Seit einigen Jahren steht Microsoft aufgrund seiner Update-Politik in der Kritik. Einzelne Versionsstände von Windows erhalten immer kürzere Supportintervalle. Zweimal im Jahr stellt Microsoft neue Funktionsupdates – früher „Service Packs“ genannt – zur Verfügung. Unternehmen haben hier nicht wirklich eine Wahl: entweder die Aktualisierung einspielen – oder keinen Support mehr erhalten, und damit auch keine Aktualisierungen. Durch das laut der Expertin Susan Bradley „halsbrecherische Tempo“, in dem Updates veröffentlich werden, kommen gerade Unternehmen kaum nach.
Rückstand auf Zeit
Zwei große Updates pro Jahr bedeuten für IT-Verantwortliche eine hohe Arbeitsbelastung. Denn oft ist es so, dass sich ein Update nicht „einfach so“ ohne Reibungspunkte installieren lässt. Diese auszumerzen beansprucht eine Menge Zeit. Gleichzeitig setzt das Redmonder Unternehmen seine Kunden unter Druck, immer auf dem aktuellsten Stand zu bleiben.
So stehen IT-Abteilungen ständig unter Zugzwang, wenn sie nicht den Support-Anschluss verlieren wollen. Mittlerweile wird nach spätestens eineinhalb Jahren ein früherer Versionsstand nicht mehr unterstützt. Wer Updates bekommen will, muss sein Windows auf einen neueren Stand bringen. So wird beispielsweise das Update mit dem Codenamen „Redstone 5“ vom Oktober 2018 bereits ab Mai dieses Jahres für manche Windows-Versionen nicht mehr unterstützt. Einzige Ausnahme: „LTSC“-Versionen mit Langzeit-Support über 10 Jahre, den sich Microsoft aber auch entsprechend bezahlen lässt. Mehr als 18 Monate Support für eine Version sind also die absolute Ausnahme.
Da in Unternehmen jedoch oft einfach die Zeit fehlt, ständig neben dem normalen Alltagsbetrieb auch noch Tests für künftige Windows-Versionen durchzuführen, spielen die Verantwortlichen meistens auf Zeit. Viele unserer Kunden sind mindestens eine Version im Rückstand. Sprich, Mitte März 2020 sind einige Unternehmen gerade damit fertig von Update 1803 auf das Update 1903 vom Mai 2019 zu wechseln – der Support dafür läuft jedoch nur bis zum 8. Dezember 2020. Die Uhr tickt also bereits jetzt.
(Update:
Microsoft hat kurz nach Veröffentlichung dieses Artikels angekündigt, den Support für die Version 1803 von Windows Enterprise, IoT und Education bis Mai 2021 zu verlängern. Bereits im April gab es eine Ankündigung, dass im Zuge der Reaktion auf die COVID19-Pandemie anpassungen im Release-Zyklus geben würde, da die Krise in vielen Unternehmen die Prioritäten neu angeordnet hat.
Eine Übersicht über alle Änderungen finden Sie auf der Webseite von Microsoft.)
Gute Seiten
Bei allem Druck, der durch die engeren Updatezyklen entsteht, dürfen wir allerdings eine Sache nicht vergessen: auch die Sicherheitslage in der IT ist in den letzten Jahren um ein Vielfaches schnelllebiger geworden. Sicherheitslücken werden in immer schnellerem Tempo gefunden und auch geschlossen, was wiederum Patches und Updates nach sich zieht.
Vor diesem Hintergrund ist es also fast unvertretbar, mit der Installation von kritischen Updates, die Sicherheitslücken beheben, länger zu warten als unbedingt nötig. Die Zeiten, in denen es ausgereicht hat, alle paar Jahre einmal ein großes Service-Pack-Update einzuspielen, sind schon lange vorbei. Dieser Realität müssen sich also auch IT-Verantwortliche in Unternehmen aller Größen stellen.
