Sicherheitsvergleich von Datenbanken: Microsoft oder Oracle?

Als vor einigen Jahren “Slammer” die ersten Microsoft-Kunden erreichte erwischte das Virus viele Anwender – und Microsoft – sozusagen mit “heruntergelassenen Hosen”. Hoffentlich haben die Sicherheitsverantwortlichen in den Anwendungsunternehmen etwas daraus gelernt und Ihre Prozesse unter Sicherheitsaspekten optimiert.

Was Microsoft aus den Virenangriffen der letzten Jahren gelernt hat lässt sich an der Verbesserung der Schutzmöglichkeiten in den verschiedenen Produkte ablesen (wenn man sich denn ernsthaft damit auseinandersetzt und sie auch anwendet). Jüngstes Beispiel sind die gerade vorgestellten Schutzmassnahmen des Betriebssystemns Microsoft Vista.

Nur selten beschäftigt sich jedoch ein neutraler Beobachter so tief mit den technischen Bedingungen, wie das jüngst David Litchfield getan hat. Sein White Paper (Which database is more secure? Oracle vs. Microsoft) war die Folge einer vor einigen Monaten erschienenen, und heftig kritisierten Bedrohungsanalyse der Berater von EMG (Microsoft SQL Server Runs the Security Table), die zum gleichen Schluß gekommen waren. Zwei interessante Aussagen aus dem Weißbuch von Mr. Litchfield beleuchten schlaglichtartig den Kern des Problems:

  • “Do Oracle’s results look so bad because it runs on multiple platforms?
    No – pretty much most of the issues are cross-platform. In the 10gR2 graph every flaw affects every platform.”
  • “Do the SQL Server 2005 results have no flaws because no-one is looking at it?
    No – I know of a number of good researchers are looking at it – SQL Server code is just more secure than Oracle code.”

Die ersten Veröffentlichungen und Kommentare zu seinem gestern veröffentlichten White Paper erscheinen jetzt nach und nach in der Fachpresse, beispielsweise bei vnunet unter dem Titel “Microsoft beats Oracle in security showdown“. Im Gespräch mit den Journalisten äusserte Litchfield:

It will take me five minutes to find a new bug in the Oracle 10g database, but I cannot do that with SQL Server 2005.

Natürlich soll teich keine Steine aus dem Glashaus werden. Aber vielleicht hat Microsoft im Zuge seiner beiden sicherheitsrelevanten Initiativen (Trustworthy Computing Initiative, Dynamic Systems Initiative) doch besser als Larry gelernt wie man sicherere Software entwickelt.

Als Betreiber unternehmenskritischer Anwendungen hätte ich jedenfalls Bauchschmerzen, wenn die Datenbanken in meinem Rechenzentrum fast fünfzig Zero-Day-Exploits aufweisen würden – ohne Aussicht auf Besserung?!.

About Thomas Dreller

Live is too short for unhealthy food, sour wine, stressful relationships, or unprofitable business. Bio on http://www.linkedin.com/in/tdreller
This entry was posted in Microsoft Products, Microsoft SQL Server. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s