Risiko Windows Server 2003: Berlin hat auch hier Umstieg verpasst

Immer wieder gibt es Meldungen, dass sich Behörden & Co. mit dem Umstieg auf aktuelle Betriebssysteme schwer tun. Wie jetzt bekannt wurde, werden in Berlin Hunderte Server mit dem von Microsoft nicht mehr unterstützten Windows Server 2003 betrieben. mehr... Windows Server, Windows Server 2003, Ladebildschirm Bildquelle: Microsoft Windows Server, Windows Server 2003, Ladebildschirm Windows Server, Windows Server 2003, Ladebildschirm Microsoft

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
dann passt's ja wieder zu den Clients ^^
 
solange die nicht am Internet hängen... :D
 
@Spector Gunship: Sehe ich auch so, kann vermutlich bei den meisten aktiven 2003 Servern relativ einfach realisiert werden, im Gegensatz zu den XP clients.
 
320 Server sind 4%??? Also 8000 Server insgesamt, was machen die damit?
 
@djingujun: Webserver, Fileserver, Applikationsserver... Gibt schon einiges und dann noch die ganzen lokaleren Geschichten bei den Gemeinden.
 
@noneofthem: Kommt mir auch trotzdem bisschen viel vor. Denke mit Ressourcenoptimierung käme man locker auch mit der Hälfte aus.
 
@Memfis: Definitiv, alles was man dafür bräuchte, wäre ein performanter Backbone zwischen den einzelnen Lokationen. Dann betreibt mal ein zentrales Rechenzentrum und das war's!
 
@heidenf: Ja, kost ja nix. Son bissl Glasfaser und son kleines Rechenzentrum, easy.
 
@Doso: Soll Leute geben, die planen VORHER, bevor sie sich 8000 Server in die Ecke stellen. Ausserdem kann man seine IT Infrastruktur auch outsourcen, das ist gang und gebe. Es gibt genug Dienstleister, die das anbieten u.a. meine Firma :-)
 
@heidenf: Outsourcing ist aber eine "theoretische" Sicherheitslücke. Klar könnt ihr als Spezialisten wesentlich sichere und bessere Server bereitstellen (davon geh ich mal aus :) ...). Aber es könnte ja auch sein, das die NSA einen besonders guten Draht zu euch hat...
Wenn ich meine Server (besonders die Sicherheitsrelevanten) im eigenen Haus habe, hab ich gleichzeitig mehr Kontrolle.

Und obwohl ihr mit vermutlich einer höheren Effizienz Arbeitet (auch wieder eine Anmaßung die ich mir von einem guten Dienstleister erhoffe) Kostet eure Infrastruktur im Endeffekt mehr als die eigene (einfach weil bei gleicher Effizienz Geld auf der Strecke bleibt).

> Abgesehen von diesen zwei Punkten würde ich NIE NICHT zu einem Dienstleister greifen. Wir selbst haben ~80 Server bei einem Dienstleister, und jedes Jahr das Gespräch "So teuer, rentiert sich das,..." aber mal ehrlich
> Sicherheitspatches, Hardwareschäden, Stabilität... einfach mal nur 3 Punkte, die uns nicht interessieren, das ist Sache des Dienstleisters, unser System läuft da drauf *Sorgenfrei* und gut isses :) ... wenn auch nicht ganz günstig :P
 
@Memfis: Eigentlich geht die reine Anzahl der Server in der IT immer mehr in die Höhe. Durch Virtualisierung und Automatisierung betreibt man lieber viele kleinere Server als alles auf ein "Blech" zu installieren. Man halt dann keinen Domain Controller, DNS, DHCP, Print Server, File Server mehr auf einem Blech, sondern einen VMware/Hyper-V Server mit 5 virt. Servern. Hat viele Vorteile. Wenn man es richtig macht, hat man sogar die Ressourcen besser genutzt, und trotzdem letztlich mehr Server.
 
So wie ich das sehe, sind eher die Benutzer das Risiko. Das Netz des Bundestages wurde beispielsweise über Wochen ständig mit Malware reinfiziert, so dass man schon von komplettem Autausch der Hardware sprach, weil die angeblich infiziert sein müsse, wenn die Malware immer so schnell wieder da ist.

Kaum hatte das BSI aber einen Netzfilter davorgeschaltet und Zugriffe auf eine Liste von zwielichtigen Seiten, auf denen schon einmal Malware verteilt wurde, geblockt, schon wurde das Netz des Bundestages auf einmal nicht mehr reinfiziert.

Ganz einfache Schlussfolgerung daraus: Jemand im Netz des Bundestages muss, jedesmal wenn das Netz reinfiziert wurde, sich auf entsprechenden Seiten herumgetrieben (was mich nicht wundert nach der Edathy-Affäre - scheinbar gab es da ja schon einmal keine besonderen Skrupel von einer deutschen Regierungseinrichtung aus einfach mal auf zwielichtige Angebote im Netz zuzugreifen) und sich dabei immer wieder Malware eingefangen haben.

