Oracles PR-Gau: Interview mit dem „Unruhestifter“

ZDNet: Warum glauben Sie, wurden die Patches verschoben?

Litchfield: Der Grund, warum sie diese Patches nicht zur Verfügung gestellt haben, ist, dass sie ihren Auslieferungsprozess aktualisieren. Natürlich ist es gut, dass sie den Patchprozess vereinfachen wollen, man muss jedoch den alten solange aufrechterhalten, bis der neue bereit ist. Ich habe kein Problem mit einem Unternehmen, das zehn Monate oder ein Jahr für einen Patch benötigt, vorausgesetzt sie bemühen sich nach Kräften, einen stabilen Patch zu machen. Ich bin aber gegen Leute, die fertige Patches für einige Monate in der Hinterhand halten. Oracle könnte hier einiges von Microsoft lernen.

ZDNet: Verdienen diese Probleme die Aufmerksamkeit, die ihnen zukommt?

Litchfield: Ich habe das ganze als Sturm im Wasserglas bezeichnet, da jede Software Lücken hat. Wenn man allerdings sagt, sein Produkt wäre „unbreakable“, ist es das möglicherweise eben doch nicht. Produkte als „unbreakable“ zu vermarkten, ist fehlerhaft. Patches nicht auszuliefern – tja, ich kann dabei keinen Vorteil für Oracle-Kunden erkennen. Oracle hat nicht versucht, mich zu kontaktieren, aber man kann annehmen, dass es für sie einige Schwierigkeiten verursacht hat. Aber wenn ihre Kunden früher geschützt werden als es anderweitig der Fall gewesen wäre, ist es das wert. Wenn Leute mich als Unruhestifter bezeichnen wollen, ist es eben so, aber ich glaube, ich habe verantwortungsbewusst gehandelt. Ich habe sie geschützt, als sie eigentlich zugesagte Patches nicht veröffentlicht haben. Ich habe Oracle etwas Ärger gemacht, da sie die Patches früher als geplant veröffentlichen mussten.

ZDNet: Was sollen IT-Verantwortliche in dieser Sache unternehmen?

Litchfield: Es ist wichtig, dass die Leute dies ruhig angehen, sie müssen eine angemessene Sicherheitsüberprüfung durchführen und darüber nachdenken, wie sie ihre Server nach dem Prinzip der geringstmöglichen Rechtevergabe konfigurieren. Wenn ein User eine Funktion also nicht benötigt, braucht man ihm auch keinen Zugriff darauf geben. Dieses Prinzip wird viele dieser Probleme abmildern. Installieren sie diese Patches auf Testsystemen, stellen Sie den reibungslosen Betrieb sicher und aktualisieren Sie dann ihre Systeme. Die Leute sollten die Patches schnell aufspielen.