Anwender fordern von Oracle bessere Patches

18.07.2006
Kundenunternehmen wünschen sich mehr Informationen und eine höhere Qualität der vierteljährlichen Updates.

Viele Anwender sind unzufrieden mit der Patch-Politik von Oracle. Zu diesem Ergebnis kommt eine Online-Umfrage der Deutschen Oracle-Anwendergruppe (Doag), an der sich insgesamt 156 Anwender von Oracle-Produkten beteiligt haben. So fühlen sich 61 Prozent von dem Hersteller nicht ausreichend über Sicherheitsrisiken und deren Beseitigung informiert. Nach Angaben von Doag-Vorstand Jörg Hildebrandt bemängelten die Antwortenden ein "richtiges Informationsdefizit". Daher können viele die tatsächliche Gefährdung ihrer Systeme nicht richtig einschätzen.

Patches bleiben unbenutzt

Oracles vierteljährlich erscheinende Critical Patch Updates (CPUs) scheinen viele Anwender zu überfordern. Nur ein Drittel der Befragten gab an, diese zu benutzen. Auf die Frage, ob die vom Hersteller ergriffenen Maßnahmen zur Lösung bekannter Probleme ausreichend sind, antworteten 63 Prozent mit nein. Nur 37 Prozent sind der Meinung, der Hersteller engagiere sich genug.

Unzufriedenheit herrscht auch, was das Patch-Verfahren betrifft: Nur zehn Prozent der Antwortenden sind "sehr zufrieden", 63 Prozent bezeichnen sich als "einigermaßen zufrieden", und über ein Viertel (27 Prozent) ist "unzufrieden". Besonders die Qualität der Patch-Tools und die Abhängigkeit der Software-Upgrades von bestimmten Versionen der Patch-Tools erntet Kritik. 30 Prozent bewerten die von dem Anbieter bereitgestellten Patch-Programme (zum Beispiel "Opatch" oder "Enterprise Ma-nager") und das gesamte Verfahren der Software-Updates als schlecht, 52 Prozent halten es für "mittelmäßig". Anwender wünschen sich zudem "Rolling Upgrades", die sie im laufenden Betrieb einspielen können und die keine Ausfallzeiten ihrer Datenbanken erfordern.

Oracle verteidigt sich

Angesichts dieser Zahlen räumt Günther Stürner, Vice President Business Unit Database bei Oracle Deutschland, "noch Verbesserungspotenzial" ein. Grund für Hysterie sieht der Manager jedoch nicht. Rolling Upgrades gebe es seit einiger Zeit, allerdings funktionieren diese erst ab Version 10g der Datenbank - diese ist jedoch bei den meisten Anwendern noch nicht im Einsatz. Außerdem sind Patch-Sets und CPUs "derzeit noch nicht Rolling-Upgrade-fähig" - man arbeite jedoch daran, dies zu ändern.

Was die Doag will

Handlungsbedarf ergab die im Juni online erfolgte Doag-Umfrage vor allem in den Bereichen Passwort- und Rechtevergabe, Rechte und Privilegien, Verschlüsselung der Daten im Netz sowie Probleme rund um Systemsoftware. Zu Letzteren zählen etwa Fehler und Schwachstellen infolge von Buffer Overflows.

Um die genannten Mängel zu beseitigen, fordert die Doag von dem Hersteller "Verbesserungen in der Qualität der Tools und des Produktportfolios". Die Unsicherheit der Anwender solle ernst genommen werden, beispielsweise durch das Bereitstellen von Best-Practice-Dokumenten. Außerdem mahnt die Anwendergruppe gezieltere Informationen, flexiblere Verfahren für das Einspielen von Upgrades und ein verbessertes Handling an, um Stillstandszeiten während des Patch-Vorgangs zu reduzieren. Die Doag bietet sich laut Hildebrandt als Kommunikationsplattform an, um "gemeinsam mit Oracle nach Lösungen zu suchen". (ave)