100134

Datenbank-Sicherheit: Microsoft deklassiert Oracle

29.11.2006 | 11:32 Uhr |

Microsoft gilt nicht gerade als Vorbild in Sachen Sicherheit. Doch jetzt konnte eine Produktreihe des Redmonder Software-Konzerns einen renommierten Rivalen geradezu deklassieren: Microsofts SQL-Server soll nämlich deutlich sicherer als die Oracle-Datenbank sein. Das sagt zumindest die Untersuchung eines britischen Sicherheitsunternehmens.

Microsofts SQL-Server ist deutlich sicherer als die Oracle-Datenbank. Zu diesem Schluss kommt das britische Sicherheitsunternehmen NGS-Software (NGSS). NGSS untersuchte dafür die Anzahl der bekannt gewordenen Sicherheitslücken in Oracle 8, 9 und 10 sowie in Microsoft SQL Server 7, 2000 und 2005.

Zunächst einmal verglich NGSS die Zahl der insgesamt entdeckten Schwachstellen in beiden Datenbanksystemen für den Zeitraum Dezember 2000 bis November 2006 (alle diese Lücken sind mittlerweile geschlossen).

Außerdem erfasste NGSS noch einmal separat Sicherheitslücken, die von externen Sicherheitsexperten in Oracle 10g Release 2 und im Microsoft SQL Server 2005 (also in den aktuellen Produkten) entdeckt wurden. Beeindruckend: Für das Microsoft-Produkt wurden für 2006 keine Schwachstellen gemeldet. Anders dagegen beim Oracle-Flaggschiff, das sogar zahlreiche Schwächen zeigte.

NGSS betont in seiner Interpretation, dass externe Experten durchaus auch den SQL-2005-Server genau unter die Lupe nehmen würden. Aber eben nichts finden würden. NGSSs Fazit: Der Code des SQL Server ist einfach sicherer als der Oracle-Code. Und NGSS geht mit seiner Kritik an Oracle sogar noch weiter: Das Unternehmen würde schlicht nichts aus seinen Fehlern lernen und nicht kapieren, wie man Fehler grundlegend beseitigt. Im Gegensatz dazu würde Microsoft durchaus dazu lernen und immer besser beim Schließen von Schwachstellen werden.

So beeindruckend der Erfolg von Microsofts SQL-Server auch ist, die Vorgehensweise von NGSS ist nicht über jeden Zweifel erhaben: Die Studie berücksichtigt nämlich nicht die Schwere der einzelnen Lücken. Sie basiert also ausschließlich auf einem quantitativen Vergleich, aber nicht auf einer qualitativen Analyse der einzelnen Schwachstellen.

0 Kommentare zu diesem Artikel
100134