Zwar lässt sich über Begriffe streiten, es gibt aber Ausdrücke, deren Bedeutung ziemlich klar ist. "Unbreakable" ist so ein Fall. Wenn von "unzerbrechlich" die Rede ist, dann denken die meisten Menschen wahrscheinlich an Sicherheit und haben ein ruhiges Gewissen. Was zu dem Wort überhaupt nicht passt, sind haufenweise auftretende Fehler, das verzweifelte Bemühen eines Herstellers, dieser Flut Herr zu werden, oder mangelhafte Updates. Genau das sind die Dinge, mit denen Oracle derzeit kämpft. Das Unternehmen, das seine Produkte noch vor kurzem lauthals als "unbreakable" anpries, hat ein Problem.

Die Sicherheitsfassade, auf die der Datenbankriese schon immer großen Wert gelegt hat, zeigt seit einiger Zeit deutliche Risse. In den letzten Jahren hat das Unternehmen verstärkt mit zum Teil schweren Sicherheitslücken zu kämpfen, die in seinen Produkten entdeckt werden. Wirft man beispielsweise einen Blick in die Liste der "Common Vulnerabilities and Exposures" (CVE, zu finden unter http://cve.mitre.org), so sind dort für das Jahr 2005 insgesamt 61 Oracle-Schwachstellen vermerkt, für 2006 waren es am 8. Februar bereits 44 Sicherheitslücken. Zum Vergleich: Zu SAP versammelt die CVE-Aufstellung für 2005 gerade einmal sechs, für 2006 noch gar keine Einträge. Sucht man nach Microsoft, finden sich 113 Einträge für das Jahr 2005 und elf für 2006 (Stand ebenfalls 8. Februar).

Die Zahl der Oracle-Schwachstellen dürfte sogar noch etwas höher liegen, denn viele Fehler sind zwar bereits entdeckt und an Oracle gemeldet, aber noch nicht publik gemacht worden. Sicherheitsspezialisten wie Alexander Kornbrust, Geschäftsführer von Red Database Security GmbH im saarländischen Neunkirchen, entdecken immer wieder neue Probleme. Aus Sicht des Experten liegt das daran, dass "Oracle dem Thema Sicherheitsschwachstellen lange Zeit keine richtige Beachtung geschenkt hat, obwohl es über eine interne Sicherheitstruppe verfügt". Auch beim Entwickeln habe der Hersteller sich zu wenig darum gekümmert, Fehler zu vermeiden. Jetzt brauche es eine gewisse Zeit, um das wieder zu ändern: Neuere Software sei zwar "schon ziemlich gut", teilweise gebe es aber noch "recht kapitale Fehler".

Schelte von Analysten

In einem Ende Januar veröffentlichten Papier gehen auch die Analysten von Gartner hart mit dem Datenbankriesen ins Gericht: Das letzte Critical Patch Update (CPU) vom 17. Januar gebe wegen der Bandbreite und Ernsthaftigkeit der damit adressierten Schwachstellen "Anlass zu großer Sorge". Zwar befürworten die Auguren grundsätzlich den Ende 2004 verkündeten, vierteljährlichen Update-Rhythmus des Datenbankspezialisten. Dieser Fahrplan ermögliche es Anwendern, die Wartung ihrer Oracle-Produkte besser zu planen.

Für Rich Mogull, Research Vice President bei Gartner, steht aber fest: "Oracle kann nicht länger als eine Sicherheitsbastion angesehen werden." Da die Produkte des Herstellers in immer kürzeren Abständen kritische Schwachstellen aufwiesen und Exploit-Code immer regelmäßiger im Internet erscheine, müssten Datenbank- und Applikations-Administratoren damit anfangen, ihre Systeme aggressiver zu schützen und zu warten.

