MÜNCHEN (COMPUTERWOCHE) - "Das war der Gipfel", schimpfte Sicherheitsexperte David Litchfield über den vierteljährlichen Security-Patch, den Oracle Mitte Oktober an seine Kunden ausgeliefert hatte. Der Datenbankspezialist stopfe Sicherheitslöcher zu spät, außerdem sei die Qualität der meisten Patches mangelhaft, so dass diese wiederum eigene Updates benötigten. "Ich war sehr enttäuscht", zog Litchfield Bilanz. Die Kunden müssten sich eigentlich beschweren. Oracle sollte seine Security-Philosophie schleunigst überdenken.

Auf der Kundenveranstaltung Open World in San Francisco hatte Oracle-Chef Lawrence Ellison noch vor wenigen Wochen US-amerikanischen Presseberichten zufolge vehement bestritten, die Software seines Unternehmens sei fehlerhaft. Zwar könnten vereinzelt Probleme auftreten, räumte er ein. Dies sei aber allein auf Anpassungen durch die Kunden zurückzuführen.

Davon sind Sicherheitsexperten jedoch nicht überzeugt. Litchfield berichtet, dass ein Oracle-Patch vom August 2004 Löcher stopfen sollte, die er bereits acht Monate zuvor an den Softwarehersteller gemeldet hatte. Zudem habe der Patch letzten Endes nicht richtig funktioniert. Oracle schenke dem Sicherheitsaspekt schon in der Entwicklung zu wenig Aufmerksamkeit, moniert Michael Galvin, Senior Analyst von Forrester Research. Wenn der Datenbankhersteller in Sachen Security ernst genommen werden möchte, müsse sich etwas ändern. Andere Hersteller wie beispielsweise Microsoft hätten zumindest einen Teil ihrer Hausaufgaben bereits erledigt - "Oracle jedoch bislang nicht."

Auch SAP hat nach den Worten von Vorstand Claus Heinrich Prozesse in der Softwareentwicklung eingezogen, um Softwarefehler möglichst frühzeitig zu erkennen und zu eliminieren (siehe auch: "Zu 100 Prozent fehlerfreie Software gibt es nicht"). Es sei für den Softwarehersteller wesentlich weniger aufwändig, einen Bug bereits am Anfang herauszufiltern, als diesen mühevoll bei den Kunden in laufenden Systemen zu beheben.

Während andere Hersteller auf die Sicherheitswünsche der Kunden eingingen, verstünden die Oracle-Verantwortlichen dies als unerwünschte Kritik an ihren Produkten, kritisiert Alexander Kornbrust, Spezialist für die Sicherheit bei Oracle-Produkten und Betreiber der Internetseite www.red-database-security.com. Allerdings sei auch die Arbeit der Lückensucher nicht ganz unproblematisch, meint Pete Lindstrom von Spire Security: "Ich frage mich oft nach den Motiven dieser selbst ernannten Sicherheitsexperten." Diese würden oft nur einen Sport daraus machen, Lücken aufzudecken. Im Endeffekt gerieten dann die Anwender in das Kreuzfeuer zwischen Hacker und Hersteller. Viele Attacken seien auf Bugs zurückzuführen, die zuvor von Security-Experten entdeckt und publiziert wurden. "Vielleicht sollten die guten Jungs aufhören, die Löcher für die bösen Jungs zu finden." (ba)