Umfrage: Elf Prozent der Oracle-Admins installieren keine Updates

Elf Prozent der Oracle-Datenbankadministratoren haben noch nie die im Rahmen des Critical Patch Update (CPU) von Oracle verteilten Sicherheitsfixes auf ihren Systemen installiert. Das ist das Ergebnis einer Umfrage der Independent Oracle User Group (IOUG) unter 150 Unternehmen. Immerhin 30 Prozent installieren laut der Umfrage die Patches, noch bevor das nächste CPU erscheint. 25 Prozent gaben an, ein CPU (üblicherweise drei Monate) hinterherzuhinken. Bei zehn Prozent waren bereits zwei CPUs vergangen. 16 Prozent hatten bereits mindestens drei CPUs versäumt.

Ein Grund für den Schlendrian soll das Fehlen von Vorgaben zum Umgang mit Updates für Oracle-Datenbanken in Unternehmen und die Angst vor einem Ausfall nach dem Einspielen der Patches sein. Oftmals gäbe es nur Richtlinien zur Installation von Microsoft-Updates. Nur bei kritischen Systemen würde es mitunter Vorgaben zur schnellen Installation von Updates geben.

Laut der IOUG sehen einige Administratoren auch keinen Anlass, ihr Patchverhalten zu ändern. 16 Prozent gaben an, ihr Verhalten erst nach einem Malware-Angriff auf Oracle-Datenbanken überdenken zu wollen. Die Gruppe, die noch nie Patches installiert hatte, sah laut Umfrage gar keinen Anlass dafür, etwas zu ändern.

Bereits Anfang des Jahres 2008 stellte der Dienstleister für Datenbanksicherheit Sentrigo in einer Umfrage fest, dass zwei Drittel der befragten Datenbankadministratoren, Entwickler und Consultants noch nie einen CPU installiert hatte. Nur zehn Prozent hatten damals angegeben, die jeweils aktuellen Patches von Oracle eingespielt zu haben.

Siehe dazu auch:

• Sicherheits-Update von Oracle – für die Katz?, Bericht von heise Security

(Daniel Bachfeld) / (dab)