Das ist jedoch leichter gesagt als getan. Schon jetzt können Anwender kaum noch mit den Updates Schritt halten. Aus Sicht von Jörg Hildebrandt, Vorstand der Deutschen Oracle User Group (Doag), ist es "so gut wie unmöglich", immer auf dem aktuellen Stand zu sein, da ständig neue Patches erscheinen: "Wenn man sich überlegt, dass ein größeres Update etwa zwei Stunden zur Installation braucht, lässt sich leicht ausrechnen, wie lange Unternehmen, die hundert oder mehr Datenbanken besitzen, allein mit diesem Vorgang beschäftigt sind." Ungleich komplizierter gestaltet sich die Situation für große Unternehmen, in denen im Schnitt zwischen 500 und 2000 Oracle-Datenbanken im Einsatz sind, wie Red-Database-Security-Chef Kornbrust erzählt. In solchen Umgebungen sind regelmäßige Patches kaum noch umzusetzen, da die Fixes auch noch getestet werden sollten, bevor man sie ausrollt.

Verkompliziert wird dies dadurch, dass Anwender nur schwer erkennen können, welche Patches für ihre Installation relevant sind. Oracle liefert mit seinen CPUs zwar gewisse Erklärungen und ordnet die Sicherheitslecks in eine Matrix ein. Doch damit stiftet der Hersteller mehr Verwirrung, als dass er den Anwendern hilft, bestätigt Kornbrust. Er hält die von Oracle bereitgestellte Dokumentation der Schwachstellen für "viel zu spärlich".

Oracle geizt mit Informationen

Es gebe viele Arten, eine Datenbank zu installieren. Je nachdem, welches Feature vorhanden ist, sind bestimmte Bugs kritisch oder eben nicht. Das Januar-Update enthielt einen Patch für einen kritischen Fehler, der alle Versionen der Datenbank betrifft. In der Menge der Fixes - das letzte CPU beseitigte über 82 Fehler - sei dieses Problem allerdings "völlig untergegangen". Unterm Strich hält es der Berater selbst für die mit der Materie vertrauten Anwender für "relativ schwer", aus der von Oracle bereitgestellten Matrix schlau zu werden.

Da Anwender laut Kornbrust ein CPU jeweils komplett einspielen müssen, bleibt ihnen nur, sämtliche Punkte in einem Sicherheitshinweis durchzugehen. Auf diese Weise herauszufinden, ob ein Update nun für das Unternehmen relevant ist, sei nicht einfach.

Kein Einsehen

Der Datenbankriese sieht das anders. Von der deutschen Dependance wollte sich zwar niemand zu der Thematik äußern, Fragen zu derart "strategischen Themen" könne man "nicht lokal beantworten". Duncan Harris, Senior Director für Security Assurance bei Oracle, erklärte jedoch unlängst im Interview die momentane Praxis: "Wir haben unseren Kunden genau zugehört und daraufhin ein System entwickelt, bei dem wir gesondert für jeden Produktbereich in einer Risiko-Matrix die Art jeder Schwachstelle identifizieren, die durch einen Quartals-Patch beseitigt wird." Da die Hinweise schließlich für die Kunden und nicht für die Security-Community gedacht seien, sieht sich das Unternehmen im grünen Bereich: "Wir glauben, dass diese Information für unsere Kunden ausreichend ist."

Dem widerspricht Gartner-Mann Mogull: Er moniert, dass Oracle "nur sehr begrenzte Informationen über Schwachstellen" preisgibt. Das erschwere es Anwendern, das Risiko für ihr Unternehmen einzuschätzen. Außerdem rügt der Analyst, dass "der Hersteller manchmal intern entdeckte Sicherheitslücken patcht, ohne irgendwelche Angaben dazu zu machen".

Anwender sind Leidtragende

Trotz dieses Missstandes zeigt Doag-Mann Hildebrandt Verständnis für den Anbieter: "Oracle muss natürlich eine Gratwanderung vollziehen: Wenn zu viele Informationen zu den Patches bereitgestellt werden, dann besteht die Gefahr, dass jemand eine Schwachstelle gezielt ausnutzt". Leider habe das im Umkehrschluss zur Folge, dass Anwender nicht alle Informationen erhalten, die sie brauchen würden um entscheiden zu können, ob sie ein Patch betrifft oder nicht.

