175 Millionen Webseiten mit Windows Server 2003

Seit einem Monat gibt es keine frei verfügbaren Sicherheits-Patches für Windows Server 2003 mehr. Diese Tatsache scheint vielen Website-Hostern aber gleichgültig zu sein. Laut einer neuen Analyse von Netcraft laufen weltweit immer noch 600.000 direkt mit dem Internet verbundene Server mit dem veralteten Betriebssystem. Auf ihnen werden nach Angaben von Netcraft etwa 175 Millionen Webseiten betrieben. Das sei mehr als ein Fünftel aller weltweit existierenden Webseiten.

Microsoft bietet zwar weiterhin kostenpflichtige Patches für Windows Server 2003 an. Man sollte aber davon ausgehen, dass nur ein Teil der Server-Betreiber diese nicht gerade günstigen Dienste nutzt. Nach bisher unbestätigten Schätzungen kosten Security-Patches für Windows Server 2003 im ersten Jahr 600 Dollar, im zweiten 1.200 Dollar und im dritten 1.800 Dollar.

Auf 73 Prozent der gefundenen Windows Server 2003 laufen immer noch die ebenfalls veralteten Internet Information Services 6.0 von Microsoft, auf anderen entdeckte Netcraft diverse andere Web-Server-Software wie Apache 2.2.8. In dieser Version existieren zahlreiche mittlerweile gepatchte Sicherheitslöcher, darunter teilweise auch schwere Lücken.

Jeweils mehr als ein Viertel der Windows Server 2003 befindet sich laut Netcraft in China und den USA. Allein der chinesische Internet-Konzern Alibaba betreibe noch mehr als 24.000 Maschinen mit Windows Server 2003. Selbst manche Banken nutzen anscheinend immer noch das veraltete Server-Betriebssystem: Netcraft nennt unter anderem Natwest, ANZ und die Grupo Bancolombia.

Microsoft wies bereits im Juli einem Blog-Post und einem Whitepaper (PDF) auf rechtliche Gefahren hin, die sich für Unternehmen ergeben, die weiterhin Windows Server 2003 einsetzen. So seien IT-Verantwortliche persönlich haftbar, wenn sie keine ausreichende Risikovorsorge betreiben. Aber auch andere Mitarbeiter würden haften, wenn sie die Geschäftsleitung nicht rechtzeitig und vollständig über bestehende Risiken informieren.

Was passieren kann, wenn ein Hacker in die IT-Systeme eines Web-Hosters eindringen kann, zeigt aktuell der Fall 1blu. Das Unternehmen wird seit eineinhalb Monaten erpresst. Der Angreifer droht, geklaute Kundendaten zu veröffentlichen, wenn das Unternehmen nicht zahlt. 

com! professional zeigt in fünf Schritten, wie die Migration von Windows Server 2003 auf ein neueres Betriebssystem problemlos gelingt.