München, Starnberg, 08. Jan. 2020 - Zentrale Themen wie Unternehmenssicherheit & Compliance davon betroffen; Gefahr auch durch Ransomware-Angriffe gegen Windows 7...
Zum Hintergrund: Am 14. Januar 2020 - also nächste Woche - endet der erweiterte Support von Windows Server 2008 und Windows Server 2008 R2. Ab diesem Datum stellt Microsoft damit bekanntlich keine regulären Sicherheits-Patches und Funktions-Updates für die zwei Server-Betriebssysteme mehr bereit. Der Hersteller empfiehlt als Workaround - falls bisher nichts geschehen ist - zumindest zeitweise eine Verlagerung in die Azure Cloud. Was haben Unternehmenslenker wie CEO oder CFO mit diesem technischen Thema zu tun? Folgt man der Argumentation von Patrick Schidler, Head of Azure Cloud Marketing bei Microsoft Deutschland, in seinem Blogbeitrag "Windows Server 2008: Eine strategische Unternehmensaufgabe“, so hat sich die Stellung der IT im Unternehmen inzwischen fundamental verändert, weg vom Inbegriff der Technologie (sprich IT-Infrastruktur) hin zu einer strategischen Unternehmensaufgabe, über die so Schidler "die Effizienz in die Prozesse kommt und Innovationen möglich werden.“ (1)
Damit rückt die Gestaltung dieser Aufgaben aus dem Fokus einer überwiegend technischen Administration und wird zur Aufgabe der Führungsebene (CxO-level). Man kann also aus IT-Sicht nur hoffen, dass der verantwortliche Personenkreis sich des Themas und möglicher Konsequenzen hinreichend angenommen hat bzw. darauf reagieren wird. Sicherheitsexperten und Anbieter warnen zudem vor einer erhöhten Gefahr durch Ransomware-Angriffe gegen Windows 7 PC-Systemumgebungen, dessen Support ebenfalls von Microsoft ab dem 14. Jan. 2020 beendet wird (2)
Sofortmaßnahme Cloud-Migration: Zu spät für den geordneten Umstieg
Wenn wie erwähnt der Support in einer Woche endet, können für Unternehmen in der Konsequenz große Schäden durch Cyberattacken entstehen, beispielsweise durch unerlaubte Zugriffe auf sensible Unternehmensdaten. Zusätzlich würde gegen Compliance-Vorschriften verstoßen, wenn Betreiber auf veraltete Server-Software setzen, für die es keine Updates mehr gibt. Das bedeutet, dass die Einhaltung der EU-Datenschutzgrundverordnung (EU-DSGVO) kaum noch garantiert werden kann. Empfindliche Bußgelder drohen.
Für eine sorgfältig geplante und damit geordnete Migration auf die aktuelle Version von Windows Server ist es jetzt laut Microsoft bereits zu spät. Der Hersteller empfiehlt daher, je nach Situation entweder die komplette IT oder zumindest die Windows-Server wenigstens zeitweise in die Cloud (hier natürlich auf Microsoft Azure) zu verlagern. Damit erhalten Unternehmen noch drei weitere Jahre kostenlos Sicherheitsupdates und profitieren nach Ansicht von Patrick Schidler vom „rasanten Fortschritt bei KI, im Internet der Dinge oder bei der Automatisierung von Prozessen“.
(1) Quelle: Link > Microsoft Patrick Schidler Blogpost: Windows Server 2008: Eine strategische Unternehmensaufgabe. Was CEO und CFO zum Support-Ende von Windows Server 2008 / 2008 R2 am 14. Januar 2020 wissen müssen…
Hinweis: Best Practice - Backupstrategien, die mehrere Kopien von Daten aufverschiedenen Arten von Medien, einschließlich Band, umfassen, können Datenverluste auf Grund von Ransomware Attacken eliminieren oder minimieren helfen. Zu den bewährten Backup-Verfahren gehört es, drei Kopien von Daten auf zwei verschiedenen Medientypen zu haben, von denen eine sicher offline und außerhalb gespeichert ist (3-2-1 Regel).
(2) Quelle: Veritas warnt vor erhöhter Gefahr durch Ransomware-Angriffe gegen Windows 7.
