Programmierer achten zu selten auf Sicherheit, wenn sie Anwendungen programmieren, kritisiert Oracles Chief Security Officer (CSO) Mary Ann Davidson. In einem Vortrag anlässlich der W3C-Conference in Edinburgh sagte die Managerin, dass fehlerhafte Software hohe finanzielle Schäden verursacht. Dem National Institute of Standards and Technology (Nist) zufolge belaufen sich diese Kosten pro Jahr auf 22,2 bis 59,9 Milliarden Dollar.

Davidson schreckte auch vor Polemik nicht zurück: Wenn Architekten Brücken so bauten, wie Programmierer Anwendungen schreiben, würden viele Menschen allmorgendlich auf dem Weg zur Arbeit die "Blue Bridge of Death" zu sehen bekommen. Sie spielte damit auf die berüchtigten Blue Screens an, die einen Systemabsturz bedeuten.

Die Sicherheits-Managerin forderte einen "Mentalitätswechsel", denn Hacker seien zusehends gewiefter darin, schlecht programmierte Software für Angriffe auszunutzen. An dem Dilemma seien Universitäten nicht ganz unschuldig, so Davidson. Die Hochschulen lehrten keine sicheren Entwicklungsmethoden und seien auch nicht bereit, ihre Lehrpläne entsprechend zu ändern.

Die Leidtragenden seien nicht nur die Anwender, sondern auch die Softwareanbieter selber. Oracle sei da keine Ausnahme: Einmal habe das Beseitigen eines Defekts in einer Anwendung 78 Patches erfordert, was das Unternehmen etwa eine Million Dollar kostete. Daher habe man inzwischen Maßnahmen ergriffen, um sichereren Code zu erstellen. Dazu gehört etwa ein 200-seitiger Leitfaden über Programmierstandards. Zudem prüft ein internes Hacker-Team die eigenen Anwendungen auf Schwachstellen. Mit speziellen Tools suchen sie nach möglichen Buffer Overflows oder anderen Sicherheitslücken. (ave)