nur alle drei Monate Sicherheitsupdates. Für kritische Systeme unter NIS2, DORA und dem Cyber Resilience Act ist das zu wenig, und nicht compliant.



(PresseBox) - Wer Java auf zentralen Systemen betreibt, sollte den Patch-Rhythmus kennen. Frei verfügbares OpenJDK liefert Sicherheitsfixes nur im Quartalstakt. Nur Oracle und Azul geben zwischendurch reine Security-Patches. Die Lizenzberatung ProLicense erklärt, warum das gerade für regulierte Betreiber unter NIS2, DORA und dem Cyber Resilience Act zum Sicherheits- und Compliance-Problem wird.

Der Umstieg von Oracle Java auf freies OpenJDK spart Lizenzkosten. Für zentrale und kritische Systeme greift diese Rechnung aber zu kurz. Frei verfügbare OpenJDK-Builds bekommen Sicherheitsupdates nur alle drei Monate, gebündelt mit anderen Änderungen. Zwischen diesen Quartalsterminen bleibt eine Lücke. Die ProLicense, unabhängige Beratung für Software License Management, sieht darin ein doppeltes Risiko: ein Sicherheits- und ein Compliance-Problem.

Nur alle drei Monate Sicherheitsupdates

OpenJDK ist die gemeinsame Codebasis fast aller Java-Distributionen. Frei verfügbare Builds wie Temurin folgen dem Quartalsrhythmus von Oracle und liefern Sicherheitsfixes im Paket mit Bug- und Funktionsänderungen. Reine Security-Patches auf stabilisierten Builds, die sich mit minimalem Testaufwand einspielen lassen, gibt es dort nicht. Nur Oracle und Azul stellen solche Security-Only-Updates bereit und liefern bei akuten Schwachstellen auch außerplanmäßige Notfall-Patches außerhalb des Quartalstakts. Wer auf einem freien Build läuft, wartet im Ernstfall bis zum nächsten Quartalstermin.

KI verschärft die Bedrohungslage massiv

Diese Lücke wiegt schwerer als früher, weil sich das Zeitfenster zwischen der Veröffentlichung einer Schwachstelle und ihrer Ausnutzung drastisch verkürzt. Forscher der University of Illinois zeigten 2024, dass ein Agent auf Basis von GPT-4 offengelegte, noch ungepatchte Schwachstellen zu 87 % selbstständig ausnutzt, sobald die CVE-Beschreibung vorliegt. Googles Agent Big Sleep, eine Zusammenarbeit von Google DeepMind und Project Zero, fand Ende 2024 erstmals eine vorher unbekannte, ausnutzbare Schwachstelle in weit verbreiteter Software und stoppte 2025 sogar eine unmittelbar drohende Ausnutzung. Die Veröffentlichung einer CVE liefert einem fähigen KI-Agenten heute fast alles, was er für einen funktionierenden Angriff braucht. Ein Patch-Fenster von bis zu drei Monaten ist unter diesen Vorzeichen nicht mehr vertretbar.



„Die Annahme, zwischen den Quartalsupdates passiere schon nichts, ist überholt. KI-Agenten bauen aus einer frisch veröffentlichten CVE binnen Stunden einen Exploit. Wer auf zentralen Systemen ein freies OpenJDK ohne außerplanmäßige Security-Patches betreibt, lässt genau dieses Fenster offen“, sagt Christian Grave, Geschäftsführer der ProLicense.

Das Compliance-Problem: kein SLA, kein Ansprechpartner

Für Betreiber kritischer Infrastruktur und alle Unternehmen, die unter NIS2, den Cyber Resilience Act oder DORA fallen, kommt ein zweites Problem hinzu. Diese Regularien verlangen ein nachweisbares, zeitnahes Schwachstellenmanagement mit klarer Verantwortlichkeit. Ein frei heruntergeladenes OpenJDK bringt keinen kommerziellen Supportvertrag, kein SLA mit zugesicherten Reaktionszeiten, keinen benannten Ansprechpartner und keine garantierten außerplanmäßigen Sicherheitspatches. Damit lässt sich die geforderte Sorgfaltspflicht nicht belegen. Der bloße Eigeneinsatz eines freien Builds auf zentralen Systemen ist für regulierte Betreiber daher keine compliant tragfähige Grundlage.

