Java: OpenJDK reicht nicht
Frei verfügbares OpenJDK bekommt nur alle drei Monate Sicherheitsupdates. Für kritische Systeme unter NIS2, DORA und dem Cyber Resilience Act ist das zu wenig, und nicht compliant.
(PresseBox) - Wer Java auf zentralen Systemen betreibt, sollte den Patch-Rhythmus kennen. Frei verfügbares OpenJDK liefert Sicherheitsfixes nur im Quartalstakt. Nur Oracle und Azul geben zwischendurch reine Security-Patches. Die Lizenzberatung ProLicense erklärt, warum das gerade für regulierte Betreiber unter NIS2, DORA und dem Cyber Resilience Act zum Sicherheits- und Compliance-Problem wird.
Der Umstieg von Oracle Java auf freies OpenJDK spart Lizenzkosten. Für zentrale und kritische Systeme greift diese Rechnung aber zu kurz. Frei verfügbare OpenJDK-Builds bekommen Sicherheitsupdates nur alle drei Monate, gebündelt mit anderen Änderungen. Zwischen diesen Quartalsterminen bleibt eine Lücke. Die ProLicense, unabhängige Beratung für Software License Management, sieht darin ein doppeltes Risiko: ein Sicherheits- und ein Compliance-Problem.
Nur alle drei Monate Sicherheitsupdates
OpenJDK ist die gemeinsame Codebasis fast aller Java-Distributionen. Frei verfügbare Builds wie Temurin folgen dem Quartalsrhythmus von Oracle und liefern Sicherheitsfixes im Paket mit Bug- und Funktionsänderungen. Reine Security-Patches auf stabilisierten Builds, die sich mit minimalem Testaufwand einspielen lassen, gibt es dort nicht. Nur Oracle und Azul stellen solche Security-Only-Updates bereit und liefern bei akuten Schwachstellen auch außerplanmäßige Notfall-Patches außerhalb des Quartalstakts. Wer auf einem freien Build läuft, wartet im Ernstfall bis zum nächsten Quartalstermin.
KI verschärft die Bedrohungslage massiv
Diese Lücke wiegt schwerer als früher, weil sich das Zeitfenster zwischen der Veröffentlichung einer Schwachstelle und ihrer Ausnutzung drastisch verkürzt. Forscher der University of Illinois zeigten 2024, dass ein Agent auf Basis von GPT-4 offengelegte, noch ungepatchte Schwachstellen zu 87 %selbstständig ausnutzt, sobald die CVE-Beschreibung vorliegt. Googles Agent Big Sleep, eine Zusammenarbeit von Google DeepMind und Project Zero, fand Ende 2024 erstmals eine vorher unbekannte, ausnutzbare Schwachstelle in weit verbreiteter Software und stoppte 2025 sogar eine unmittelbar drohendeAusnutzung. Die Veröffentlichung einer CVE liefert einem fähigen KI-Agenten heute fast alles, was er für einen funktionierenden Angriff braucht. Ein Patch-Fenster von bis zu drei Monaten ist unter diesen Vorzeichen nicht mehr vertretbar.
„Die Annahme, zwischen den Quartalsupdates passiere schon nichts, ist überholt. KI-Agenten bauen aus einer frisch veröffentlichten CVE binnen Stunden einen Exploit. Wer auf zentralen Systemen ein freies OpenJDK ohne außerplanmäßige Security-Patches betreibt, lässt genau diesesFenster offen“, sagt Christian Grave, Geschäftsführer der ProLicense.
Das Compliance-Problem: kein SLA, kein Ansprechpartner
Für Betreiber kritischer Infrastruktur und alle Unternehmen, die unter NIS2, den Cyber Resilience Act oder DORA fallen, kommt ein zweites Problem hinzu. Diese Regularien verlangen ein nachweisbares, zeitnahes Schwachstellenmanagement mit klarer Verantwortlichkeit. Ein frei heruntergeladenes OpenJDK bringt keinen kommerziellen Supportvertrag, kein SLA mit zugesicherten Reaktionszeiten, keinen benannten Ansprechpartner und keine garantierten außerplanmäßigen Sicherheitspatches. Damit lässt sich die geforderte Sorgfaltspflicht nicht belegen. Der bloße Eigeneinsatz eines freien Builds auf zentralen Systemen ist für regulierte Betreiber daher keine compliant tragfähige Grundlage.
