Weitere sechs Prozent installieren die angebotenen Patches lediglich für als kritisch bewertete Systeme. Jeweils ein knappes Drittel der Unternehmen gab hingegen an, keine Vorgaben zu diesem Thema zu machen oder von Administratoren vor dem Erwerb von Updates eine Kosten-Nutzen- oder Risiko-Analyse zu verlangen. "Wahrscheinlich machen sich die Firmen weniger Gedanken über die Sicherheit, weil ihnen ihre Datenbanken im Vergleich zum Desktop etwas isolierter erscheinen", sagte IOUG-Präsident Ian Abrahamson gegenüber computerworld.com.
IOUG-Präsident warnt vor Gedankenlosigkeit
Eric Maurice, Direktor für Software Security Assurance bei Oracle, kündigte in einem Blog an, gemeinsam mit der IOUG stärker für die Security Patches werben zu wollen. Zudem wolle Oracle nach Wegen suchen, die Dokumentation zu verbessern und so den Test-Prozess für die Anwender einfacher zu gestalten.
In der Regel bietet Oracle ein Dutzend Patches je vierteljährlichem Update an. Nur ein knappes Drittel der befragten 150 Firmen hält mit diesem fortlaufenden Angebot Schritt. Ein Viertel gab an, einen Update-Zyklus im Verzug zu sein. Ein weiteres Viertel hängt nach eigenen Angaben bereits zwei bis vier Zyklen hinterher. Elf Prozent haben überhaupt noch keine Patches installiert.