Microsoft wird am 14. Juli 2015 die Unterstützung für Windows Server 2003 einstellen. Dies bedeutet, dass ab dann keine Aktualisierungen und vor allem keine Patches für Sicherheitslücken mehr veröffentlicht werden. Der Betrieb von Rechnersystemen unter Windows Server 2003 muss ab diesem Zeitpunkt als unsicher angesehen werden und entspricht nicht mehr dem Stand der Technik. Bei Sicherheitsvorfällen, an denen solche Systeme beteiligt sind, kann dies zu haftungsrechtlichen Implikationen führen. Betreiber von Rechnersystemen unter Windows Server 2003 sind daher aufgefordert, diese Systeme bis zum o.g. Zeitpunkt auf ein neueres Windows- oder anderes, gewartetes Betriebssystem zu migrieren.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen

Zusammenfassung

Betroffene Systeme

• Alle Versioen des Betriebsystems Windows Server 2003

Auswirkung

• Der Weiterbetrieb von Systemen nach Ende des Produktlebens (end of life) kann bei ihrer Beteiligung an einem Sicherheitsvorfall als fahrlässig gewertet werden. Dies kann u.U. zu erheblichem Reputationsschaden für den Betreiber (hier: die Universität) führen.
  (Fahrlässigkeit)

Typ der Verwundbarkeit

• Ende der Wartung
  (end of life)

Gefahrenpotential

• hoch

Beschreibung

Am 14. Juli 2015 endet die Wartung des Betriebssystems Microsoft Windows Server 2003. Ab diesem Zeitpunkt werden durch den Hersteller Microsoft keine Aktualisierungen (Updates) für Server 2003 mehr bereitgestellt.

Der Betrieb von Rechnern unter einem Betriebssystem, für die keine sicherheitsrelevanten Aktualisierungen mehr verfügbar sind, entspricht nicht dem Stand der Technik. Da für diese Systeme erkannte Sicherheitslücken nicht mehr behoben werden können, sind sie als trivial kompromittierbar anzusehen und da sich erfahrungsgemäß die Sicherheitslücken für solche Systeme akkumulieren, steigt das Risiko über die Zeit. Der Betrieb von IT-Systemen, die nicht dem Stand der Technik entsprechen, kann bei deren Beteiligung an Sicherheitsvorfällen als Fahrlässigkeit gewertet werden und dazu führen, dass ihr Betreiber zur Verantwortung gezogen wird. Neben der Verletzung beachtlicher Rechtsvorschriften [1][2], die ggf. verfolgt wird, können durch die betriebe Infrastruktur Geschädigte auch Schadenersatzforderungen an den Betreiber stellen. Wesentlich schwerer kann eine festgestellte Fahrlässigkeit im Betrieb von IT-Infrastruktur wiegen, wenn sie zu einem Reputationsschaden für den Betreiber führt. Dieser kann sich in weitgehend unabsehbarer Weise auf seinen zukünftigen Geschäftserfolg auswirken. An der Universität wären dies zB Auswirkungen auf den Erfolg bei der Einwerbung von Drittmittelprojekten oder die Studierendenzahlen.

Windows-Server 2003-Installationen sind daher zum Ende der Wartung abzuschalten oder auf ein gewartetes Betriebssystem zu migrieren.

Systeme, die aus technischen Gründen nicht migriert aber dennoch weiterbetrieben werden müssen (etwa sehr kostspielige Laborgeräte) dürfen nur unter Anwendung sehr restriktiver Sicherheitmaßnahmen (z.B. in einem abgeschotteten Labornetz) weiterbetrieben werden. Die jeweilige Lösung ist jedoch detailliert zu dokumentieren und mit der Stabsstelle DV-Sicherheit abzustimmen.

Workaround

• Herstellung der vollen Kommunikationskontrolle durch Platzierung der Systeme in einem abgeschotteten Netz, das keinerlei direkte Kommunikation mit anderen Netzen ermöglicht. Sofern es sich um einen Domänen-Controller handelt, ist zu beachten, dass auch die gesamte von diesem versorgte Infrastruktur, also uA alle durch diesen Controller bedienten Rechnersysteme und Peripheriegeräte diesen Restriktionen und Sicherheitsmaßnahmen zu unterwerfen sind.
• Vor der Implementierung ist die geplante Lösung inklusive der vorgesehenen Sicherheitsmaßnahmen zu dokumentieren und mit der Stabsstelle DV-Sicherheit abzustimmen.

Gegenmaßnahmen

• Außerbetriebsetzung betroffener Systeme
• Migration auf ein gewartetes Betriebssystem

Weitere Information zu diesem Thema

• [1][2]RUS-CERT: Verantwortung durch und Rechtsvorschriften für den Betrieb von IT
• RUS-CERT: Appliances und eingebettete Systeme: Messgeräte, Schranküberwachungen, Drucker, Kopierer etc.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/