Viele Unternehmen sind unzufrieden mit der Patch-Politik von Oracle. Zu diesem Ergebnis kommt eine Online-Umfrage der Deutschen Oracle-Anwendergruppe (DOAG), an der sich insgesamt 156 Anwender von Oracle-Produkten beteiligt haben. So fühlen sich 61 Prozent von dem Hersteller nicht ausreichend über Sicherheitsrisiken und deren Beseitigung informiert. Nach Aussagen von DOAG-Vorstand Jörg Hildebrandt bemängelten die Antwortenden ein "richtiges Informationsdefizit", weil sie zu langsam und nicht ausreichend detalliert benachrichtigt werden. Daher können viele die tatsächliche Gefährdung ihrer Systeme nicht richtig einschätzen (siehe hierzu auch: "Oracle hat ein Sicherheitsproblem").
Von Oracles vierteljährlich erscheinenden Critical Patch Updates (CPUs) scheinen einige Unternehmen überfordert. Nur ein Drittel der Befragten gab an, diese zu benutzen. Auf die Frage, ob die von Oracle ergriffenen Maßnehmen zur Lösung bekannter Probleme ausreichend sind, antworteten 63 Prozent mit nein. Nur 37 Prozent sind der Meinung, der Hersteller tue genug.
Unzufriedenheit herrscht auch, was das Patch-Verfahren betrifft: Nur zehn Prozent der Antwortenden sind "sehr zufrieden", 63 Prozent bezeichnen sich als "einigermaßen zufrieden", und über ein Viertel (27 Prozent) ist "unzufrieden". Besonders die Qualität der Patch-Tools und die Abhängigkeit der Software-Upgrades von bestimmten Versionen der Patch-Tools wird kritisiert. 30 Prozent bewerten die Patch-Tools und das gesamte Verfahren der Software-Updates als schlecht, 52 Prozent halten es für "mittelmäßig". Anwender wünschen sich zudem "Rolling Upgrades", die sie im laufenden Betrieb einspielen können und die keine Downtime der Datenbanken erfordern.
Angesichts dieser Zahlen räumt Günther Stürner, Vice President Business Unit Database bei Oracle Deutschland "noch Verbesserungspotenzial" ein. Rolling Upgrades gebe es seit einiger Zeit, allerdings erst ab Version 10g der Datenbank - diese ist jedoch bei den meisten Anwendern noch nicht im Einsatz. Außerdem sind Patch-Sets und CPUs "derzeit noch nicht Rolling-Upgrade-fähig", man arbeite jedoch daran, dies zu ändern.
Handlungsbedarf ergab die im Juni online erfolgte DOAG-Umfrage, vor allem in den Bereichen Passwort- und Rechtevergabe, Rechte und Privilegien, Verschlüsselung der Daten im Netz sowie Probleme rund um System-Software. Zu letzteren zählen etwa Fehler und Schwachstellen infolge von Buffer Overflows.
Um die genannten Mängel zu beseitigen, fordert die DOAG Verbesserungen in der Qualität der "Tools und des Produktportfolios". Die Unsicherheit der Anwender solle ernst genommen werden, beispielsweise durch das Bereitstellen von Best-Practice-Dokumenten. Außerdem mahnt die Anwendergruppe gezieltere Informationen, flexiblere Verfahren für das Einspielen von Upgrades und ein verbessertes Handling an, um Stillstandzeiten während des Patch-Vorgangs zu reduzieren. Die DOAG bietet sich laut Hildebrandt als Kommunikationsplattform an, um "gemeinsam mit Oracle nach Lösungen zu suchen". (ave)