Oracle-Anwender fordern einfache Patch-Verfahren

Über 60 Prozent fühlten sich vom Hersteller nicht ausreichend über die Sicherheitsrisiken und die Möglichkeiten zu deren Beseitigung informiert, teilte die DOAG mit.

Häufig sei unklar, ob ein Anwender umgehend reagieren muss oder ob überhaupt keine Aktion erforderlich ist, hieß es. Viele Oracle-Kunden vermissten zudem Auskünfte darüber, in welcher Form eine Betriebsumgebung von Fehlern oder Sicherheitslücken betroffen ist.

In vielen Unternehmen gebe es Probleme mit den vierteljährlichen ‘Critical Patch Updates’ (CPU). Deren Ausführung werde generell als aufwändig angesehen. Der Hersteller liefere wenig Informationen darüber, wofür bestimmte Patches notwendig sind und ob ein Anwender diese überhaupt benötigt.

Die Befragten forderten demnach einfachere Patch-Verfahren und mehr Transparenz. In diesem Zusammenhang steht auch der Wunsch nach mehr so genannten ‘Rolling Upgrades’ – bei denen die Verfügbarkeit des Systems während des Patchvorgangs gewährleistet ist.

Oracle zeigte sich für die Forderungen aufgeschlossen. Security habe für das Unternehmen die höchste Priorität, sagte Günther Stürner, Oracle Vice President Database and Salesconsulting, während eines DOAG-Roundtables in München.

Das Oracle-Produktset verfüge zwar über die meisten und innovativsten Security-Funktionen am Markt, die “Adaption der Funktionen ist jedoch nicht befriedigend”. Vielen Unternehmen sei Security schlicht zu teuer. Im Bereich von Anwendungsentwicklung – und Betrieb gebe es in Sachen Sicherheit viele Lippenbekenntnisse.

Oracle wolle künftig enger mit Sicherheitsspezialisten zusammenarbeiten, so Stürner. Das Patchverfahren solle optimiert werden. Laut Stürner könnte Oracle in Analogie zum Grid-Index auch einen Security-Index einführen – eine jährliche Umfrage unter Anwendern, die von einer externen Firma durchgeführt wird.

Security wird auch eines der Hauptthemen auf der 19. Deutschen Oracle-Anwenderkonferenz sein. Diese findet am 15. und 16. November 2006 in Mannheim statt.