Auch nach dem Stichtag soll das Betriebssystem aber noch auf rund 26 Prozent der PCs weltweit laufen, wie laut Veritas diverse Analysen zeigen. Ohne Patches und Bugfixes wächst das Risiko, Opfer einer Ransomware-Attacke zu werden. Ein Beleg hierfür ist der Wanna-Cry-Virus aus dem Jahr 2017. Laut Europol kaperte der Schädling 200.000 Geräte in 150 Ländern weltweit, weil auf ihnen noch alte Software ohne Support lief. Die betroffenen Unternehmen haben Daten und Produktivität eingebüßt, ihre Hardware wurde beschädigt. Der Schaden habe sich schätzungsweise auf mehrere Milliarden Dollar summiert. Veritas hat nachfolgend fünf Tips für Unternehmen bereitgestellt, die helfen können, mögliche Gefahren durch Ransomware-Attacken beim weiteren Betrieb von Windows 7 einzudämmen:
1. Mitarbeiter schulen: Daten, die an ungeschützten Orten gespeichert sind, bergen ein hohes Sicherheitsrisiko. Dieser Gefahr können Unternehmen durch Trainings und Weiterbildungen für die Mitarbeiter vorbeugen. Es ist wichtig, dass Informationen sicher auf zentralen Servern, in Rechenzentren oder in der Cloud abgelegt werden.
2. Daten und damit das Risiko besser verstehen: Unternehmen müssen Einblick in ihre Daten haben und sie genau kennen. Nur so wissen sie, welche Compliance-Anforderungen für welche Informationen gelten und wann die jeweiligen Datensätze nach einem Ausfall wiederhergestellt sein müssen.
3. Software upgraden: Für große Firmen wird es schwierig, bis zum Stichtag alle ihre Windows 7-Maschinen rechtzeitig aufzurüsten. Sie sollten diese Aufgabe aber unbedingt für das Jahr 2020 einplanen. Kleinen Firmen dagegen sei nahegelegt, so schnell es geht auf ein jüngeres Betriebssystem aufzurüsten. Auch wenn dies manchmal heißt, gleich die veraltete Hardware mit auszutauschen. Das geringere Sicherheitsrisiko und die vielen neuen starken Funktionen eines modernen Betriebssystems rechtfertigen diesen Schritt.
4. Patches ausführen: Firmen sollten alle verfügbaren Patches bis zum Stichtag unbedingt aufspielen. Laut dem Ponemon Institute wären 60 Prozent der Datenverluste von Unternehmen zu verhindern gewesen, hätten die Firmen alle verfügbaren Sicherheitspatches auch angewendet. Demzufolge sind Microsoft-Kunden gut beraten, sämtliche aktuellen Patches bei Windows 7 zu installieren. Sie haben auch die Möglichkeit, so genannte ESUs (Extended Security Updates) von Microsoft zu erwerben, um bei der Migration auf neuere Software auf Patches zugreifen zu können.
5. Daten sichern: Sollten Cyberkriminelle sich trotzdem Zugriff auf Daten verschafft und sie verschlüsselt haben, müssen Unternehmen auf Sicherheitskopien zurückgreifen können. Um bei derartigen Szenarien gerüstet zu sein, empfiehlt Veritas die "3-2-1-Regel". Ihr zufolge sind Daten an drei Orten zu sichern: In zwei verschiedenen Storagesystemen und einmal als Offline-Kopie – etwa auf einer CD oder Diskette.
Fazit von Sascha Oehl, Director Technical Sales DACH bei Veritas (Auszug): „Firmen sind dazu angehalten, ihre Daten besser zu verstehen und in ihre Inhalte zu schauen. Auf Basis dieses Wissens können sie für den Ernstfall Sicherheitskopien erstellen und gezielt steuern, dass ihre wichtigen und sensiblen Dateien an sicheren Orten gespeichert sind. Es ist notwendig, diese Maßnahmen möglichst zeitnah anzugehen.“
Querverweise zum Thema:
Unser Beitrag > Datensicherheit und DSGVO: Begrifflichkeiten und wichtige Maßnahmen
Unser Beitrag > Tape-Technologien als Rückversicherung gegen Ransomware und ausufernde Speicherkosten
Unser Beitrag > Ransomware mit einer mehrschichtigen Backup-Strategie effektiv begegnen. (Quantum Corp. Anwenderbericht).