Die Folge: Viele Unternehmen verzichten darauf, die Patches einzuspielen. Für diese Verweigerung gibt es aber noch weitere Gründe: Hildebrandt moniert, dass Anwender derzeit zwei unterschiedliche Tools einsetzen müssen, um Updates zu installieren. Aus Sicht des Fachmanns wäre es wünschenswert, wenn Oracle anstelle von "Oracle Universal Installer" (OUI) und "Opatch" ein einheitliches Tool für Installationen und Patches benutzen würde. OUI ist für das Installieren der Software und der Haupt-Patches gedacht, während Bugfixes mit Opatch einzuspielen sind. Verkompliziert wird dies dadurch, dass Oracle Opatch ständig verändert, Anwender also immer darauf achten müssen, welche Version für das Einspielen eines Patches gerade benötigt wird.

Ein weiteres Hindernis liegt in der Qualität der von Oracle entwickelten Patches, die mitunter sehr zu wünschen übrig lässt. Eigentlich sollten die Patches kumulativ sein, so dass Unternehmen auch schon mal ein Update auslassen können. Leider schleichen sich in die Updates aber immer wieder Fehler ein, so dass sich Anwender nicht hundertprozentig darauf verlassen können, ob ein Patch funktioniert und tatsächlich alle Schwachstellen wie erwartet beseitigt. Auch Gartner kritisiert, dass Updates immer wieder Probleme bei der Installation verursachen und die Stabilität von Systemen gefährden.

Ein Patch für einen Patch

Ein Paradebeispiel für die mangelnde Patch-Qualität war das CPU im Juli vergangenen Jahres, das mehrfach überarbeitet werden musste. Hin und wieder waren ganz banale Dinge hierfür ausschlaggebend, wie Kunden im Online-Support-Angebot "Meta Link" von Oracle leicht nachlesen können: Mal fehlte eine bestimmte Datei, dann ließ sich ausgerechnet eine "Readme"-Datei nicht lesen.

"Katastrophal" lautet das Urteil des Security-Spezialisten Kornbrust hierzu. Seinen Erklärungen zufolge wird die Situation für Anwender noch zusätzlich verkompliziert, weil die Patches keine Versionsnummern haben. Um festzustellen, welche Variante eines Patches installiert wurde, müsse man das Datum wissen, an dem das Update heruntergeladen wurde. Trotzdem glaubt der Experte, eine "allmähliche Verbesserung der Qualität der Oracle-Patches" zu erkennen.

Auch David Litchfield, Geschäftsführer der britischen Firma Next Generation Security Software, räumt "große Verbesserungen in Oracles Prozessen zur Reaktion auf Sicherheitsprobleme" ein. Bislang sei jedoch jedes kritische Update fehlerhaft gewesen und habe mehrmals überarbeitet werden müssen. Anwender, die ein Patch-Paket sofort installieren, müssten damit rechnen, diesen Prozess bis zum Erscheinen des nächsten größeren Updates zu wiederhoDer Experte weiß, wovon er spricht. Ähnlich wie Kornbrust gehört er zu denjenigen, die Oracle immer wieder informieren, wenn sie Schwachstellen entdecken. Der Hersteller ist jedoch nur bedingt dankbar für die kostenlosen Dienste der Sicherheitsspezialisten, die er mit gemischten Gefühlen sieht. Mary Ann Davidson, Oracles Chief Security Officer, bezeichnete sie in einem Interview im vergangenen Jahr sogar als "Plage". Es sei "sehr weit verbreitet, dass mit Insider-Informationen über Schwachstellen und entsprechenden Exploits gehandelt" werde. Das erhöhe das Risiko für die Anwender. Kornbrust hingegen rät dem Hersteller, ein besseres Verhältnis zu den Security-Researchern zu etablieren und diese nicht als Feinde anzusehen.

Genau das passierte Litchfield unlängst, als er einen Workaround im Internet veröffentlichte, nachdem Oracle ein von dem Security-Spezialisten entdecktes Problem im "Application Server" nicht mit dem Januar-Patch beseitigt hatte.

