SQL-Server angeblich sicherer als Oracle-Datenbanken

Das Ergebnis beruht auf einer Analyse sämtlicher bekannter Fehler beider Systeme, die zwischen Dezember 2000 und November 2006 aufgetreten sind. Demnach wurden in diesem Zeitraum in Oracles Datenbank-Produkten 233 Schwachstellen entdeckt – in Microsofts SQL Server waren es 59.

Konkret wurde für die Untersuchung der SQL Server in den Versionen 7, 2000 und 2005 unter die Lupe genommen – auf Oracles Seite waren es die Datenbankversionen 8, 9 und 10g. Nach den Worten von NGSS-Gründer David Litchfield sei der SQL Server 2005 der derzeit sicherste Server; bislang gebe es keine einzige bekannte Lücke.

Das Ergebnis zeige, dass der schlechte Ruf der SQL Server in Sachen Sicherheit nicht gerechtfertigt sei, so Litchfield. “Ich denke, es ist Zeit, mit diesem Vorurteil aufzuräumen, das gilt besonders für Sicherheitsforscher.” Microsofts Lifecycle-Prozess bei der Softwareentwicklung funktioniere offensichtlich. “Es gibt Schlachten, die geschlagen und gewonnen werden müssen – Oracle ist eine davon.”

Eine Oracle-Sprecherin argumentierte jedoch, dass die Zahl der Schwachstellen nicht die einzige Messlatte für die Gesamtsicherheit eines Produkts sei. “Die Sicherheit eines Produkts zu messen ist ein sehr komplexer Prozess und die Anwender müssen eine Reihe von Faktoren in Betracht ziehen – darunter Einsatzszenarien, voreingestellte Konfigurationen und die Behebung von Schwachstellen.”

Auch andere kritische Stimmen behaupten, dass die Ergebnisse von NGSS etwas geschönt dargestellt sein könnten. Hauptargument der Zweifler ist die Tatsache, dass David Litchfield an der Entwicklung der Vista-Software beteiligt war. Deshalb könne nicht ausgeschlossen werden, dass auch weitere Lücken in der SQL-Software entdeckt und geschlossen wurden, ohne dass diese speziell veröffentlicht wurden.