Da hilft dann auch kein neues Betriebssystem und auch keine neue Hardware (die dank EFI und TPM 2.0 heute ohnehin aller Wahrscheinlichkeit nach gleich mit NSA Backdoor vom Fliessband läuft), da hilft nur eines, nämlich den Abgeordneten genau das zumuten, was einige von denen nicht müde werden für das ganze Volk zu fordern: Komplette Kommunikationsüberwachung und wenn irgendjemand Mist macht, gibt es was auf die Finger.

In den Berliner Behörden würde ich genauso verfahren und zudem sämtliche Server und Arbeitsplätze, die vertrauliche Daten speichern bzw. Zugriff auf diesen Daten haben, in ein komplett vom Internet getrenntes eigenes Intranet legen. Wer von den Mitarbeitern nicht ans Internet muss, braucht dann halt nur einen Offline-Rechner und jeder der ans Internet muss, aber auch Zugriff auf das Intranet braucht, bekäme dann halt zwei Rechner oder eben zwei ThinClients an den Arbeitsplatz gestellt, damit sensible Daten der Regierung oder der Bevölkerung eben nicht durch den Hack eines Mitarbeiterrechners oder Servers über das Internet gefährdet sind.

Den richtigen Zeitpunkt dafür haben die deutschen Behörden aber offenbar schon verpasst. Schon vor einigen Jahren habe ich eine offensichtlich deutsche Behördendatenbank im Internet zu Kauf angeboten bekommen, in deren Evaluationsauszug ich neben meinem Namen, damaliger Anschrift und Geburtsdatum auch Daten wie meine Kontoverbindungen, Sozialversicherungsnummer und Steuernummer nachlesen konnte. In dem Evaluationsauszug waren nur einige tausend Datensätze enthalten. Die ganze Datenbank enthielt angeblich einige Millionen solcher Datensätze über deutsche Bürger. Danach habe ich meine Konten in Deutschland gekündigt, bin umgezogen, habe meine deutsche Staatsbürgerschaft und somit auch meine Sozialversicherungsnummer abgelegt und meinen Namen in meiner neuen Heimat geändert um den Datensatz über mich komplett ungültig zu machen.

Damit nicht genug, denn vor kurzem habe ich nun die erste deutsche Krankenkassendatenbank an ähnlicher Stelle im Netz gefunden. Der Evalutaionsauszug enthielt meinen Namensbereich diesmal leider nicht (wären auch nur alte Daten von mir gewesen, da ich meine Krankenversicherung mit der Ausbürgerung ebenfalls abgelegt hatte), dafür stand ein Freund von mir drin, dem ich das Material dann mal vorgeführt habe. Das war für ihn ebenso ärgerlich wie aufschlussreich mal zu sehen, was Krankenkassen über die Jahre so alles an Informationen über ihre Patienten ansammeln.

Ich hatte ihm noch geraten da mal eine Klage anzustrengen bevor man die Krankengeschichte jedes Deutschen "googlen" kann, aber offenbar war es ihm zu risikoreich als Beschäftigter eines IT-Dienstleister, der auch Krankenkassen zu seinen Kunden zählt, wegen im Internet gefundener Daten von einer Krankenkasse zu klagen. Da der Server mit den Daten im TOR-Netz lag und kurz darauf wieder verschwunden war, hätte man auch nichts in der Hand gehabt auf das man hätte zeigen können, wenn jemand gefragt hätte, woher die Unterlagen genau stammen und am Ende wäre er dann vielleicht selber verdächtigt worden, sich die Unterlagen über seinen Beruf erschlichen zu haben und nun die Welle machen zu wollen (Wobei verkaufen ihm in dem Falle ja sicherlich mehr Geld gebracht und weniger Risiko bedeutet hätte, wenn er im Besitz der ganzen Datenbank gewesen wäre bzw. diese raubkopiert hätte, statt nur eine Klage anzustrengen. Aber da man sich in Deutschland schon bei der Weblink-Haftung und der Störerhaftung gerne mal an unschuldigen Leuten schadlos hält, wenn man den wirklich Schuldigen nicht fassen kann, verstehe ich, warum mein Freund da lieber nichts riskieren möchte.).

Ich denke, dass es in Deutschland wie auch anderswo Zeit wird zu erkennen, dass man ABSOLUT KEINEN PC am Internet jemals sicher bekommt. Nicht einmal annähernd. Und "ein bisschen sicher" kommt mir ohnehin immer so vor wie "ein bisschen schwanger". Server und Rechner mit sensiblen Daten darauf brauchen kein neues Betriebssystem, sie dürfen einfach keine Verbindung mehr ins Internet bekommen.

