Rund zwei Drittel der Datenbankadministratoren (DBAs) spielen die Security-Patches, die Oracle vierteljährlich herausgibt, offenbar nicht ein – so kritisch die damit zu behebenden Schwachstellen auch sein mögen. Zu diesem Schluss kommt zumindest eine Studie des auf Datenbanksicherheit spezialisierten Softwareanbieters Sentrigo, der im Zeitraum zwischen August 2007 und Januar 2008 in den USA 305 Oracle-DBAs von 14 Oracle User Groups zu ihren diesbezüglichen Gepflogenheiten befragt hat.
Demnach gaben 206 (67,5 Prozent) der Befragten an, noch nie ein Critical Patch Update (CPU) von Oracle implementiert zu haben. Nur 31 der Teilnehmer (zehn Prozent) haben die letzte Patch-Sammlung des Datenbankanbieters installiert. Unterm Strich hat lediglich ein Drittel eigenen Angaben zufolge jemals ein Oracle-CPU eingespielt.
Im Grunde entsprächen die Studienergebnisse dem, was sein Unternehmen bereits seit einiger Zeit vernehme, meint Slavik Markovich, Chief Technology Officer (CTO) bei Sentrigo. "Manche DBAs wissen nicht einmal, wann (Oracles) CPUs veröffentlicht werden", so der CTO. Bisweilen würden sie sogar ignoriert, wenn ihnen die Sicherheitsabteilung auftrage, diese einzuspielen.
Für die tendenzielle Nachlässigkeit sieht Markovich mehrere Gründe – allen voran die Bedenken vor den Folgen, die sich aus der Installation eines Datenbank-Patches im laufenden Betrieb ergeben können. Daher gelte es, die zu installierenden Sicherheits-Patches gegen die Anwendungen zu testen, die sich der Datenbank bedienen. "Das ist ein langwieriger und schwieriger Prozess – besonders in Unternehmen mit einer Vielzahl von Datenbanken und Applikationen", so Markovich. Die damit verbundene monatelange Arbeit und die bisweilen beträchtlichen Auszeiten könnten sich die meisten Firmen nicht leisten.
Hinzu komme, dass einige Applikationsanbieter die Oracle-Patches nicht für das Zusammenspiel mit ihren Anwendungen zertifizierten. Ein Administrator schrecke daher möglicherweise davor zurück, ein Update etwa für eine Oracle-Datenbank einzuspielen, die von einer SAP-Anwendung genutzt wird - denn der Anbieter könnte sich aus diesem Grund weigern, eventuelle Störungen der Applikation zu beheben.
Ein weiteres Problem: Will ein Unternehmen die aktuellsten Oracle-Updates einspielen, muss es zunächst sicherstellen, dass dessen vorheriges Patch-Set installiert ist. Daher gerieten Organisationen, die die letzten Updates versäumt haben, mit jedem folgenden CPU weiter in Verzug, so Malkovich.
Die Untersuchungsergebnisse seien ebenso "überraschend wie erschreckend", kommentiert Mike Rothman, President der Beratungsfirma Security Incite, die Studie. Diese Versäumnisse könnten ernste Konsequenzen nach sich ziehen. Wichtiger als die verblüffend hohen Zahlen der Sentrigo-Umfrage ist nach Meinung des Consultants allerdings die Tatsache, dass offenbar nach wie vor viele DBAs – anders als für Betriebssysteme und Applikationen verantwortliche Mitarbeiter – hinterherhinken, was das Einspielen erforderlicher Security-Fixes betrifft. DBAs müssten Wartungszeiten einplanen und Change-Controll-Prozesse einführen, um Störungen durch Patching zu reduzieren. (kf)