Grösste Security-Herausforderung in der Branche – Einsatz von End-of-Life-Windows-Servern in der Organisation»
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Thomas Amrein.
Auch heute noch sind Millionen von Server im Einsatz, unter denen Operation Systeme Windows Server 2003 und 2008 laufen. Die Operation Systeme Windows Server 2003 und 2008 sind beide End-of-Life. Für Windows 2003 war das Datum 14.06.2015 und für Windows 2008 war es 14.04.2020. Dabei informiert Microsoft mindestens ein Jahr davor über den End-of-Life. Spätestens ab diesen Daten waren sicher die IT-Teams der Organisationen gefordert, die End-of-Life-Operation-Systeme genauer zu monitoren und sich damit auseinanderzusetzen. Das heisst, wenn diese Operation-Systeme noch bis heute und länger eingesetzt werden sollen. Grundsätzlich ist klar, dass diese Situation die internen IT-Teams überfordern wird.
Die allgemeine Entwicklung, dass heute noch immer diverse Organisationen Operation-Systeme, die End-of-Life sind, für zum Teil zentrale Geschäftsservices im Einsatz haben, kann wie folgt beurteilt werden. Grundsätzlich erfüllen Organisationen mit End-of-Life- Server-Operation-Systemen im Einsatz die Compliance-Standards nicht mehr. Mittlerweile werden somit folgende Risiken für die Organisation relevant. Der Einsatz von End-of-Life-Operation-Systemen macht das Unternehmen unnötig anfällig für externe Bedrohungen. Wichtige Informationen über Ihr Unternehmen und Ihre Kunden werden offengelegt. Berücksichtigen Sie, dass die wichtigen Funktionen wie DNS-Server, E-Mail-Server, Dateiserver, ftp/sftp-Server, Kundenverzeichnisserver und interne Verwendungen wie die Dateifreigabe nicht mehr auf diesen Operation-Systemen laufen.
Die oben aufgeführten Funktionen sind Bedrohungen ausgesetzt, da Microsoft keine Support-Updates oder Fehlerbehebungen mehr für Server-Operation-Systeme bereitstellt. Microsoft wird auch das IT-Team nicht mehr auf potenzielle Malware hinweisen.
Nichtkonformität kann Organisation lähmen
Oft werden die alten Server-Operation-Systeme weiterbetrieben, weil die Anwendungen z.B. noch auf 32-bit optimiert sind und eine Umstellung auf 64-bit Inkompatibilitäten und somit Kosten mit sich bringen würde. Wie weiter oben erwähnt, erfüllen Organisationen mit dem End-of-Life-Server-Operation-Systemen im Einsatz die Compliance-Standards nicht mehr. Die Konsequenzen dieser Nichtkonformität könnte die Organisation lähmen. Partnerorganisationen könnten den Datenaustausch mit nichtkonformen Organisationen meiden. Also kann eine Organisation mit Auswirkungen wie Reputationsschäden rechnen, da sie nicht dem Industriestandard entspricht. In bestimmten Bereichen kann eine Nichteinhaltung mit Geldstrafen belegt werden, die weit über den Kosten für eine Migration auf eine modernisierte Technologieinfrastruktur liegen. Statt in eine Modernisierung zu investieren, begegnet man in diesem Umfeld oft Massnahmen im Bereich Intrusion Detection Systeme, High End Firewalls oder dem Einsatz vom Extended Support von Microsoft. Der Extended Support von Microsoft für das End-of-Life-Server-Operation-System 2008 begann im Januar 2014 und wird im Januar 2022 enden.
Bis dahin sollten die IT-Teams die Migration der Anwendungen auf den End-of-Life- Operation-Systemen durchgeführt haben. Dies auch, um die Organisation zu schonen, um nicht unnötig Ressourcen in Sicherheitsmassnahmen für diese Umgebungen zu investieren. Denn ältere Server-Operation-Systeme sind oft ineffizient und können sich nicht an eine virtualisierte Umgebung anpassen.
Links
Microsoft “published warnings“
TechRadar calls it “the biggest security threat of 2015”
Microsoft “Extended Security Update Window Server 2008 R2“
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)