Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Experten bemängeln Sicherheitslöcher in Oracles Datenbank-Software

IT-Sicherheit: Oracle

Experten bemängeln Sicherheitslöcher in Oracles Datenbank-Software

12. September 2007, 11:19 Uhr | Bernd Reder

Fachleute der IT-Sicherheitsfirma Argeniss wollen mit drastischen Mitteln Oracle dazu bewegen, Sicherheitslöcher in ihrer Datenbank-Software zu stopfen.

Argeniss kündigte an, in einer Woche im Dezember an jedem Tag eine »Zero-Day«-Schwachstelle in Oracle-Produkten publik zu machen. Die Aktion soll unter dem Namen »Week of Oracle Database Bugs« (WoODB) laufen.

Nach Angaben von Argeniss weisen auch Datenbanken anderer Hersteller Schwachstellen auf, allerdings bei weitem nicht so viele wie die von Oracle. Die Zahl der Sicherheitslöcher in den Produkten dieser Firma reiche aus, um ein ganzes Jahr lang eine WoODB-Aktion durchzuführen.

Bei anderen IT-Sicherheitsfirmen stieß die Ankündigung von Argeniss auf Kritik. David Litchfield, Geschäftsführer von Next Generation Security Software in Großbritannien, bemängelt: »Ich halte vom diesen Vorgehen nichts, weil es die Anwender von Oracle einem erhöhten Risiko aussetzt.«

Aktion von Argeniss auf Kosten der Anwender

Auch Alexander Kornbrust, Gründer und Chef von Red Database Security in Neunkirchen, kritisierte, dass durch das Veröffentlichen von Schwachstellen der Druck auf IT-Manager wachse, diese umgehend zu beseitigen. Das erfordere viel einen hohen Aufwand und erhöhe den Druck auf die Anwender.

Außerdem, so Kornbrust, habe Oracle in den vergangnen Monaten einiges unternommen, um die Sicherheit seiner Produkte zu verbessern.

David Litchfield empfiehlt Oracle, ein ähnliches Programm wie Microsofts »Secure Development Lifecycle«(SDL) für den SQL-Server aufzulegen. Damit gelang es Microsoft nach Angaben des Sicherheitsexperten, vergleichbare Probleme beim SQL-Server in den Griff zu bekommen.

Der Chef von Next Generation Security Software geht allerdings davon aus, dass sich ein SDL-Programm bei Oracle nur dann durchziehen lässt, wenn neue Leute in das Security-Team des Herstellers aufgenommen werden. »Es ist ein dynamischeres Team notwendig, das mit IT-Sicherheit mehr verbindet als nur Vorgaben des Verteidigungsministeriums.«

www.oracle.de

www.argeniss.com

www.ngssoftware.com

www.red-database-security.de

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
NFON AG

NFON AG
Xelion GmbH

Xelion GmbH
HP Deutschland GmbH

HP Deutschland GmbH
WatchGuard Technologies

WatchGuard Technologies
Securepoint GmbH

Securepoint GmbH
Vertiv GmbH

Vertiv GmbH