Menü
Security

Oracles CSO genervt von Patch-Mentalität

vorlesen Drucken Kommentare lesen 734 Beiträge

"Patch! Ahaaaa, it'll save everyone of us", hätte die Zeile in einem Hit der Rockgruppe Queen heißen können, wenn er sich nicht auf einen eher erfolglosen Science-Fiction-Film, sondern auf ein Software-Programm bezogen hätte. Nutzer von Windows XP und vielen weiteren Software-Produkten kennen das Problem, regelmäßig Sicherheitslücken durch ein Korrekturprogramm stopfen zu müssen.

Oracles Chief Security Officer (CSO) Mary Ann Davidson platzte auf der W3C-Konferenz in Edinburgh der Kragen angesichts einer Software-Industrie, die von unausgereiften Produkten komplett durchsetzt sei. "Sie würden sich nicht in ein Flugzeug setzen, das von Software-Entwicklern gebaut ist", zog die Sicherheitsbeauftrage vom Leder. Software-Ingenieure stellten sich nicht darauf ein, fehlerfreie, sichere und verlässliche Produkte auszuliefern: "Würden Bauingenieure Brücken konstruieren wie Entwickler Code schreiben, begegnete einem Autofahrer auf dem morgendlichen Weg zur Arbeit die 'Blue Bridge of Death'."

Davidson scheint sich diesem Trend entgegenstellen zu wollen. Ihre Antwort auf eine Marketing-Kampagne, welche Oracles Datenbankprodukte als "unbreakable" bezeichnet habe, sei gewesen: "Welcher Idiot hat sich das denn zusammengeträumt?" Angesichts immer versierterer Hacker sei es naiv zu glauben, diese würden vorhandene Sicherheitslücken nicht ausnutzen. Das US-amerikanische National Institute of Standards and Technology schätze den jährlich durch Software-verursachte Sicherheitsprobleme entstandenen Schaden auf 20 bis 60 Milliarden US-Dollar. Die Kosten auf Grund von fehlerhaftem Quelltext entstünden sowohl bei den Herstellern wie auch bei den Kunden. Ein 200 Seiten langer Coding-Standard sowie ein internes Hackerteam würden im Hause Oracle daher die Qualität der Produkte sichern.

Auch andere Führungskräfte beschwerten sich laut Davidson über unausgereifte Produkte. Eine von der Sicherheitschefin informell durchgeführte Umfrage im CSO Council habe ergeben, dass viele Angehörige des Security Think Tanks die Software-Industrie gerne reguliert sehen würden. Die Hersteller seien nun gefordert, damit es dazu nicht komme. (akr)