Ein umfassender Bugfix, der mehrere Sicherheitslücken auf einmal schließt und zu einem festgelegten Zeitpunkt verfügbar ist, komme den Bedürfnissen der Kunden entgegen, heißt es bei Oracle. Anwender sind sich hingegen nicht einig, ob es besser ist, einmal im Monat einen Sammel-Patch einzuspielen oder wie bisher entdeckte Lecks möglichst schnell zu beseitigen.

Dem neuen Modell kritisch gegenüber steht die Deutsche Oracle-Anwendergruppe (Doag). Es sei ein Nachteil, einen festen Zyklus abwarten zu müssen, um erkannte Sicherheitslücken schließen zu können, sagte Doag-Vorstand Rolf Scheuch.

Bessere Planbarkeit

Das Einspielen der Bugfixes sei in jedem Fall problematisch, weil dazu die Systeme angehalten werden müssten. In diesem Zusammenhang sei die Reduzierung der Patch-Vorgänge auf zwölf pro Jahr hilfreich. Scheuch fordert jedoch weitere Vereinfachungen von Oracle.

Vorteile sieht dagegen Gerhard Eschelbeck, Chief Technology Officer beim IT-Sicherheitsdienstleister Qualys. Anwender vermöchten so System-Updates besser zu planen, da der überraschende "Patch of the Day" wegfalle. Das könne dazu beitragen, dass das Einspielen der Sicherheits-Updates nicht auf die lange Bank geschoben werde.

Bestätigt sieht Eschelbeck seine These durch eine Untersuchung, die er im Juli auf der Hacker-Konferenz Black Hat Security Briefings vorgestellt hat. Demnach haben Anwender die Halbwertszeit der Sicherheitslücken - also die Zeit, die es dauert, bis auf der Hälfte aller verwundbaren Systeme Patches eingespielt werden - im vergangenen Jahr von 30 auf 21 Tage gesenkt. (lex)