Oracle-Patches werden oft nicht eingespielt

Dadurch bleiben viele Datenbanken ungeflickt und bieten Hackern ein ideales Ziel. In einer Online-Umfrage, welche die IOUG zusammen mit Oracle im vergangenen Jahr durchgeführt hat, meinten 26 Prozent der gut 150 Mitwirkenden, ihre Firmen verpflichteeten die IT-Abteilung die vierteljährlichen Patches von Oracle einzuspielen. Der grosse Rest dagegen kennt entweder keine Policy (30 Prozent), oder ist als Administrator selbst für das Einspielen verantwortlich und muss das Risiko selbst einschätzen (32 Prozent). Bei 6 Prozent ist geregelt, dass kritische Patches eingespielt werden müssen.

Entsprechend lausig sind die Oracle-Datenbanken gepatcht. Die meisten Befragten sind mit dem Patchen in Verzug. 30 Prozent spielen die Flicken jeweils ein, bevor Oracle frische Patches veröffentlicht, also bis zu drei Monate nach dem Publikwerden der Schwachstellen. 25 Prozent sind einen Patch-Zyklus im Rückstand, 26 Prozent haben zwischen zwei und vier Update-Zyklen ignoriert. Ganze elf Prozent gaben sogar an, noch nie einen Patch für ihre Oracle-Datenbanken installiert zu haben.

Oracle hat nun angekündigt, man wolle die eigenen Clientel sensibilisieren und für entsprechende Patch-Policies in den Firmen weibeln. Gleichzeitig verspricht der Datenbänkler, die Dokumentation der Patches zu vereinfachen, um so das Testen der Flicken zu vereinfachen und zu beschleunigen.