Das Gelsenkirchener Institut für Internetsicherheit bemängelt die Praxis vieler Internet-Anbieter, Updates der von ihnen verwendeten Programme nicht oder erst mit deutlicher Verspätung einzuspielen (1). Sie würden damit Angreifern Tür und Tor öffnen, weil die Updates in aller Regel wichtige Sicherheitslücken schließen würden.

Dem ist kaum zu widersprechen.

Updates gibt es für teure Kaufprodukte und für Open Source. Darin unterscheiden sie sich nicht. Beide Softwarelieferanten müssen Sicherheitslücken schließen, weil sich im Laufe der Zeit Fehler zeigen, die die Sicherheit gefährden. Auch darin unterscheiden sie sich nicht.

Ein ITIL-mäßig (2) durchgeplanter IT-Betrieb hat damit jedoch Probleme. Jedes Update verändert die Programmstruktur und ist ein Change (3), der in der Tat zunächst darauf geprüft werden muss, ob er Schaden in der Programmumgebung anrichtet oder wie er optimal in sie eingepasst werden. Einfach 'mal schnell ein Update reinziehen geht halt nicht. Es muss zunächst in einer Testumgebung erprobt werden, bevor es im Echteinsatz eingesetzt werden kann.

Das kennt jeder Privatanwender. Irgend ein neues Programm oder eine Aktualisierung hat irgendwas mitgebracht oder verändert eine Einstellung und plötzlich streikt an anderer Stelle ein anderes Programm. Damit kann man meistens umgehen und sich irgendwie abfinden. In einer Unternehmensumgebung hingegen, wo Buchhaltungs-, Werbungs- und andere Daten ständig präsent sein und bearbeitet werden müssen, geht das eben nicht. Da können die Softwarefuzzies noch so viel besserwissern wie sie wollen.
 

 
Das Problem sind nicht die Updates, sondern dass die Software Sicherheitslücken enthält.

Die Apollo-Kommandokapseln enthielten bei ihren ersten echten Erprobungen Rechner, die bereits seit Jahren auf dem Markt und erprobt waren. Bessere Taschenrechner, aber robust und wegen aller Eigenheiten bekannt.

Noch vor einigen Jahren und womöglich noch heute war bei den Banken das Betriebssystem OS/2 (4) von 1991 im Einsatz. Die dafür entwickelten Fachanwendungen brauchten es einfach.

Im Großrechnerbereich sind manche Programmteile seit Jahrzehnten im Einsatz und kaum einer oder keiner weiß, wie sie funktionieren und migriert werden könnten.

Das Problem ist, dass in der Vergangenheit nicht sauber zwischen Information und Funktion unterschieden wurde. Erst das XML-Format (5) hat das als allgemeine Strategie eingeführt.

Dabei geht es allerdings um mindestens drei Verarbeitungsstufen:

	Daten - schlichte Information ohne Firlevanz, Formatierung oder irgendwas
	Variablen - die die Daten darstellen, interpretieren und auswerten
	Umgebung - die das alles ermöglicht

Diese drei (oder vielleicht auch mehr) Ebenen sind in der Vergangenheit vielfach vermischt und vermanscht worden.

Das andere Problem ist, dass den Entwicklern von Variablen und Umgebungen die Daten in aller Regel egal sind. Die Daten sind es hingegen, die die Überlieferungen enthalten (6).
 

(1) Einladung zum Einbruch: Viele Internet-Seiten sind schlampig gepflegt, Heise online 26.02.2009

(2) Information Technology Infrastructure Library - ITIL

(3) Änderungsanforderung (Change Request)
 

 
(4) OS/2

(5) Extensible Markup Language - XML

(6) gegen das digitale Vergessen