You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1716

[Microsoft/Windows Server 2003] Microsoft stellt im Juli 2015 den Support für Windows Server 2003 ein
(2013-11-07 15:43:20.711242+00) Druckversion

Quelle: http://blogs.technet.com/b/mspfe/archive/2013/04/29/windows-server-2003-rapidly-approaches-end-of-life-watch-out-for-performance-bottlenecks.aspx

Microsoft wird am 14. Juli 2015 die Unterstützung für Windows Server 2003 einstellen. Dies bedeutet, dass ab dann keine Aktualisierungen und vor allem keine Patches für Sicherheitslücken mehr veröffentlicht werden. Der Betrieb von Rechnersystemen unter Windows Server 2003 muss ab diesem Zeitpunkt als unsicher angesehen werden und entspricht nicht mehr dem Stand der Technik. Bei Sicherheitsvorfällen, an denen solche Systeme beteiligt sind, kann dies zu haftungsrechtlichen Implikationen führen. Betreiber von Rechnersystemen unter Windows Server 2003 sind daher aufgefordert, diese Systeme bis zum o.g. Zeitpunkt auf ein neueres Windows- oder anderes, gewartetes Betriebssystem zu migrieren.

Inhalt

Zusammenfassung

Betroffen: Microsoft Windows Server 2003
Typ: Ende der Wartung (end of life)
Auswirkung: potentiell Fahrlässigkeit
Gefahrenpotential: hoch
Workaround: im Notfall
Gegenmaßnahmen: Umstieg auf ein anderes Betriebssystem

Betroffene Systeme

  • Alle Versioen des Betriebsystems Windows Server 2003

Auswirkung

  • Der Weiterbetrieb von Systemen nach Ende des Produktlebens (end of life) kann bei ihrer Beteiligung an einem Sicherheitsvorfall als fahrlässig gewertet werden. Dies kann u.U. zu erheblichem Reputationsschaden für den Betreiber (hier: die Universität) führen.
    (Fahrlässigkeit)

Typ der Verwundbarkeit

  • Ende der Wartung
    (end of life)

Gefahrenpotential

  • hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Am 14. Juli 2015 endet die Wartung des Betriebssystems Microsoft Windows Server 2003. Ab diesem Zeitpunkt werden durch den Hersteller Microsoft keine Aktualisierungen (Updates) für Server 2003 mehr bereitgestellt.

Der Betrieb von Rechnern unter einem Betriebssystem, für die keine sicherheitsrelevanten Aktualisierungen mehr verfügbar sind, entspricht nicht dem Stand der Technik. Da für diese Systeme erkannte Sicherheitslücken nicht mehr behoben werden können, sind sie als trivial kompromittierbar anzusehen und da sich erfahrungsgemäß die Sicherheitslücken für solche Systeme akkumulieren, steigt das Risiko über die Zeit. Der Betrieb von IT-Systemen, die nicht dem Stand der Technik entsprechen, kann bei deren Beteiligung an Sicherheitsvorfällen als Fahrlässigkeit gewertet werden und dazu führen, dass ihr Betreiber zur Verantwortung gezogen wird. Neben der Verletzung beachtlicher Rechtsvorschriften [1][2], die ggf. verfolgt wird, können durch die betriebe Infrastruktur Geschädigte auch Schadenersatzforderungen an den Betreiber stellen. Wesentlich schwerer kann eine festgestellte Fahrlässigkeit im Betrieb von IT-Infrastruktur wiegen, wenn sie zu einem Reputationsschaden für den Betreiber führt. Dieser kann sich in weitgehend unabsehbarer Weise auf seinen zukünftigen Geschäftserfolg auswirken. An der Universität wären dies zB Auswirkungen auf den Erfolg bei der Einwerbung von Drittmittelprojekten oder die Studierendenzahlen.

Windows-Server 2003-Installationen sind daher zum Ende der Wartung abzuschalten oder auf ein gewartetes Betriebssystem zu migrieren.

Systeme, die aus technischen Gründen nicht migriert aber dennoch weiterbetrieben werden müssen (etwa sehr kostspielige Laborgeräte) dürfen nur unter Anwendung sehr restriktiver Sicherheitmaßnahmen (z.B. in einem abgeschotteten Labornetz) weiterbetrieben werden. Die jeweilige Lösung ist jedoch detailliert zu dokumentieren und mit der Stabsstelle DV-Sicherheit abzustimmen.

Workaround

Nur in besonders begründeten Fällen:
  • Herstellung der vollen Kommunikationskontrolle durch Platzierung der Systeme in einem abgeschotteten Netz, das keinerlei direkte Kommunikation mit anderen Netzen ermöglicht. Sofern es sich um einen Domänen-Controller handelt, ist zu beachten, dass auch die gesamte von diesem versorgte Infrastruktur, also uA alle durch diesen Controller bedienten Rechnersysteme und Peripheriegeräte diesen Restriktionen und Sicherheitsmaßnahmen zu unterwerfen sind.
  • Vor der Implementierung ist die geplante Lösung inklusive der vorgesehenen Sicherheitsmaßnahmen zu dokumentieren und mit der Stabsstelle DV-Sicherheit abzustimmen.
ACHTUNG! Der Weiterbetrieb von Systemen unter Windows Server 2003 stellt ein erhebliches Risiko für die Universität Stuttgart dar. Die Stabsstelle DV-Sicherheit kann dem Weiterbetrieb von von Systemen unter Windows Server 2003 im Rahmen solcher Lösungen nur in sehr gut begründeten Ausnahmefällen zustimmen. Bitte bedenken Sie, dass der Weiterbetrieb mit hohem und im Laufe der Zeit steigendem Aufwand verbunden ist.

Gegenmaßnahmen

  • Außerbetriebsetzung betroffener Systeme
  • Migration auf ein gewartetes Betriebssystem

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.