Seit Larry Ellison öffentlich über die neue „autonome Datenbank“ diskutierte, hat Oracle eine Sicherheitskampagne gestartet – so genannt, weil es sich ohne menschliches Zutun selbst managen kann, einschließlich des Patchens und Upgrades.

Die Hands-Off-Datenbank kann menschliche Arbeitskraft eliminieren, um sie gemäß Oracle zu optimieren und zu betreiben, wodurch die Zeit zwischen Verfügbarkeit und Implementierung erheblich verkürzt wird. Es reduziert auch Fehler, die von Datenbankadministratoren gemacht werden – Fehler der Unterlassung, die auftreten, wenn Menschen einen Patch nicht schnell genug anwenden können, um ein Eindringen zu verhindern.

Die Positionierung von Oracle spiegelt in hohem Maße die Zeit wider, in der wir leben. Schlechte Akteure trollen das Internet auf der Suche nach Schwachstellen, und Oracle ist mit seinem Service-Arm zumindest teilweise in der Lage, Kunden bei der Behebung von Sicherheitsverletzungen zu unterstützen. Das Unternehmen hat also ein finanzielles Interesse daran, sowohl die autonome Datenbank als auch die damit verbundenen Produkte für Sicherheit, Integration und Apps zu fördern und das Eindringen von vornherein zu verhindern.

All das spitzte sich in den letzten Jahren zu, als Oracle sich gegen Rimini Street wandte, einen Drittanbieter-Serviceanbieter für SAP, Oracle und kürzlich Salesforce-Systeme. Der Rechtsstreit ist endlich vorbei, und Rimini Street ist verloren und geht verloren. Es musste Oracle dafür bezahlen, dass es gegen Oracle-Urheberrechte verstoßen hatte, Materialien zu unterstützen.

Die Oracle-Kampagne scheint heute eher darauf ausgerichtet zu sein, Kunden wiederzugewinnen, die anderswo Support-Dienste in Anspruch genommen haben, um 50 Prozent der Supportkosten einzusparen. Oracle ist der Ansicht, dass Drittanbieter keinen Quellcode haben und daher keine Patches und Upgrades vornehmen können, so dass Benutzer von Drittanbieter-Support im Wesentlichen mit älteren Versionen von Software eingefroren werden. Ohne Updates sind ihre Schwachstellen im Laufe der Zeit ausgeprägter.

er Rimini Straßenkasten

Oracle hat kürzlich am 16. September 2015 Studienprotokolle von Aussagen des CEO von Rimini Street, Seth Ravin, veröffentlicht, die in diesem Bereich äußerst informativ sind.

Nachfolgend einige Auszüge.

Oracle Counsel: Der – Ihr – Ihr – Ihr Anwalt sprach über den Begriff erzwungene Upgrades in der Eröffnungsstatement, und das bezieht sich auf neue Upgrades auf neue Versionen der Software, richtig?Mr. Ravin: Ja, dass ein Anbieter eine Installation eines Kunden benötigt, um den Support fortsetzen zu können.

Oracle’s Counsel: Alles klar. Und Rimini Street zumindest bis 2011, so wie ich es verstehe, hat ihren Kunden keine Sicherheitsupdates zur Verfügung gestellt, oder?

Mr. Ravin: Das stimmt.

Oracle Counsel: Und tatsächlich haben Sie den Kunden gesagt, dass … sie nicht notwendig waren, oder?

Mr. Ravin: Ja, weil es ein veraltetes Modell ist, was wir heute als ganzheitliche Sicherheit bezeichnen.

Oracle’s Counsel: Ja. Gut. Ganzheitliche Sicherheit bedeutet, dass Sie keine Sicherheit in die Software setzen, sondern nur in die Firewall Ihres Unternehmens, richtig?

Mr. Ravin: Es ist tatsächlich die innovativste Version, die heute für Sicherheitsleute verfügbar ist, ja.

Oracle’s Counsel: Alles klar. Aber es beinhaltet keine Sicherheitsupdates in der Software, um mit Hackern umzugehen, richtig?

Mr. Ravin: Richtig. Es nennt sich virtuelle Patch- und Firewall-Systeme, ja.

Oracle’s Counsel: Richtig. Und die Firewall-Systeme sind Systeme, die vom Kunden, dem Kunden, nicht von Rimini Street für den Kunden gepflegt werden?

Mr. Ravin: Das stimmt. Sie sind verantwortlich für ihre eigenen Firewalls und ihre eigenen Sicherheitsmaßnahmen.

Es gibt hunderte von Seiten mit Zeugenaussagen, die diesen langen Prozess dokumentieren, der Jahre dauerte, um zu klären, aber diese Passage zeigt einige der strittigen Punkte des Prozesses.

Ein Serviceanbieter sagte den Kunden, dass sie keine Probleme mit der Installation von Updates haben sollten. Die dritte Partei erfand eine Problemumgehung, die stark auf Firewall und anderen Schutzmaßnahmen beruhte. Wenn jedoch eine Firewall durchbrochen wurde, könnte der Kunde einer potenziell ernsthaften Bedrohung ausgesetzt sein. Die Aktion des Verkäufers könnte als eine eigennützige Rechtfertigung ausgelegt werden. Es konnte keine Upgrades durchführen, da es keinen Quellcode gab. Daher versuchte der Anbieter, deren Wichtigkeit zu minimieren.

