| Oracle hat ein Sicherheitsproblem | |
| Schelte von Analysten | |
| Oracle geizt mit Informationen | |
| Anwender sind Leidtragende | |
| Test-Stress kostet Zeit | |
| Auf dem Weg der Besserung? |
Keine Kommentare
welche Sicherheitsprobleme Oracle zu schaffen machen;
warum Oracles Politik für Anwenderunternehmen mühsam ist;
was Spezialisten an der Qualität der Oracle-Patches auszusetzen haben;
wieso das Verhältnis zwischen Oracle und Sicherheitsexperten gespannt ist;
weshalb Oracle so lange braucht, um Schwachstellen zu beseitigen;
wie sich Anwender behelfen können, ohne ständig Patches einspielen zu müssen.
Zwar lässt sich über Begriffe streiten, es gibt aber Ausdrücke, deren Bedeutung ziemlich klar ist. "Unbreakable" ist so ein Fall. Wenn von "unzerbrechlich" die Rede ist, dann denken die meisten Menschen wahrscheinlich an Sicherheit und haben ein ruhiges Gewissen.
Was zu dem Wort überhaupt nicht passt, sind haufenweise auftretende Fehler, das verzweifelte Bemühen eines Herstellers, dieser Flut Herr zu werden, oder mangelhafte Updates. Genau das sind die Dinge, mit denen Oracle derzeit kämpft. Das Unternehmen, das seine Produkte noch vor kurzem lauthals als "unbreakable" anpries, hat ein Problem.
Die Sicherheitsfassade, auf die der Datenbankriese schon immer großen Wert gelegt hat, zeigt seit einiger Zeit deutliche Risse. In den letzten Jahren hat das Unternehmen verstärkt mit zum Teil schweren Sicherheitslücken zu kämpfen, die in seinen Produkten entdeckt werden. Wirft man beispielsweise einen Blick in die Liste der "Common Vulnerabilities and Exposures" (CVE), so sind dort für das Jahr 2005 insgesamt 61 Oracle-Schwachstellen vermerkt, für 2006 waren es am 8. Februar bereits 44 Sicherheitslücken. Zum Vergleich: Zu SAP versammelt die CVE-Aufstellung für 2005 gerade einmal sechs, für 2006 noch gar keine Einträge. Sucht man nach Microsoft, finden sich 113 Einträge für das Jahr 2005 und elf für 2006 (Stand ebenfalls 8. Februar).
Die Zahl der Oracle-Schwachstellen dürfte sogar noch etwas höher liegen, denn viele Fehler sind zwar bereits entdeckt und an Oracle gemeldet, aber noch nicht publik gemacht worden. Sicherheitsspezialisten wie Alexander Kornbrust, Geschäftsführer von Red Database Security GmbH im saarländischen Neunkirchen, entdecken immer wieder neue Probleme. Aus Sicht des Experten liegt das daran, dass "Oracle dem Thema Sicherheitsschwachstellen lange Zeit keine richtige Beachtung geschenkt hat, obwohl es über eine interne Sicherheitstruppe verfügt". Auch beim Entwickeln habe der Hersteller sich zu wenig darum gekümmert, Fehler zu vermeiden. Jetzt brauche es eine gewisse Zeit, um das wieder zu ändern: Neuere Software sei zwar "schon ziemlich gut", teilweise gebe es aber noch "recht kapitale Fehler".
