Wer würde nicht gern mit einem 16 Jahre alten Auto ohne Blinker, Gaspedal oder TÜV, aber dafür mit platten Reifen und durchgetrennten Bremsschläuchen über die Autobahn brettern?

Zugegeben: Die Frage klingt reißerisch. Aber das oben beschriebene selbst- und fremdgefährdende (oder zumindest fahrlässig die Gefahr billigende) Verhalten legen manche Unternehmen in Sachen Netzwerksicherheit an den Tag.

Wie sonst lässt sich im Jahr 2023 der Einsatz von Exchange Server 2007 im Unternehmensumfeld erklären, einem Produkt, für das es seit sechs Jahren keinerlei Sicherheitsupdates mehr gibt?

Das ist nur die Spitze des Eisbergs. Auch neuere, jedoch genauso nicht mehr unterstützte Versionen (etwa Exchange Server 2010 oder 2013) befinden sich im produktiven Einsatz – laut Sicherheitsforschern von ShadowServer Foundation mehr als 20.000 weltweit, über 10.000 davon in Europa.

Wir sagen’s erneut: Steigt um auf aktuelle Versionen – etwa auf Microsoft365 oder auf Exchange Server 2019. Letzteres wird zwar nur noch bis Oktober 2025 mit Sicherheitsupdates versorgt, aber immerhin besser als gar nicht.

Mehr Infos zu dem Thema gibt’s bei heise online: https://www.heise.de/news/Support-ausgelaufen-Mehr-als-20-000-Exchange-Server-potenziell-angreifbar-9546919.html

Was sieht sehr retro aus, hält einen warm und ist nicht mehr erhältlich? Nein, nicht etwa ein Galaxy Note 7 (die Dinger waren mal bekannt für ihren explosiven Charakter), sondern der neueste Ugly Sweater von Microsoft – im Stile des Hintergrundbildes von Windows XP.

Der frei übersetzt schlicht als „hässlicher Pulli“ getauftes Kleidungsstück folgt einer mittlerweile sechsjährigen Tradition. So lange bereits bringt Microsoft jährlich kurz vor Weihnachten eine limitierte Stückzahl des mit allerlei Windows-Motiven verzierten Pullovers. Vor dem „grüne Wiese und blauer Himmel“-Muster waren schon mal Karl Klammer zu sehen (2022), das kultige Spiel Minesweeper (2021) oder auch das Malprogramm Paint (2020).

Und wie jedes Jahr mussten interessierte Kunden sehr schnell zuschlagen: Nur wenige Stunden nach Verkaufsstart zeigte Microsofts Online-Shop bereits die „Sold out“-Meldung. Bei Ebay gibt es noch vereinzelte Angebote, diese übersteigen den Originalpreis von 65 Euro jedoch um Längen.

Apropos Geld: 100.000 US-Dollar vom Erlös spendet der Hersteller an eine gemeinnützige Naturschutzorganisation in den USA. Das passt auch irgendwie zum Motiv. 😊

Wer prüfen möchte, ob der Pullover zwischenzeitlich nicht doch noch lieferbar ist, findet den Online-Shop unter diesem Link: https://gear.xbox.com/products/windows-merry-blissmas-knit-holiday-sweater

Eigentlich ist der Support für Windows Server 2012 am 10. Oktober abgelaufen. Eigentlich. Denn nun erweiterte Microsoft den Unterstützungszeitraum doch noch um weitere drei Jahre. Zumindest für bestimmte Kundengruppen.

Aber der Reihe nach: Betroffen sind Windows Server 2012, Windows Server 2012 R2 sowie Windows Embedded Server 2012 R2. Wer eine Migration zu Azure vollzogen hat, erhält die sogenannten Extended Security Updates (ESU) für die kommenden drei Jahre kostenlos.

Unternehmen, die den Umstieg zu Azure bisher gescheut haben, können die ESU-Lizenzen kostenpflichtig erwerben – bis zu dreimal für jeweils zwölf Monate. Der 13. Oktober 2026 markiert dann für alle Kundengruppen das endgültige Support-Aus.

Eine genaue Anleitung zu Erwerb und Aktivierung von ESU liefert Microsoft in seinem TechCommunity-Artikel: https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-server-2012-r2-extended-security-updates/ba-p/3976610

Kleiner Tipp unsererseits: Die bessere Alternative wäre, das mittlerweile über zehn Jahre alte System auf ein moderneres zu aktualisieren, beispielsweise auf Windows Server 2022. Für dieses wird es nämlich bis mindestens 2031 Sicherheitsupdates geben – und zwar kostenfrei.

Ein interessanter Fall der IT-Sicherheit geht gerade durch die Medien: Berichte unabhängiger Sicherheitsexperten sprechen von vier neuen Sicherheitslücken in Microsoft Exchange Server. Sie alle ermöglichen unbefugten Zugriff auf Daten oder gar die Ausführung von beliebigem Code auf kompromittierten Systemen.

Microsoft verweist darauf, dass eine dieser Lücken bereits im August-Update geschlossen wurde. Die anderen drei seien weniger schlimm als befürchtet, denn für die Ausnutzung müsse der Angreifer sich mit gültigen Zugangsdaten am System authentifizieren. Deshalb sollen die Lücken erst mit zukünftigen Updates statt sofort geschlossen werden.

Jedoch: Gültige Zugangsdaten findet man im Netz zuhauf. Die Darknet-Foren und -Marktplätze verkaufen sie terabyteweise – auch Zugänge zu Exchange-Unternehmensservern. Was tun also, solange die Updates ausbleiben?

Auf die Gefahr hin, uns zu wiederholen: Wir empfehlen die Multi-Faktor-Authentifizierung (MFA). Das erschwert Kriminellen den Zugang zu Unternehmensnetzen deutlich (!) – selbst dann, wenn sie über echte Zugangsdaten der Mitarbeiter verfügen.

Mehr Infos: https://www.premier-experts.de/schutz-durch-multi-faktor-authentifizierung/