Windows 2008 Server End-of-Support

Wenn Anfang nächsten Jahres der Support für Windows Server 2008 endet sind die Systeme für Cyber-Kriminelle offen wie ein Scheunentor. Verhindern lässt sich das nur mit einem Server-Upgrade – doch viele Anwender können nicht auf ein aktuelles System wechseln. Was kann man stattdessen tun?

Mit dem Aus von Windows 7 Anfang nächsten Jahres endet auch die Unterstützung von Microsoft für die Server-Systeme dieser Betriebssystem-Generation. Das bedeutet konkret: Am 14. Januar 2020 endet der Support für Windows Server 2008 und 2008 R2. Ab diesem Tag gibt es keine Updates mehr. Das Support-Ende von Windows Server 2008 und 2008 R2 betrifft insbesondere den erweiterten Support.

Den regulären Support – auch Mainstream-Support genannt – hatte Microsoft bereits 2015 eingestellt. Seitdem erhält das betagte Betriebssystem nur noch Sicherheits-Updates und keine funktionalen Updates mehr. Ab dem 14. Januar 2020, dem ersten Patch-Day des Jahres 2020, wird Microsoft dann auch keine Sicherheits-Updates für Windows-2008-Server mehr ausliefern.

Damit stellt Microsoft diese Server-Betriebssysteme endgültig auf das Abstellgleis. Zwar stellen End-of-Support (EoS) Server grundsätzlich nicht ihren Betrieb ein. Sie können selbstverständlich weiter eingesetzt werden. Allerdings müssen Anwender dann hohe Sicherheitsrisiken und mögliche Verletzungen von Compliance-Richtlinien in Kauf nehmen.

Windows EoS – die drohenden Gefahren

Wird keine Migration auf eine neueres Server-System oder werden keine anderen Maßnahmen durchgeführt sind Windows 2008 Server ab Anfang nächsten Jahres ungeschützt Cyber-Attacken und anderen Security-Vorfällen ausgesetzt. Ein Exploit wie EternalRocks beispielsweise, der die Microsoft SMB 1.0 Schwachstelle von Windows 2012 oder 2016 ausnutzt, kann auch ältere Systeme betreffen – für die aber im Gegensatz zu den neueren Plattformen kein Patch-Support mehr geleistet wird.

Die Gefahr wird dadurch potenziert, dass jeder weiß, dass Microsoft ab Januar keine weiteren Patches mehr veröffentlicht. Hacker werden diese Situation gnadenlos ausnutzen und EOS-Systeme bevorzugt attackieren. Das zeigte bereits die Vergangenheit. Als Microsoft im Juli 2015 den Support für Windows 2003 einstellte, führte dies zu massiven Angriffen auf mehrere Millionen Server, die nur durch Migration auf eine neuere Plattform oder die Implementierung kompensierender Sicherheitskontrollen abgewehrt werden konnten.

Der weitere Betrieb ungeschützter EoS-Systeme verursacht zudem Risiken, die über einzelne Plattformen hinausgehen. Ein kompromittierter Server macht oft das gesamte Netzwerk anfällig für Hacker-Angriffe. Die Folgen können Datenverluste, Crypto-Mining-Attacken und via Ransomware verschlüsselte Daten sein.

Und auch die Compliance ist betroffen: Ohne einen wirksamen Aktionsplan können Unternehmen kaum mehr die Einhaltung von Regularien wie DSGVO, PCI DSS, HIPAA und Rahmenwerken wie NIST 800-53 gewährleisten. Die DSGVO fordert beispielsweise, dass Kundendaten mit moderner Technologie geschützt werden. Zwar gibt es keine offizielle Definition eines Gerichts davon, was genau mit „moderner Technologie“ gemeint ist. Die DSGVO spricht aber mehrfach davon, dass beim Schutz personenbezogener Daten der „Stand der Technik“ zu berücksichtigen ist. Ein durch den Hersteller nicht mehr unterstütztes Betriebssystem entspricht keinesfalls mehr dem Stand der Technik.

