Obwohl es keine kostenlosen Security-Patches mehr für Windows Server 2003 gibt, laufen immer noch mehr als ein Fünftel aller Webseiten auf einem Rechner mit dem veralteten Betriebssystem.
Seit einem Monat gibt es keine frei verfgbaren Sicherheits-Patches fr Windows Server 2003 mehr. Diese Tatsache scheint vielen Website-Hostern aber gleichgültig zu sein. Laut einer neuen Analyse von Netcraft laufen weltweit immer noch 600'000 direkt mit dem Internet verbundene Server mit dem veralteten Betriebssystem. Auf ihnen werden nach Angaben von Netcraft etwa 175 Millionen Webseiten betrieben. Das sei mehr als ein Fünftel aller weltweit existierenden Webseiten.
Microsoft bietet zwar weiterhin kostenpflichtige Patches für Windows Server 2003 an. Man sollte aber davon ausgehen, dass nur ein Teil der Server-Betreiber diese nicht gerade günstigen Dienste nutzt. Nach bisher unbestätigten Schätzungen kosten Security-Patches für Windows Server 2003 im ersten Jahr 600 Dollar, im zweiten 1200 Dollar und im dritten 1800 Dollar. Auf 73 Prozent der gefundenen Windows Server 2003 laufen immer noch die ebenfalls veralteten Internet Information Services 6.0 von Microsoft, auf anderen entdeckte Netcraft diverse andere Web-Server-Software wie Apache 2.2.8. In dieser Version existieren zahlreiche mittlerweile gepatchte Sicherheitslöcher, darunter teilweise auch schwere Lücken. Jeweils mehr als ein Viertel der Windows Server 2003 befindet sich laut Netcraft in China und den USA. Allein der chinesische Internet-Konzern Alibaba betreibe noch mehr als 24'000 Maschinen mit Windows Server 2003. Selbst manche Banken nutzen anscheinend immer noch das veraltete Server-Betriebssystem: Netcraft nennt unter anderem Natwest, ANZ und die Grupo Bancolombia. Microsoft wies bereits im Juli einem Blog-Post und einem Whitepaper(PDF) auf rechtliche Gefahren hin, die sich für Unternehmen ergeben, die weiterhin Windows Server 2003 einsetzen. So seien IT-Verantwortliche persönlich haftbar, wenn sie keine ausreichende Risikovorsorge betreiben. Aber auch andere Mitarbeiter würden haften, wenn sie die Geschäftsleitung nicht rechtzeitig und vollständig über bestehende Risiken informieren. * Andreas Fischer ist Redaktor bei com! professional, einer deutschen Schwesterpublikation von Computerworld