Die Lösung: kommerziell supportetes Java statt freies OpenJDK

Oracle Java selbst ist über die Employee-Metrik extrem teuer geworden. Wer die Kosten senken und trotzdem sicher und compliant bleiben will, wechselt nicht auf einen freien Build, sondern auf eine kommerziell supportete Distribution. ProLicense hilft dem Kunden, von Oracle Java auf Azul Platform Core zu wechseln, bei weniger als der Hälfte der Oracle-Kosten, mit genau derselben Java-Qualität und mit stabilisierten Security-Only- sowie außerplanmäßigen Notfall-Patches. Azul Platform Core ist dabei ein Eins-zu-eins-Ersatz für Oracle Java SE mit SLA-gestütztem Support. Nach dem Wechsel begleitet ProLicense den Kunden weiter und hält ihn dauerhaft Oracle-Java-frei, damit weder das Kostenrisiko noch die Sicherheitslücke zurückkehren. Für kritische Systeme schließt das beide Probleme auf einmal, bei minimalen Kosten.

„OpenJDK reicht für unkritische Umgebungen, für zentrale Systeme unter NIS2, DORA oder dem Cyber Resilience Act reicht es nicht. Azul Platform Core gibt regulierten Kunden reine Security-Patches, außerplanmäßige Notfall-Updates und einen Support mit klaren Reaktionszeiten, zu deutlich niedrigeren Kosten als Oracle. Wir rechnen den Fall durch, begleiten den Wechsel und halten den Kunden danach Oracle-Java-frei und compliant“, sagt Markus Oberg von ProLicense.

Ziel bleibt in jedem Fall dasselbe: minimale Kosten bei voller Compliance. Wer prüfen lassen will, welche Java-Systeme kritisch sind und wo ein freies OpenJDK zum Risiko wird, erreicht das Team über die Kontaktseite oder unter +49 (0) 40-228 6828-0.

Die ProLicense GmbH mit Sitz in Hamburg berät seit 2009 Unternehmen im Software License Management, unabhängig von Oracle, Microsoft, VMware und allen anderen Herstellern. Die Gründer Sören Reimers (Rechtsanwalt) und Christian Grave (Diplom-Kaufmann) waren jeweils über acht Jahre bei Oracle tätig. ProLicense unterstützt bei Software-Audits, Lizenzverhandlungen und ULA-Zertifizierungen, beim Wechsel zu Drittsupport für Software, Hardware und End-of-Life Open Source sowie beim Umstieg auf Alternativen wie Azul, Payara oder Nutanix. Gebrauchte Lizenzen laufen über den eigenen Marktplatz ProLicense XChange. Die Vergütung erfolgt erfolgsbasiert direkt durch den Kunden, ohne Zahlungen von Herstellern. Ziel jedes Mandats: minimale Kosten bei voller Compliance. Mehr unter www.prolicense.com.

Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:

Die ProLicense GmbH mit Sitz in Hamburg berät seit 2009 Unternehmen im Software License Management, unabhängig von Oracle, Microsoft, VMware und allen anderen Herstellern. Die Gründer Sören Reimers (Rechtsanwalt) und Christian Grave (Diplom-Kaufmann) waren jeweils über acht Jahre bei Oracle tätig. ProLicense unterstützt bei Software-Audits, Lizenzverhandlungen und ULA-Zertifizierungen, beim Wechsel zu Drittsupport für Software, Hardware und End-of-Life Open Source sowie beim Umstieg auf Alternativen wie Azul, Payara oder Nutanix. Gebrauchte Lizenzen laufen über den eigenen Marktplatz ProLicense XChange. Die Vergütung erfolgt erfolgsbasiert direkt durch den Kunden, ohne Zahlungen von Herstellern. Ziel jedes Mandats: minimale Kosten bei voller Compliance. Mehr unter www.prolicense.com.