Jeder Kunde, der nicht bereit ist, die Zeit und den Aufwand für die Installation von Updates und Patches zu investieren – und es gibt legitime Gründe, wie Zeit- und Arbeitskräftemangel -, kann die Firewall-Software ebenfalls mit der gleichen Schwierigkeit behüten. Daher ist das Rezept möglicherweise nicht besonders effektiv.

Zitat aus einer E-Mail von Rimini Street: Oracle’s Counsel ging weiter:

Oracle’s Counsel: „Die Strategie, die wir unseren Kunden empfehlen, besteht darin, alle anderen Sicherheitsaspekte wie Benutzerkonten, Netzwerkzugriff, Firewall-Regeln und Systemarchitektur zu unterstützen.“Sie empfehlen, dass sie mit der Sicherheit umgehen und dass Sie sich nicht um Sicherheitsupgrades für die Software sorgen, oder?

Mr. Ravin: Das ist absolut richtig. Das ist das ganzheitliche Sicherheitsmodell, ja.

Das heißt, Rimini Street sagt, die Sicherheitsaspekte von Upgrades zu ignorieren, da sie diese ohnehin nicht bereitstellen können, und sich auf andere Sicherheitsfunktionen wie Firewalls zu konzentrieren.

Einige der Fragen, die sich daraus ergeben: Warum sollte jemand an der Sicherheit überhaupt sparen wollen? Wird dieser Ansatz weniger oder mehr Aufwand erfordern? Wird der Kunde sich um die Wartung der Firewall und andere empfohlene Verfahren kümmern?

Es ist auch kein trivialer Punkt. Laut einer Infografik von Oracle,

  • 65 Prozent der Unternehmen geben an, dass ihre internen Sicherheitsfunktionen angemessen sind, aber
  • 80 Prozent von ihnen waren im vergangenen Jahr von Cyber-Angriffen negativ betroffen.
  • Die Kosten für Cyberkriminalität sind ebenfalls sehr hoch und belaufen sich bis 2021 auf insgesamt 6 Billionen US-Dollar.

Die Kosten einer Datenverletzung im Jahr 2016 betrugen im Durchschnitt 3,6 Millionen US-Dollar – ohne Schäden an Marken, Reputation und Mitarbeitermoral. Einige Unternehmen erholen sich nicht von all dem.

Andere Dritte, wie das US -Heimatschutzministerium , sind sich darüber einig , wie wichtig es ist, Software zu patchen .

Alle Organisationen müssen einen starken laufenden Patch-Management-Prozess einrichten, um sicherzustellen, dass geeignete Präventivmaßnahmen gegen potenzielle Bedrohungen ergriffen werden.

Angesichts dessen ist der Eifer, den Oracle um den Begriff der Sicherheit herumlegt, verständlich.

Meine zwei Bits

Oracle hat den Ruf, auf dem Markt und im Gerichtssaal scharfe Ellbogen zu haben, aber scharfe Ellbogen zu benutzen ist ein Geschäftsrecht. Das Unternehmen ist vollständig in seinem Element, wenn es um Sicherheit geht, und wenn es gegen Dritte handelt, die versuchen, die Sicherheitsinteressen ihrer Kunden wissentlich oder nicht zu durchkreuzen.

Natürlich ist Geld damit verbunden. Der Verlust eines Support-Kunden ist ein Umsatzverlust für Oracle, weshalb es gute Gründe hat, die Außenseiter zu verfolgen. Dennoch ist diese Verfolgung für Oracle nicht automatisch negativ.

Ein leicht überarbeitetes Geschäftsmodell, das von Salesforce und Rimini Street demonstriert wurde, könnte dazu beitragen, diese Situation zu korrigieren. Als Cloud-Softwareanbieter übernimmt Salesforce die volle Verantwortung für System-Patches und -Upgrades und implementiert diese ständig, ohne Monate auf eine Gelegenheit warten zu müssen. Das Gleiche gilt für nahezu alle anderen Cloud-Anbieter.

Cloud-Anbieter bündeln auch den Dienst der Stufe 1 in den Abonnementkosten, aber es gibt noch immer Raum für Dritte, Premium-Dienste anzubieten. Salesforce kann für seine Premiumdienste möglicherweise Umsatzeinbußen hinnehmen, wenn Kunden Drittanbieter-Support kaufen, aber das sind die geringen Kosten, die mit einem Ökosystem verbunden sind.

Unter diesen Umständen könnte das Modell der herkömmlichen Unterstützung für lokale Systeme eine schwindende Branche sein, die vom Cloud Computing überholt wird. Dies fügt eine weitere Dimension hinzu, wenn man die Matrix von Kosten, Vor- und Nachteilen im Zusammenhang mit dem Umzug in die Cloud betrachtet.