Studie: Microsoft sicherer als Oracle
Zwei Studien kommen zu dem Schluß, dass Microsofts SQL Server erheblich weniger Lücken aufweisen als Oracle-Datenbanken.
- Daniel Bachfeld
Der anerkannte Spezialist für Datenbanksicherheit David Litchfield von NGSSoftware kommt in einer Analyse zu dem Schluss, dass Microsofts SQL Server erheblich weniger Lücken aufweisen beziehungsweise aufgewiesen haben als Oracle-Datenbanken. Litchfield zählte dazu die zwischen Dezember 2000 und November 2006 bekannt gewordenen und in offiziellen CVE-Einträgen (Common Vulnerabilities and Exposures) manifestierten Fehler.
Im SQL Server 7, 2000 und 2005 wurden 59 Fehler entdeckt und gestopft während Oracle 233 Patches für Lücken in seinen Datenbank-Versionen 8, 9 und 10g herausgab. Zudem hat Litchfield 49 weitere Schwachstellen an Oracle gemeldet, die aber noch nicht veröffentlicht sind und daher noch nicht in die Wertung eingehen. Nach Litchfields Meinung sei SQL Server 2005 derzeit der sicherste Server; bislang gebe es keine einzige bekannte Lücke. Allerdings sei auch die Open-Source-Datenbank PostgreSQL sehr sicher. Oracle habe den Nimbus des "Unbreakable" längst verloren.
Gegenüber US-Medien behauptete Litchfield sogar, er benötige nur fünf Minuten, um in Oracle 10g einen neuen Bug zu finden. Dies gelinge ihm etwa beim MS SQL Server 2005 nicht. Unter anderem sei Microsofts Software Development Lifecycle (SDL) der Grund für die hohe Qualität. Unter anderem wird dazu bereits in der Designphase ein Bedrohungsmodell entwickelt; eine statische Codeanalyse soll Fehler während der Implementierung vermeiden. Zusätzlich haben die Redmonder Code-Audits und Sicherheitstests eingeführt. Nach Angaben von Microsoft ist die Zahl der von außen stehenden Sicherheitspezialisten in SDL-basierender Software gefundenen Sicherheitslücken signifikant geringer als in Software, die nicht nach SDL entwickelt wurde.
Zu dem gleichen Ergebnis wie Litchfield kommen auch die Analysten der Enterprise Strategy Group: Microsofts SQL Server führen bei der Sicherheit. Dafür machen die Autoren in ihrer Untersuchungen den SDL aus: Secure By Design, Secure by Default und Secure by Deploymment. Auch der SQL Server 2005 wurde komplett im Rahmen des SDL entwickelt.
Allerdings kritisieren andere Sicherheitsspezialisten, dass Litchfield mit NGSSoftware am Software Development Lifecycle von Vista beteiligt war. Dabei sei nicht auszuschließen, dass auch Lücken in SQL-Server-Software gefunden und geschlossen wurden, ohne dass es eine öffentliche Fehlermeldung dazu gegeben habe.
Siehe dazu auch:
- Which Database is more secure? Oracle vs- Microsoft, Analyse von Litchfield
- Microsoft SQL Server Runs the Security Table, Analyse von ESG
(dab)
