Oracle ist keine Hochburg der Sicherheit mehr

Viele Oracle-Administratoren würden sich neben der bisher gewohnt starken Sicherheit der Oracle-Produkte auch auf die Tatsache verlassen, dass Oracle-Datenbanken und -Applikationen in der Regel „tief“ im Innern des Unternehmens sitzen. Dadurch vernachlässigen sie nach Ansicht von Gartner das regelmäßige Patchen ihrer Systeme. Zudem sei das Patching manchmal wegen der Bindung an ältere Softwareversionen, die von Oracle nicht mehr unterstützt werden, unmöglich. Diese Praktiken seien nicht länger akzeptabel, weil:

• entscheidende Oracle-Schwachstellen mit zunehmender Häufigkeit entdeckt und enthüllt werden beziehungsweise immer häufiger Exploit-Tools und „Proof-of-Concept“-Code im Internet auftauchen.
• Oracle nur in sehr begrenztem Umfang Informationen über Schwachstellen zur Verfügung stellt – weitaus seltener als in der Branche üblich – sodass es für Unternehmen schwierig ist, die Risiken einzuschätzen.
• die Qualität und Bedienerfreundlichkeit der Oracle-Patches (aufgrund bekannter Probleme bei Installation und Stabilität) nach wie vor einer Verbesserung erfordern.
• Oracle keine manuellen „Workarounds“ beschreibt, da sie sich in der Regel nicht auf alle Oracle-Produkte anwenden lassen. Diese Praxis erschwert es Oracle-Systemmanagern, informierte Risikoentscheidungen zu treffen.

Gartner sprach folgende Empfehlung für Anwenderunternehmen aus:

• 1. Gehen Sie unverzüglich dazu über, diese Systeme mit Hilfe von Firewalls, Intrusion-Prevention-Systemen und anderen Technologien so gut wie möglich abzuschirmen. Entwickeln Sie dafür einen Zeitplan, der mit den Zeitpunkten der regelmäßigen Patch-Veröffentlichungen von Oracle korrespondiert.
• 2. Wenden Sie verfügbare Patches so schnell wie möglich an, da unvollständige Informationen seitens Oracle notwendigerweise zu unvollständigem Schutz führen.
• 3. Setzen Sie alternative Sicherheits-Tools wie beispielsweise Activity-Monitoring-Technologien ein, um ungewöhnliche Aktivitäten aufzuspüren.
• 4. Drängen Sie Oracle zur Änderung der Sicherheitsmanagement-Praktiken.