drucken  als PDF  Accso ist offizieller STACKIT Reselling Partner Ergobaby arbeitet mit automatisierter Archivierung, während Endnutzer:innen wie gewohnt auf ihre Dateien zugreifen
Bereitgestellt von Benutzer: PresseBox
Datum: 15.07.2026 - 10:00 Uhr
Sprache: Deutsch
News-ID 2262349
Anzahl Zeichen: 6336

Kontakt-Informationen:
Ansprechpartner: Markus Oberg
Stadt:

Hamburg



Kategorie:

Softwareindustrie



Diese Pressemitteilung wurde bisher 134 mal aufgerufen.


Die Pressemitteilung mit dem Titel:
"Java: OpenJDK reicht nicht"
steht unter der journalistisch-redaktionellen Verantwortung von

ProLicense GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

Oracle-Audit abwehren: die ersten Schritte nach dem Brief ...
Ein Oracle-Audit kündigt sich per Brief an. Die Versuchung ist groß, sofort zu reagieren, Messskripte laufen zu lassen und Zahlen zu liefern. Genau das ist der Fehler. Wer zu früh Daten herausgibt, schwächt seine Position, bevor überhaupt geklärt ist, ob Oracle das Audit rechtlich verlangen ka

VMware-Lizenzkosten senken: Drittsupport statt Broadcom-Abo ...
Wer VMware betreibt, verhandelt seit der Broadcom-Übernahme mit einem neuen Preismodell. Broadcom hat das frühere Produktangebot von über 160 Einzelprodukten, Editionen und Add-ons auf wenige Abo-Bundles zusammengelegt. Dauerlizenzen gibt es für Neukäufe nicht mehr, abgerechnet wird pro Prozess

Oracle-Kosten senken: Drittsupport stoppt die Preisspirale ...
Wer Oracle-Software betreibt, zahlt Jahr für Jahr mehr, ohne eine einzige Lizenz hinzuzukaufen. Grund ist die Indexierung der Supportgebühren. Seit Dezember 2022 steigen bestehende Wartungsverträge um 8 % bis 10% pro Jahr. Zuvor lag die jährliche Anpassung bei 4 %. Bei 8 % verdoppeln sich die Su


Weitere Mitteilungen von ProLicense GmbH


Accso ist offizieller STACKIT Reselling Partner ...
Accso erweitert sein Cloud-Portfolio: Das IT-Beratungs- und Softwareunternehmen ist seit März 2026 offizieller Reselling Partner von STACKIT, dem europäischen Hyperscaler der Schwarz Gruppe. Damit ergänzt Accso seine bestehenden Cloud-Partnerschaften um einen zweiten Anbieter, und schafft zusätz

Netstock integriert intelligente Containerplanung in seine Supply-Chain-Software ...
Netstock, ein führender Anbieter von Software für Bestands- und Bedarfsplanung, erweitert seine Plattform um den Container Builder. Das neue Modul unterstützt Unternehmen dabei, Bestellvorschläge automatisch in containerfertige Lieferantenbestellungen umzuwandeln. Gerade angesichts steigender Fr

Ergobaby arbeitet mit automatisierter Archivierung, während Endnutzer:innen wie gewohnt auf ihre Dateien zugreifen ...
Ergobaby hat seinen zusätzlichen SharePoint-Online-Speicher mit der Archivierungslösung ShArc um 61 Prozent reduziert. Bereits innerhalb der ersten zwei Wochen in denen das Tool im Einsatz war, lagerte das Unternehmen 6 TB Daten aus. Manuelle Archivierungs-Workflows und IT-Tickets für das Wiederh

Assentübernimmt IPOINT und vereint KI-gestützte Compliance mit Produktintelligenz ...
Gemeinsam bündeln Assent und IPOINT KI, Daten und Lebenszyklus-Know-how, um Herstellern und Händlern einen schnelleren und umfassenderen Überblick über ihre Produkte zu verschaffen – von deren Einzelteilen und Inhaltsstoffen bis hin zu ihren Auswirkungen auf die Welt. Diese Kombination beschle


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z