Warum Unternehmen nicht migrieren können

Solche Worst-Case-Szenarien lassen sich nur strikt vermeiden, indem die alten Windows-Systeme auf neuere migriert werden. Eine solche Migration ist auch unabhängig von möglichen Sicherheitsvorfällen notwendig. Denn ein 10 Jahre altes Betriebssystem wird über die Zeit fragiler und anfälliger für alle möglichen Störungen und Fehler.

Die Realität sieht allerdings oft anders aus, als die Welt der Sicherheitsexperten. Viele Windows-Anwender können nicht sofort oder in den nächsten Monaten migrieren. Zum einen verhindern Kostengründe und begrenzte Budgets eine sofortige Migration. Zum anderen setzen Anwender vielfach Applikationen ein, die speziell für Windows Server 2008 geschrieben wurden. Ein Ersatz ist häufig für lange Zeit nicht verfügbar. Deshalb müssen die alten Betriebssysteme oft noch sehr lange genutzt werden.

Die gute Nachricht: Unter Umständen kann ein sicherer Weiterbetrieb der alten Systeme erfolgen. Dazu benötigen Unternehmen die Option, EoS-Systeme nach eigenem Zeitplan schrittweise abzulösen und währenddessen den Schutz dieser Systeme auf kosteneffiziente Weise aufrechtzuerhalten.

Optionen für einen sicheren Weiterbetrieb

Für den sicheren Weiterbetrieb von Windows Server 2008 gibt es mehrere Optionen:

Vereinbarung mit Microsoft: Microsoft bietet seinen Kunden unter Umständen erweiterte oder „Custom-Support-Vereinbarungen“ für Windows Server 2008. Die Plattform wird dann weiterhin mit Notfall-Sicherheitspatches versorgt. In der Regel sind solche Vereinbarungen aber mit mehr als 200.000 US-Dollar pro Jahr sehr kostenintensiv.

Isolation: Die Isolation der Windows Server 2008 Systeme etwa in separate Netzwerke oder VLANs erschwert Hackern erfolgreiche Attacken. Dies erfordert allerdings zum einen erheblichen Mehraufwand, der wiederum mit Kosten verbunden ist. Zum anderen ist die Isolation von Business-Systemen praktisch oft nicht machbar.

Härten: Das Härten von Windows Server 2008 ist eine weitere Möglichkeit, das ältere System weiter zu betreiben. Sicherheitskritische Features werden dabei entfernt oder deaktiviert. Der Nachteil: Autorisierte Anwender benötigen immer noch Zugang zum System.

Virtual Patching: Die Idee hinter Virtual Patching ist, Schwachstellen nicht zu flicken, aber gegen bösartige Zugriffe abzuschirmen. Bei Web-Anwendungen, für die es keine Patches gibt, kommt in der Regel für das virtuelle Patchen eine Web Application Firewall (WAF) zum Einsatz, mit der sich genau regeln lässt, wer wie auf die zu schützende Applikation zugreifen kann.

Was Trend Micro empfiehlt

Diese Optionen für den Schutz von EoS-Systemen sind für sich genommen zu wenig. Es bietet sich deshalb ein mehrstufiger Ansatz an, bei dem mehrere Optionen umgesetzt werden. Dabei sollten alle Kontrollen in einem einzigen Produkt kombiniert und zentral verwaltet werden.

Deep Security von Trend Micro ermöglicht es, EoS-Server-Systeme wie Windows Server 2008 in einem mehrstufigen Ansatz zu schützen. Deep Security beinhaltet leistungsstarke und automatisierte Sicherheitskontrollen, die von vielen Tausend Organisationen auf der ganzen Welt eingesetzt werden. Die Lösung stellt damit die benötigte kritische Funktionalität bereit, die Unternehmen einen sicheren Übergang zu aktuellen Systemen ermöglicht.

Die Bereitstellung erfolgt über einen einzigen, schlanken Agenten. Eine zentrale Sicherheitskonsole sorgt für ein konsolidiertes Management. Ohne unnötige Risiken oder Kosten können Unternehmen damit selbst bestimmen, wie und wann sie eine Migration durchführen.

Quelle: Dieser Artikel wurde bei COMPUTERWOCHE veröffentlicht.