> Ich habe immer gedacht, das "Fokus auf Stabilität" bedeutet, Bugs und Sicherheitslücken zu fixen [...
Es hängt sicherlich davon ab, wie kritisch die jeweilige Komponente zu bewerten ist, aber Sicherheitslücken zeitnah zu fixen, ist nun nicht unbedingt das erste Anliegen im Enterprise-Bereich.
Mag sein, das man auch Sicherheitspatches nicht unbedingt sofort, sondern erst nach einer Testphase einspielt, um den laufenden Betrieb nicht zu gefährden. Das ist klar, jede Firma wird hier das Risiko einer Ausnutzung der Lücke mit dem Ausfall eines Systems abwägen.
So, und jetzt erinnern wir uns bitte mal, worum es HIER geht: Um Office-Software. Genau, die Office-Software, die mittels manipulierter Dokumente sehr gerne als Einfallstor für Phishing und Social Engineering verwendet wird. Und die Office-Software, die garantiert NICHT 24/7 laufen muss - die man also problemlos patchen kann, ohne dadurch Systemausfälle zu verursachen.
Nur, das es eben diese Patches von AOO nur sehr spärlich, wenn überhaupt, gibt. Ich garantiere Dir, das dies in einem Unternehmen mit professioneller IT ein Kriterium für die Auslistung ist. Natürlich gibt es auch "kleine Klitschen", denen das egal ist, aber die sollen uns bitte auch nicht als Maßstab für Enterprise-Maßstäbe gelten.
Und ja, ich weiß wovon ich rede, ich arbeite in einem Konzern mit entsprechender IT und deren Richtlinien. Selbst unsere interne fachliche Applikation (die über das Credential Management gut abgesichert ist), muss einen jährlichen Pen-Test bestehen - weil sie web-facing ist. Und selbstverständlich wird Office gepatcht.
> Ich habe immer gedacht, das "Fokus auf Stabilität" bedeutet, Bugs und Sicherheitslücken zu fixen [...
Es hängt sicherlich davon ab, wie kritisch die jeweilige Komponente zu bewerten ist, aber Sicherheitslücken zeitnah zu fixen, ist nun nicht unbedingt das erste Anliegen im Enterprise-Bereich.
Bitte?
Mag sein, das man auch Sicherheitspatches nicht unbedingt sofort, sondern erst nach einer Testphase einspielt, um den laufenden Betrieb nicht zu gefährden. Das ist klar, jede Firma wird hier das Risiko einer Ausnutzung der Lücke mit dem Ausfall eines Systems abwägen.
So, und jetzt erinnern wir uns bitte mal, worum es HIER geht: Um Office-Software.
Genau, die Office-Software, die mittels manipulierter Dokumente sehr gerne als Einfallstor für Phishing und Social Engineering verwendet wird. Und die Office-Software, die garantiert NICHT 24/7 laufen muss - die man also problemlos patchen kann, ohne dadurch Systemausfälle zu verursachen.
Nur, das es eben diese Patches von AOO nur sehr spärlich, wenn überhaupt, gibt.
Ich garantiere Dir, das dies in einem Unternehmen mit professioneller IT ein Kriterium für die Auslistung ist.
Natürlich gibt es auch "kleine Klitschen", denen das egal ist, aber die sollen uns bitte auch nicht als Maßstab für Enterprise-Maßstäbe gelten.
Und ja, ich weiß wovon ich rede, ich arbeite in einem Konzern mit entsprechender IT und deren Richtlinien. Selbst unsere interne fachliche Applikation (die über das Credential Management gut abgesichert ist), muss einen jährlichen Pen-Test bestehen - weil sie web-facing ist. Und selbstverständlich wird Office gepatcht.