Oracle reagierte verschnupft: Sicherheitsdirektor Harris warnte Kunden davor, den Workaround zu verwenden. Dieser sei "inadäquat" und störe mehrere Applikationen der E-Business-Suite. Die Schwachstelle sei "extrem schwer zu beseitigen" und erfordere gründliche Tests. Da noch kein einschlägiger Exploit-Code aufgetaucht sei, gebe es keine Notwendigkeit, vorschnell zu reagieren. Sollte später Gefahr im Verzug sein, werde man auch außerhalb des vierteljährlichen Rhythmus einen Notfall-Patch herausgeben. Litchfields Aktion sei kontraproduktiv, so der Oracle-Manager: "Damit verschafft er jedem bösartigen Hacker eine großartige Ausgangsposition, um die Schwachstelle zu untersuchen und einen Exploit zu entwickeln."

Vielleicht hätte sich dieser Konflikt vermeiden lassen, wenn Oracle etwas konstruktiver mit Kritik umgehen und Patches zügiger entwickeln würde. Wie Kornbrust erzählt, bestätigt das Unternehmen zwar den Eingang einer Mail, wenn er auf eine Sicherheitslücke hinweist. Danach gebe es jedoch keine weitere Rückmeldung. Das liegt aus Sicht des Spezialisten daran, dass sich Oracle um so viele Sicherheitsprobleme kümmern muss: "Ich habe derzeit etwa 40 bis 50 Fehler offen, aber Oracle war bislang nicht in der Lage, regelmäßig eine Rückmeldung über den momentanen Stand zu geben." Erst im vergangenen Dezember habe das Unternehmen diese Praxis geändert.

Dennoch braucht es mitunter sehr lange, bis Fehler beseitigt werden. Oracle-Mann Harris räumte unlängst selbst ein, dass es in einem Fall über 800 Tage gedauert habe, einen Bug zu beseitigen. "Darauf sind wir nicht stolz", gab er zu. Das Januar-Update habe aber auch einen Fix für eine Sicherheitslücke enthalten, die im November 2005 gemeldet worden sei. Dies belege, dass Updates nach der Gefährlichkeit der jeweiligen Schwachstelle entwickelt werden. "Wir bemühen uns sehr, dass Berichte über zwei Jahre alte Schwachstellen der Vergangenheit angehören", gelobt der Manager Besserung.

Test-Stress kostet Zeit

Managerin Davidson verweist darauf, wie aufwändig das Entwickeln von Patches für Oracle ist: "Selbst wenn es sich bei einer Änderung nur um zwei Zeilen Code handelt, müssen wir überprüfen, welche Produktversionen von dieser Änderung betroffen sind, ob es Betriebssystem-spezifisch ist und ob es ähnlichen Code gibt, der die gleiche Schwachstelle haben könnte." In einem Fall seien wegen einer einzigen Schwachstelle 78 Patches erforderlich gewesen.

Trotz aller Kritik befindet sich der Hersteller aus Sicht von Berater Kornbrust jedoch inzwischen "auf dem Weg der Besserung": Oracle habe bereits einiges getan, um die vielen Sicherheitslücken zu schließen, die das Unternehmen derzeit noch behinderten. Oracle selbst betont, man suche "kontinuierlich nach innovativen Wegen, um Sicherheitsfehler bei der Softwareentwicklung zu entdecken und diese noch vor der Auslieferung zu beseitigen."

Auf dem Weg der Besserung?

Dazu gehören Code-Reviews, mit denen verbreitete Sicherheitslücken entdeckt werden sollen. Der Anbieter setzt zudem auf automatisierte Analysen mit Hilfe von Tools wie "Source Code Analysis" von Fortify Software. Damit will das Unternehmen die Qualität seines immerhin über 30 Millionen Codezeilen umfassenden Software-Stacks überarbeiten.

Doag-Mann Hildebrandt empfiehlt Anwendern in der Zwischenzeit, nicht nur darauf zu schauen, wie sicher ihre Oracle-Produkte sind, sondern das gesamte Umfeld zu prüfen. Unter Umständen sei es möglich, Gefahren durch vorgeschaltete Sicherheitsmaßnahmen abzuwenden. So könnte es beispielsweise helfen, eine Application-Firewall zu installieren oder das entsprechende System so abzuschotten, dass außer den berechtigten Personen niemand darauf zugreifen kann.