Studie: Oracle verliert Sicherheitsvergleich gegen Microsoft

28.11.2006
Einer aktuellen Untersuchung zufolge sind Oracles RDBM-Produkte (Relational Database Management) verwundbarer als Microsofts SQL Server.

Microsoft mag zwar am heftigsten für Sicherheitsprobleme kritisiert werden, ist aber nicht immer der Softwareanbieter mit dem schlechtesten Ergebnis: Laut einer Vergleichsstudie des britischen Sicherheitsunternehmens Next Generation Security Software (NGSS) weisen Oracles Datenbankprodukte weit mehr Sicherheitslücken auf als Microsofts SQL Server. Demnach haben externe Forscher im Zeitraum von Dezember 2000 bis November dieses Jahres 233 Schwachstellen in Oracle-Produkten entdeckt, während sich in der Microsoft-Datenbank lediglich 59 Lecks fanden. Berücksichtigt wurden im Rahmen der Untersuchung gemeldete und behobene Sicherheitslöcher in SQL Server 7, 2000 und 2005 sowie in den Versionen 8, 9 und 10g der Oracle-Datenbank.

Für NGSS-Gründer David Litchfield deuten die Studienergebnisse darauf hin, dass sowohl der schlechte Ruf, der Microsofts SQL Server seit 2002 in Sachen Sicherheit anhängt, als auch die generelle Security-Kritik an dem Softwarekonzern nicht mehr berechtigt seien. Speziell für Security-Forscher sei es an der Zeit, dies als Vergangenheit zu betrachten. "Unsere primäre Aufgabe ist es, die Behebung von Sicherheitslöchern voranzutreiben und die Einstellung der Anbieter bezüglich Security zu verbessern", so Litchfield. Die Ergebnisse des Vergleichs sprächen dafür, dass die Schlacht im Fall von Microsoft mehr oder weniger gewonnen sei und die Softwareentwicklungs-Lifecycle-Prozesse des Konzerns offenbar greifen. Es blieben andere Schlachten, die es zu kämpfen und zu gewinnen gelte - beispielsweise Oracle, so der Security-Experte.

Der Datenbankanbieter hat mittlerweile Stellung zu den wenig schmeichelhaften Untersuchungsergebnissen genommen: Die Zahl der Schwachstellen eines Produkts allein sei kein Maßstab für die grundsätzliche Sicherheit einer Software, hieß es in einem E-Mail-Statement von Oracle. So würden Produkte in Sachen Funktionsumfang und Anzahl der Versionen sowie unterstützten Plattformen erheblich variieren. Zudem sei das Messen von Sicherheit ein äußerst komplexer Vorgang, der die Berücksichtigung vieler Faktoren erfordere. Dazu zählten unter anderem Einsatzszenarien, Standardeinstellungen und die Behebung von Schwachstellen sowie Policies und Praktiken im Hinblick auf deren Bekanntgabe.

Auch Pete Lindström, Analyst bei der Burton Group erachtet die Bewertung der Sicherheit eines Produkts nur anhand der Anzahl entdeckter und behobener Schwachstellen nicht als den besten Ansatz. "Oracle hat hier offenbar einen unschönen Wettbewerb gewonnen", so Lindström. Die Messung von Softwaresicherheit erfordere aber darüber hinausgehende Kriterien.

Sicherheitsforscher zeigen sich zunehmend irritiert über die in ihren Augen "eiszeitliche" Geschwindigkeit, mit der Oracle Software-Bugs behebt, und nehmen die Produkte des Datenbankanbieters mittlerweile entsprechend stärker ins Visier. Im Oktober gab Oracle im Rahmen seiner vierteljährlichen Security-Updates Patches für rund 100 Schwachstellen heraus - viele der Lücken wurden dem Unternehmen von externen Forschern gemeldet.

So hatte etwa das auf Application-Security spezialisierte Beratungsunternehmen Argeniss Information Security angekündigt, im Dezember für den Zeitraum von einer Woche täglich eine Zero-Day-Lücke in Oracle-Produkten zu veröffentlichen. Ziel der Aktion sei, zu demonstrieren, in welchem Sicherheitszustand sich die Datenbanksoftware derzeit befinde, erklärte Cesar Cerrudo, Gründer der in Buenos Aires ansässigen Company, auf der firmeneigenen Web-Seite. Mittlerweile heißt es dort allerdings, das Projekt werde aufgrund "vieler" (nicht näher spezifizierter) Probleme auf unbestimmte Zeit verschoben. (kf)