Wegen Landesverrat sollte man derzeit also vielleicht lieber die deutschen Behörden verklagen und nicht die Blogger von Netzpolitik.org und das nicht nur, weil schon Festplatten bei eBay verkauft wurden auf denen Dienstpläne, Informationen über Fahrzeugpanzerung und Fahrtrouten von Sicherheitspersonal offizieller deutscher Würdenträger zu finden waren, sondern weil es an noch ganz anderer Stelle lichterloh brennt, an der sich nicht nur ein paar deutsche Würdenträger den Hintern verbrennen können, sondern diese gleich noch das gesamte Volk in den Flammen rösten bzw. sensible Regierungs- und Bevölkerungsdaten an Cyberkriminelle ausliefern, weil sie offensichtlich keinen Plan von IT-Sicherheit/Datenschutz haben. Da ist es inzwischen weder 5 vor 12, noch 5 nach 12, sondern schon eher kurz vor Feierabend und das wird gewiss kein schöner Feierabend.
 
@resilience: Ich finde, du solltest mehr in's Detail gehen!
 
@heidenf: die vielen unnötigen 0en und 1en auf den armen Winfuture Servern...

Die Server haben auch Gefühle,.das kannst du ihnen doch nicht antun...
 
@resilience: "so dass man schon von komplettem Autausch der Hardware sprach, weil die angeblich infiziert sein müsse" - Die Chinesen haben doch bereits überall Ihre Chips drin http://www.stern.de/digital/homeentertainment/versteckter-chip-in-haushaltsgeraeten-der-spion-aus-dem-buegeleisen-3308612.html
 
Was machen die Versager in den IT-Abteilungen da eigentlich? Dafür kassieren die noch Gehalt von meinem Steuergeld?
 
@Jas0nK: Die ITler können nur Mittel beantragen um alles zu aktualiesieren. Nur da hört in Behörden oft der Spass auf weil das nicht wenig Geld ist. Somit werden die Anträge abgelehnt oder auf Eis gelegt und alles schön vor sich hin geschoben. In meinem ehmaligen Büro (Stadt) laufen die Rechner auch heute noch mit Win 95. Und ja, die sind noch mit dem Internet verbunden weil das Büro nicht im Rathaus ist aber die Daten auf den Server im Rathaus müssen. ;-) Daran wird sich auch nichts ändern. Die IT läuft eben auf Sparflamme. Denn es läuft ja alles. Daher sieht man im Rathaus eben kein Bedarf an aktualiesierungen.
 
@Akkon31/41: Meinste das ist bei uns anders? Wir habens trotzdem geschafft. Die Berliner könnens einfach nicht. Zuviel Links ist scheinbar nicht gut und wirtschaftlich! Ihr solltet in Berlin ne bayrische Troika bekommen. Ich mein das Ernst. Die Berliner Behörden kriegen NIX hin, aber meiner Schwester 50 Euro auszahlen können weil se als Studention nach Berlin geht und zuätzliche Toiletten für Transgender einführen. Für son Müll is Geld da!
 
@Jas0nK: Unterbezahlt und unterbesetzt sein, keine Mittel bekommen für Infrastruktur bekommen, sich den Mund fusselig reden und ignoriert werden vermutlich.
 
@Jas0nK: Sehe ich genauso: Unterbezahlt, unterbesetzt und ignoriert hin oder her. Auch dann kann man wenn es so akut wird, und man den Job gewissenhaft ausführt, alarm schlagen. Das wäre sogar die Pflicht. Es geht da um sensible Daten, wo Menschen hinterstehen.
 
die spielen bestimmt eh keine updates ein :))
 
würd sagen, erstma auf Server 2003 R2 updaten - das hält dann wieder 5 Jahre :D
 
@Screenzocker13: Nö, 2003 und 2003 sind beide aus dem support raus.
 
Politversager eben
 
Wir haben hier auch öffentlichen Dienst, wir haben dieselben Probleme wie die Berliner, wir haben auch Programme, die nicht mehr drauf laufen, und wir haben auch kein Geld. Trotzdem ist am Stichtag der letzte Server abgeschaltet worden, weil wir uns lange vorher Gedanken gemacht haben und auch seit mehreren Jahren kommuniziert haben, das wir nicht jede Sonderbutze bis zum Schluss und darüber hinaus unterstützen werden. Jede ABteilung wusste lange vorher, das Sie zu uns kommen kann um mit uns über die Umstiegsprobleme zu reden und bei einigen XP Kisten, zur Not auch abgeschottete Kisten dahinzustellen, die eben nicht mit dem Rest des Netzes verbunden sind damit die Uraltsoftware weiterlaufen kann. Es gibt für alles Lösungen und deswegen regt mich diese rotz Berliner Mentalität alla scheissegal einfach auf. Die sollten keinen Cent mehr bekommen von anderen Ländern, die können es nämlich einfach nicht. Oder ein paar Bayern dahinschicken, damit die mal lernen mit Geld umzugehen. Wie in Griechenland.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.