Altlasten
Doch ganz so einfach ist es nicht. In unglaublich vielen Bereichen gibt es noch Infrastrukturen, die nach heutigen Maßstäben mit Fug und Recht als „antik“ zu bezeichnen sind. „Einfach upgraden“ ist hier nicht drin – nicht ohne ganz massiven finanziellen Aufwand. Und genau dort liegt die Crux.
„Ist dieses Jahr nicht im Budget vorgesehen“ ist eine häufig gehörte Aussage, wenn es um die Modernisierung von IT-Infrastrukturen geht. Und so betriebein viele Firmen Systeme weiter, die einfach nicht absicherbar sind. Hier gilt es, diese Systeme vom Rest der Infrastruktur zu trennen und zu isolieren.
Auch längst behobene Sicherheitslücken können noch immer zum bösen Erwachen führen. Das SMB1.x-Protokoll, das seinerzeit durch eine Schwachstelle die Verbreitung von „Wannacry“ beförderte, ist in vielen Unternehmen noch immer aktiv, aller Warnungen von Experten zum Trotz. Manchmal braucht eine Legacy-Anwendung das Protokoll noch – in anderen Fällen sind sich die Unternehmen der Tatsache, dass es noch aktiv ist, überhaupt nicht bewusst.
Wie es weitergeht
Es ist mehr als unwahrscheinlich, dass Microsoft von seiner Updatepolicy abrückt. Aus Sicht von Microsoft ergibt das auch wirtschaftlich Sinn: Das Unternehmen muss nicht mehr mit immensem Kostenaufwand einen ganzen Strauß von alten Betriebssysteme unterstützen und kann sich auf aktuelle Versionen beschränken. Statt drei oder vier unterschiedliche Versionen von Windows abzusichern (z.B. Windows 10, Windows 8, Windows 7 und Windows Vista und deren Server-Äquivalente), kann man sich ausschließlich auf Windows 10 konzentrieren.
IT-Abteilungen und Dienstleister sind allerdings an manchen Stellen nicht gut gerüstet. Es fehlt an Zeit, Personal und Budget. Dazu kommen auch externe Vorgaben, wie das IT-Sicherheitsgesetz. Dort ist zwar vorschrieben, dass die Sicherheit dem aktuellen Stand der Technik entsprechen soll, aber das lässt noch genug Interpretationsspielraum übrig, um ein Spiel auf Zeit zuzulassen. Übrigens: das „soll“ in Gesetzestexten ist hier entscheidend. Ein Unternehmen kann so nicht gezwungen werden, unverhältnismäßig hohe Ausgaben zu tätigen, „nur“ um auf dem viel zitierten „Stand der Technik“ zu sein. Denn IT-Sicherheit ist ja kein Selbstzweck. Es wäre ja schließlich auch nicht sinnvoll, wenn ein Unternehmen mehrere Tage stillsteht, um alle Systeme auf den aktuellen Stand zu bringen – ganz abgesehen von der Tatsache, dass dies ein Unternehmen in eine finanzielle Schieflage bringen kann. Denn wie in unserem Blogpost vom Mai letzten Jahres (Link öffnet sich in neuem Fenster) erwähnt, lassen sich viele Teile einer Unternehmensstruktur nicht aktualisieren, da dies einer kompletten (und finanziell ruinösen) Neuanschaffung von Produktionsanlagen gleichkäme.
Die einzige Möglichkeit, den Takt zu halten und im puncto Sicherheit auf dem aktuellen Stand zu bleiben besteht darin, interne Prozesse zu beschleunigen. Dafür ist jedoch zunächst ein Umdenken im Management erforderlich. Der Grundstein dafür ist gelegt – schließlich gibt es mittlerweile mehrere Gesetze, Verordnungen und Richtlinien, die die IT-Sicherheit ganz klar in den Verantwortungsbereich des Managements legen. Die Unternehmensleitung muss IT-Verantwortlichen die finanziellen, personellen und zeitlichen Mittel geben, um ein tragfähiges Sicherheitskonzept auszuarbeiten und zu unterhalten. Bis dorthin ist es allerdings noch ein langer Weg.