Sicherheitsexperten stellen Oracle an den Pranger

"Das war der Gipfel", schimpfte Sicherheitsexperte David Litchfield über den vierteljährlichen Security-Patch, den Oracle Mitte Oktober an seine Kunden ausgeliefert hatte. Der Datenbankspezialist stopfe Sicherheitslöcher zu spät, außerdem sei die Qualität der meisten Patches mangelhaft, so dass diese wiederum eigene Updates benötigten.

Auf der Kundenveranstaltung Open World in San Francisco hatte Oracle-Chef Lawrence Ellison noch vor wenigen Wochen US-amerikanischen Presseberichten zufolge vehement bestritten, die Software seines Unternehmens sei fehlerhaft. Zwar könnten vereinzelt Probleme auftreten, räumte er ein. Dies sei aber allein auf Anpassungen durch die Kunden zurückzuführen.

Davon sind die Sicherheitsexperten jedoch nicht überzeugt. Litchfield berichtet, dass ein Oracle-Patch vom August 2004 Löcher stopfen sollte, die er bereits acht Monate zuvor an den Software-Hersteller gemeldet hatte. Zudem habe der Patch letzten Endes nicht richtig funktioniert. Oracle schenke dem Sicherheitsaspekt schon in der Entwicklung zu wenig Aufmerksamkeit, moniert Michael Galvin, Senior Analyst von Forrester Research. Wenn der Datenbankhersteller in Sachen Security ernst genommen werden möchte, müsse sich etwas ändern. Andere Hersteller wie beispielsweise Microsoft hätten zumindest einen Teil ihrer Hausaufgaben bereits erledigt - "Oracle jedoch bislang nicht."