Die Lösung: kommerziell supportetes Java statt freies OpenJDK
Oracle Java selbst istüber die Employee-Metrik extrem teuer geworden. Wer die Kosten senken und trotzdem sicher und compliant bleiben will, wechselt nicht auf einen freien Build, sondern auf eine kommerziell supportete Distribution. ProLicense hilft dem Kunden, von Oracle Java auf Azul Platform Core zu wechseln, bei weniger als der Hälfte der Oracle-Kosten, mit genau derselben Java-Qualität und mit stabilisierten Security-Only- sowie außerplanmäßigen Notfall-Patches. Azul Platform Core ist dabei ein Eins-zu-eins-Ersatz für Oracle Java SE mit SLA-gestütztem Support. Nach dem Wechsel begleitetProLicense den Kunden weiter und hält ihn dauerhaft Oracle-Java-frei, damit weder das Kostenrisiko noch die Sicherheitslücke zurückkehren. Für kritische Systeme schließt das beide Probleme auf einmal, bei minimalen Kosten.
„OpenJDK reicht für unkritische Umgebungen, für zentrale Systeme unter NIS2, DORA oder dem Cyber Resilience Act reicht es nicht. Azul Platform Core gibt regulierten Kunden reine Security-Patches, außerplanmäßige Notfall-Updates und einen Support mit klaren Reaktionszeiten, zu deutlich niedrigeren Kosten als Oracle. Wir rechnen den Fall durch, begleiten den Wechsel und halten den Kunden danach Oracle-Java-frei und compliant“, sagt Markus Oberg von ProLicense.
Ziel bleibt in jedem Fall dasselbe: minimale Kosten bei voller Compliance. Wer prüfen lassen will, welche Java-Systeme kritisch sind und wo ein freies OpenJDK zum Risiko wird, erreicht das Team über dieKontaktseiteoder unter +49 (0) 40-228 6828-0.
Die ProLicense GmbH mit Sitz in Hamburg berät seit 2009 Unternehmen im Software License Management, unabhängig von Oracle, Microsoft, VMware und allen anderen Herstellern. Die Gründer Sören Reimers (Rechtsanwalt) und Christian Grave (Diplom-Kaufmann) waren jeweils über acht Jahre bei Oracle tätig. ProLicense unterstütztbei Software-Audits, Lizenzverhandlungen und ULA-Zertifizierungen, beim Wechsel zu Drittsupport für Software, Hardware und End-of-Life Open Source sowie beim Umstieg auf Alternativen wie Azul, Payara oder Nutanix. Gebrauchte Lizenzen laufen über den eigenen Marktplatz ProLicense XChange. Die Vergütung erfolgt erfolgsbasiert direkt durch den Kunden, ohne Zahlungen von Herstellern. Ziel jedes Mandats: minimale Kosten bei voller Compliance. Mehr unter www.prolicense.com.
Die ProLicense GmbH mit Sitz in Hamburg berät seit 2009 Unternehmen im Software License Management, unabhängig von Oracle, Microsoft, VMware und allen anderen Herstellern. Die Gründer Sören Reimers (Rechtsanwalt) und Christian Grave (Diplom-Kaufmann) waren jeweilsüber acht Jahre bei Oracle tätig. ProLicense unterstützt bei Software-Audits, Lizenzverhandlungen und ULA-Zertifizierungen, beim Wechsel zu Drittsupport für Software, Hardware und End-of-Life Open Source sowie beim Umstieg auf Alternativen wie Azul, Payara oder Nutanix. Gebrauchte Lizenzen laufenüber den eigenen Marktplatz ProLicense XChange. Die Vergütung erfolgt erfolgsbasiert direkt durch den Kunden, ohne Zahlungen von Herstellern. Ziel jedes Mandats: minimale Kosten bei voller Compliance. Mehr unter www.prolicense.com.
Datum: 15.07.2026 - 10:00 Uhr
Sprache: Deutsch
News-ID 2262349
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Markus Oberg
Stadt:
Hamburg
Kategorie:
Softwareindustrie
Dieser Fachartikel wurde bisher 3 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Java: OpenJDK reicht nicht"
steht unter der journalistisch-redaktionellen Verantwortung von
ProLicense GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).




