Studie: Mehr als die Hälfte aller Windows-Server ist Security-Schrott

Ein Scan aller im Internet erreichbaren Systeme durch Rapid7 hat ergeben, dass deutlich mehr als die Hälfte der Windows Server noch mit Windows Server 2008 laufen. Und dessen Support hat Microsoft bereits am 14. Januar 2020 offiziell beendet. Das heißt, dass diese Windows-Systeme keine regulären Sicherheits-Updates mehr bekommen und sich somit nicht mehr sicher im Netz betreiben lassen.

Die große Mehrzahl dieser unsicheren Systeme fand Rapid7 in den USA und in China. In Deutschland sieht die Situation zwar etwas besser aus; doch auch hierzulande fand die Sicherheitsfirma viele zehntausende Systeme mit Windows Server 2008. Eine genaue Zahl lässt sich den präsentierten Grafiken leider nicht entnehmen, wir haben sie bei Rapid7 angefragt. Unsere Suche bei Shodan bestätigt zumindest schon mal Rapid7s Ergebnisse. Dort finden sich auf Anhieb in Deutschland über 50.000 Server mit IIS 7.5, der zur Standardausstattung von Windows Server 2008 R2 gehört.

Windows Server 2008 dominiert

Die von Microsoft nicht mehr unterstützten Betriebssysteme machen laut Rapid7 rund 58 Prozent aller Windows Server aus. Darunter finden sich neben Server 2008 (2 Prozent), Server 2008 R2 (51 Prozent) auch noch Systeme mit Server 2003 (fast 6 Prozent). Nur rund ein Drittel (33,4 Prozent) läuft mit Server 2012 R2. Der Gegentest mit Shodan zeigt weltweit etwa genauso viele Windows Server mit IIS 7.5 wie solche mit IIS 10.0 (je rund 1,5 Millionen) und bestätigt damit zumindest die Tendenz. Für die Differenz gibt es eine Reihe plausibler Erklärungen wie die, dass in die Auswertung von Rapid7 auch Systeme ohne von außen erreichbaren Web-Server eingeflossen sind.

Rapid7s Zahlen stammen vom September 2020. Doch die Sicherheitsfirma liefert auch einen Verlauf über die Monate hinweg, der zeigt, dass die Zahl der nicht mehr unterstützten Windows Server seit Januar um etwa ein Drittel abgenommen hat. Doch mittlerweile stagniert der Wert bei knapp 3 Millionen Servern.

Das offizielle Ende des Lebenszyklus einer Windows-Version bedeutet, dass Microsoft diese nicht mehr mit den routinemäßig erstellten Updates gegen neue Sicherheits-Lücken schützt. In besonderen Ausnahmefällen, wie der kürzlich bekannt gewordenen, kritischen Zerologon-Lücke, die Angreifer übers Netz direkt zu Domänen-Admins macht, liefert Microsoft zwar gnädigerweise auch Patches für bereits abgekündigte Versionen. Doch da hängt man an einem sehr dünnen Tropf.

Generell lässt sich ein Server nach Ablauf seines offiziellen Lebenszyklus eigentlich nicht mehr sicher im Netz betreiben – und schon gar nicht, wenn er aus dem Internet erreichbar ist. Wer so etwas noch in seinem Netz findet, sollte schleunigst nach Alternativen Ausschau halten und bis zu deren Einführung zuallermindest den Zugriff rigide einschränken.

(ju)