Windows Server 2003 und IIS 6.0 nach dem Support-Ende

Seit Dienstag, dem 14. Juli 2015 und damit mehr als 4460 Tage nach dem Release to Manufacturers (RTM), gibt es keinen Support mehr für Windows Server 2003. Davon betroffen sind auch die Internet Information Services (IIS) 6.0 Webserver sowie der Small Business Server 2003. Schätzungen vom Microsoft vom vergangenen Monat zeigen, dass weltweit noch mehr als 11 Millionen Instanzen dieses Server-Betriebssystems laufen. An dieser Zahl dürfte sich in den vergangenen Wochen nicht viel getan haben und das gilt auch für die damit zusammenhängenden Risiken.

Weit verbreitet sind offenbar nach wie vor der Internet Information Services 6.0 Webserver. “Unsere Untersuchungen haben aber gezeigt, dass ab dem 14. Juli immerhin noch 22 der Top 30 DAX-Unternehmen in 750 Fällen ISS 6.0 Webserver für Web Hosting und Media Streaming Dienste einsetzen, und damit Hackern Tür und Tor für Angriffe öffnen”, erklärt Fabian Libeau, Technical Director EMEA bei RiskIQ. Das Unternehmen hat sich darauf spezialisiert, Web- und Mobilressourcen bei Unternehmen zu erfassen und diese auf Bedrohungen zu überprüfen.

Nun berichtet das Sicherheitsunternehmen dass die TOP 30 DAX Unternehmen in 53.0000 Fällen Webserver genutzt haben. Und immerhin in 650 Fällen kam dabei Microsofts IIS 6.0 zum Einsatz, vor allem für Web Hosting und Media Streaming. In Großbritannien laufen laut RiskIQ-Studie sogar noch 2675 Installationen des IIS 6.0 bei den 30 größten börsennotierten Unternehmen. Bei einigen Unternehmen ist IIS 6.0 noch in vergessenen Netzen aktiv. In anderen Fällen laufen hochfrequentierte Web-Auftritte der größten europäischen Unternehmen auf dieser Infrastruktur.

 Loading ...

Die Sicherheitsexperten von RiskIQ sehen darin erhebliche Sicherheitsrisiken für Unternehmen und deren Kunden. “Die großen Unternehmen sind beliebte Ziele für Hacker, und Software, die keine regelmäßigen Sicherheitsupdates und Patches mehr erhält, macht Angriffe zum Kinderspiel: Hacker umgehen die üblichen Sicherheitsmaßnahmen, indem sie ganz gezielt Webseiten ausfindig machen, die alte Software-Versionen ohne Support nutzen und sich mit entsprechenden Exploits kompromittieren lassen”, so Libeau weiter.

Angreifern reiche eine Schwachstelle aus, um ein Unternehmen und seine Kunden zu kompromittieren. Angreifer könnten dann zum Beispiel Firmenweb-Seiten hacken und somit Besuchern der Web-Seiten Malware unterjubeln.

“Unternehmen, die nach dem 14. Juli weiterhin auf den ISS 6.0 Webserver setzen, riskieren nicht nur Sicherheitslücken sondern auch ihren Ruf: Schließlich erwarten Kunden, dass der Besuch der Internetseite einer renommierten Marke absolut sicher ist – und das ist etwas, dass sie dann nicht länger bieten können”, warnt Libeau.

Das Problem beschränkt sich jedoch nicht nur auf die großen DAX-Konzerne: Laut einer Untersuchung des Web-Beobachters Netcraff vom April dieses Jahres, sollen derzeit weltweit noch 130 Millionen Web-Seiten auf einem IIS 6.0 auf Windows Server 2003 laufen.

TIPP: Welche Alternativen und Möglichkeiten gibt es für Nutzer des Windows Server 2003 über den 14. Juli hinaus? Lesen Sie in unserem umfangreichen Special, welche Schritte jetzt noch möglich sind.