Nach wie vor sind noch sehr viele Windows Systeme der Versionen XP und Server 2003 in Betrieb, obwohl der Support von Microsoft bei XP schon längst abgelaufen ist und der für den Server am 14. Juli 2015 endet. Mit dem Supportende von XP wurde ebenfalls der Support für Office 2003 beendet. Es ist also höchste Zeit endlich aktiv zu werden.
Jetzt sind es nur noch wenige Wochen bis auch für den Server 2003 der Support endet und trotzdem sind noch sehr viele der Systeme in Betrieb. Dabei sind all diese Systeme und Anwendungen tickende Zeitbomben. Es gibt keinen Support mehr vom Hersteller und alle Sicherheitslücken die jetzt aufkommen, werden auch nicht mehr geschlossen. Selbstverständlich sind noch viele Lücken in den Systemen, die aber zurückgehalten werden, damit man diese, wenn Microsoft hier nichts mehr unternimmt, ausnutzen kann. Daher muss jetzt gehandelt werden und zwar zügig! Bei allen von extern zu erreichenden Systemen ist das Risiko um ein vielfaches höher gegenüber den internen Systemen. Aber selbst hier ist das Risiko so hoch, dass man sie nicht mehr betreiben darf. Diese Systeme sollten spätestens mit dem Supportende auch vom Netz gehen. Selbst wenn die Systeme nur ihre Dienste in den lokalen Netzwerken bereitstellen, ist die Gefahr eines erfolgreichen Angriffs ist immens und durch die internen Systeme haben Angreifer einen Brückenkopf im eigenen LAN.
Objektiv betrachtet ist der aktuelle Betrieb von XP, Office 2003 und nach dem 14.7. von Server 2003 grob fahrlässig! Vor allem handeln diejenigen unverantwortlich die wissentlich um die Gefahren nichts unternehmen oder nicht unternommen haben um dies zu ändern. Dies betrifft nicht nur die Endkunden, die diese Systeme im Einsatz haben, sondern auch im besonderen Anbieter von Applikationen die es über Jahre hinweg versäumt haben, ihre Anwendungen auf aktuelle Plattformen umzustellen. Gerade dies manövriert Endkunden in eine Situation die sie nicht mehr kontrollieren können und ihnen keine Möglichkeit lässt aktiv zu werden. Bei Laufzeiten von zehn (10!) Jahren ist es ein Armutszeugnis der Applikationsentwickler par excellence! Über so viel Ignoranz kann man nur den Kopf schütteln. Aber das ist nicht nur bei Windows Applikation der Fall, dies betrifft auch die „Web Agenturen“ mit ihrem gefährlichen Halbwissen. Da werden CMS & Co. eingesetzt aber niemand kümmert sich um die Pflege der Anwendungen und auch um die Server auf denen diese betrieben werden. Hauptsache es geht und es ist schön bunt, der Rest ist völlig egal. Ganz besonders dieses Verhalten ist mit ein Grund dafür, warum so viele Webserver kompromittiert sind. Vor allem zeigt es eines, wie leicht es einem Angreifer gemacht wird ein System zu kapern, um das sich keiner mehr kümmert oder jetzt im Falle des Supportendes es keine Patches mehr gibt.
Der sichere Betrieb von Systemen und Diensten muss endlich in den Vordergrund rücken und das Supportende von Microsoft bietet jetzt aktuell den Anlass an dieser Situation was zu ändern. Selbst Microsoft hat erkannt, dass Patches ein existenzieller Bestandteil eines Sicherheitskonzept ist und diese daher sehr zeitnah installiert werden müssen. Das ist auch der Grund für einen „Strategiewechsel“ in Sachen Patches, es wird nicht mehr am starren Patch-Day festgehalten, sondern Patche werden verteilt, so wie diese zur Verfügung stehen. Leider gilt dies nur für die kommenden Systeme. Im Open Source oder Linux Umfeld ist dies der Normalfall und nichts neues, aber wenn es der Sicherheit dient, darf Microsoft dies auch gerne als Neuerung verkaufen. Leider ändert die kommende schöne neuen Welt nichts am aktuellen Problem der Ablösung der nicht mehr unterstützen Systeme und Anwendungen.
Als Sofortmaßnahme sind alle noch mit dem Netzwerk verbundenen XP Systeme und Systeme auf denen Office 2003 betrieben wird, mit Systeme zu ersetzen für es Support gibt. Eine mögliche Alternative stellen Terminal Server, VDI und ThinClients dar. Hiermit lassen sich je nach Umgebung noch zusätzliche Synergieeffekte nutzen. Parallel dazu muss die Microsoft Serverlandschaft von Server 2003 Systemen befreit werden. Serversysteme die „nur“ Microsoft Dienste bereitstellen lassen sich deutlich einfacher ablösen als Systeme die Dienste von Drittherstellern bereitstellen. Trotzdem müssen solche Systeme ebenfalls sehr zeitnah ersetzt werden. Egal wie man es dreht oder wendet, es gibt zur Ablösung einfach keine weitere Alternative. Handeln ist jetzt bzw. schon länger die Devise, da das Ende nah ist. Zudem muss sich auch jeder darüber im klaren sein, dass mit dem Supportende auch langsam aber sicher die Signaturen aus IPS oder sonstigen Sicherheitssystemen verschwinden werden. Zum einen macht es keinen Sinn die Musterdatenbanken mit nicht mehr benötigten Signaturen unnötig groß zu machen und zum anderen wird der Platz ja wieder für die nachfolgenden Systeme benötigt. Dieses betrifft auch Sicherheitssoftware, wie zum Beispiel AntiViren Software. So stellen viele Hersteller den Support ihrerseits ein, wenn es keinen Support mehr von Microsoft gibt.
Bis zum 14. Juli ist es nicht mehr lange hin, worauf jetzt noch warten?