Tada Images – shutterstock.com
Die langjährige CSO (Chief Security Officer) von Oracle, Mary Ann Davidson, verlässt das Unternehmen unerwartet und beendet damit ihre fast vier Jahrzehnte währende Karriere in der Geschäftsleitung des Software-Giganten. Eine interne Quelle des Unternehmens spielte diese Information dem Nachrichtenprotal Bloomberg zu.
Davidson, die ihre Karriere 1988 bei Oracle startete , ist eine prominente Persönlichkeit. Folglich sorgt ihr plötzlciher Abgang für Spekulationen.
Der Zeitpunkt könnte natürlich auch reiner Zufall sein. Allerdings berichtet Bloomberg, dass Oracle seit März dieses Jahres eine Entlassungswelle unbekannten Ausmaßes fährt. Betroffen sind davon unter anderem die Cloud-Sparte und Führungspositionen. Weltweit beschäftigt Oracle etwa 160.000 Mitarbeiter. Von den Entlassungen im März waren schätzungsweise Hunderte von Stellen betroffen – der Konzern schweigt sich zu den Details aus.
In diesem Monat soll es nun zu weiteren Kündigungen in ähnlicher Größenordnung gekommen sein. Die Personalkürzungen werden in erster Linie darauf zurückgeführt, dass der Konzern Geld für KI-Projekte freischaufeln will, beispielsweise das Stargate Project.
Obwohl keine offizielle Ankündigung zu Davidsons Weggang gemacht wurde, kommt dieser zu einem kritischen Zeitpunkt. Das Unternehmen wurde Anfang 2025 vielfach für seinen Umgang mit einer potenziell schwerwiegenden Datenpanne kritisiert. Oracle selbst hatte den Vorfall wiederholt heruntergespielt.
Die Kontroversen der scheidenden Oracle-CSO
Da Davidson sehr lange Zeit im Sicherheitsbereich von Oracle tätig war, ist es nicht verwunderlich, dass es einige Kontroversen gab.
Die erste Anfang 2004, als das Unternehmen vom britischen Datenbank-Bug-Hunter David Litchfield heftig kritisiert wurde, weil es für die zunehmenden Sicherheitslücken in seinen Produkten zu spät Patches veröffentlichte. Oracle und Davidson reagierten unklugerweise mit Gegenangriffen. Die Folge war ein anhaltendes öffentliches Wortgefecht, aus dem sich die Sicherheitsentscheidern schließlich stillschweigend zurückzog.
Im Jahr 2015 kam es dann zur berüchtigten „No, you really can’t”-Kontroverse. Dabei ging es um einen Blogbeitrag von Davidson, in dessen Rahmen sie Oracle-Kunden beschuldigte, den Code des Unternehmens rekonstruieren zu wollen, um Sicherheitslücken darin zu finden.
Als die Kritik zu laut wurde, musste Oracle erneut einen Rückzieher machen und entfernte den Beitrag schnell wieder (was wirkungslos blieb, weil das Internet nicht vergisst). Dazu erklärte das Unternehmen: „Wir haben den Beitrag entfernt, da er nicht unsere Überzeugungen oder unsere Beziehung zu unseren Kunden widerspiegelt.“
Der Fairness halber ist jedoch festzuhalten, dass Oracle bei weitem nicht das einzige Unternehmen war, das erst spät erkannte, wie wichtig Patch Management ist – und lernte, dass Vulnerability Hunter keine Feinde, sondern vielmehr Verbündete sind.
Security-Fehltritte
Dennoch kam es bis in die Gegenwart immer wieder zu Fehltritten. Ein Beispiel ist der Angriff auf Oracle von Anfang 2025, bei dem Sicherheitsexperten zufolge eine alte Schwachstelle (CVE-2021-35587) ausgenutzt wurde.
Die erste Reaktion des Unternehmens bestand darin, E-Mails an Kunden zu versenden, in denen ein Vorfall dementiert wurde. Später räumte Oracle dann zwar ein, dass es einen Vorfall gegeben hat. Davon seien jedoch nur „zwei veraltete Server“ betroffen gewesen, auf denen keine wichtigen Kundendaten gespeichert waren.
Der Eindruck, den das Unternehmen vermittelte: „Bloß nichts preisgeben“. In der Hoffnung, dass die Kunden nichts bemerken und die Presse irgendwann aufhört, Fragen zu stellen. Zwar gibt es keine Anzeichen dafür, dass diese Strategie von Davidson stammt. Angesichts ihrer bewegten Vergangenheit, wenn es darum geht, kritische Themen öffentlich herunterzuspielen, hätte sie allerdings wohl früher eingreifen müssen.
„Die Sicherheitsverletzung bei Oracle fällt unter die Offenlegungsvorschriften der SEC. Wenn sie heruntergespielt oder nicht ordnungsgemäß gemeldet wurde, könnte das schwerwiegende Folgen haben”, kommentiert Timothy J. Marley von der US-Cybersicherheitsberatung Prism One. Allerdings wäre es seiner Ansicht nach zu weit hergeholt, ihren Rücktritt mit dem jüngsten Breach in Verbindung zu bringen.
„Eine so lange Amtszeit in einer Führungsposition im Sicherheitsbereich ist äußerst selten. Ehrlich gesagt wäre ich nicht überrascht, wenn sie einfach beschlossen hätte, dass der Zeitpunkt gekommen ist, einen Schritt zurückzutreten”, räumt Marley ein.
Wahrscheinlicher sei allerdings, dass Oracle derzeit einen Generationswechsel hin zu jüngeren Führungskräften vollziehen will, die KI-affin sind, so der Berater: „KI zwingt uns alle, unsere Strategien und taktischen Lösungen zu überdenken. Für diejenigen von uns, die schon länger dabei sind, geht es vor allem darum, sich schnell anzupassen.“
Laut Brad Shimmin, VP und Practice Lead beim Analystenhaus The Futurum Group, war die Einführung von KI für Oracle mehr als nur ein einfacher Übergang in einen neuen Marktsektor. Die Technologie habe auch die langjährigen Annahmen des Unternehmens in Bezug auf Sicherheit infrage gestellt. „KI selbst hat die Art und Weise verändert, wie Unternehmen und Angreifer die Sicherheitslandschaft betrachten. Die Technologie hat die Angriffsfläche radikal erweitert – oft über die Grenzen des bislang Bekannten hinaus“, so Shimmin. (jm)
No Responses