Die Herausforderungen und der Aufwand für das Updaten von aktuellen und herstellerunterstützten Systemen können für viele Industrial-IT-Verantwortliche bereits sehr hoch sein. Der Umgang mit „abgelaufenen Systemen“, oder besser gesagt End-of-Life-Systemen, ist dagegen noch einmal ein ganz anderes Thema. In diesem Artikel erfahren Sie, warum das Management von eben diesen Systemen dennoch ein wichtiger Bestandteil der Security-Strategie sein sollte.
Wenn von End-of-Life gesprochen wird, werden häufig unterschiedliche Daten vermischt. Daher klären wir Sie zunächst einmal über die drei wichtigsten Formen auf.
End-of-Support
Der Hersteller bietet ab einem bestimmten Datum keine Updates mehr an. Dies betrifft sowohl Funktions- als auch Sicherheitsupdates. Am Beispiel des Betriebssystems MS Windows 7 war das der 14.01.20201.
End-of-License
Das Produkt kann nicht mehr lizensiert werden und darf zum Beispiel auch durch OEMs nicht mehr weitervertrieben werden. Dieses Datum liegt häufig einige Jahre nach dem Support-Ende. Dies betrifft vor allem Embedded-Lizenzen, wie beispielweise Windows 7 Embedded am 27.07.2025.
End-of-Life
Unter End-of-Life wird in der Regel das “End-of-License” verstanden. Das heißt, das abgekündigte Softwareprodukt ist ab diesem Zeitpunkt nicht mehr verfügbar. Zusätzlich kommt ab hier neben den sicherheitsrelevanten Herausforderungen noch das Problem hinzu, dass der Hersteller je nach Lizenztyp gegebenenfalls auch keinen Ersatz mehr liefern kann. Am Beispiel von Windows 8.1 ist dies der 10.01.20232.
Wird beispielsweise von Microsoft ein Betriebssystem oder eine andere Software abgekündigt, so werden nach dem Supportzeitraum keine Fehlerbehebungen oder gar Funktionsupdates mehr zur Verfügung gestellt.
Wie sind die heute bekannten Patches, Updates und Upgrades überhaupt entstanden? In diesem Artikel erfahren Sie mehr dazu.
Eine Ausnahme bildet für gewisse Übergangszeiträume und lediglich für sicherheitsrelevante Updates unter anderem das ESU-Programm (Extended Security Update). Dazu schreibt Microsoft in der Rubrik „Häufig gestellte Fragen zur Lifecycle-Richtlinie“ folgendes:
„… Es enthält kritische* und/oder wichtige* Sicherheitsupdates für einen Zeitraum von maximal drei Jahren nach dem Enddatum des erweiterten Supports für das Produkt. ESUs enthalten keine neuen Funktionen, vom Kunden angeforderte, nicht sicherheitsrelevante Updates oder Entwurfsänderungsanforderungen.
Alle Windows 7- und Windows Server 2008/R2-Kunden erhielten am 14. Januar 2020 ein Update, da das Betriebssystem bis dahin unterstützt wurde. Updates für diese Betriebssysteme nach dem 14. Januar 2020 werden nur ESU-Kunden zur Verfügung gestellt. … “3
Für Enterprise-Kunden können somit für einen Übergangszeitraum von maximal drei Jahren weitere Sicherheitsupdates bereitgestellt werden. Voraussetzung dafür ist allerdings die Erfüllung gewisser Anforderungen, wie zum Beispiel Betriebssystemedition, Lizensierung und zusätzliche Verträge.4
Für Windows 7 bedeutet dies das endgültige Ende von Sicherheitsupdates zum 10.01.20235 . Im Fall der RDP-Schwachstelle „BlueKeep“ wurden unabhängig vom ESU-Programm aufgrund der potenziellen Tragweite jedoch sogar Patches bis Windows XP, respektive Server 2003, bereitgestellt.
Nach über 10 Jahren stellte Microsoft am 14. Januar 2020 endgültig den technischen Support und die Bereitstellung von Updates ein. Wir zeigen Ihnen, was jetzt zu tun ist.
Nicht ganz, zumindest nicht in Produktionsumgebungen. Microsoft System Center Configuration Manager und viele andere Office Patch- und Configuration-Management-Lösungen unterstützen derzeit lediglich Betriebssysteme ab Windows 8.1 und auch Versuche den Client trotzdem auf irgendeine Art zum Laufen zu bewegen scheinen nicht erfolgreich.6
Das heißt aber im Umkehrschluss, dass Systeme gegebenenfalls noch am Leben gehalten und durch das ESU-Programm offiziell mit sicherheitsrelevanten Updates über WSUS versorgt werden können, diese Geräte aber ansonsten nicht mehr gemanagt werden. In der „Führungslinie für die Kerninfrastruktur“ gibt Microsoft daher folgende Empfehlung:
„ … Produkte, die über ihren Supportlebenszyklus hinausgehen, werden für die Verwendung mit Configuration Manager nicht unterstützt. Dies umfasst alle Produkte, die unter das ESU-Programm fallen. Im Rahmen des ESU-Programms veröffentlichte Sicherheitsupdates werden in Windows Server Update Services (WSUS) veröffentlicht. Diese Updates werden in der Configuration Manager-Konsole angezeigt. Während Produkte, die unter das ESU-Programm fallen, nicht mehr für die Verwendung mit Configuration Manager unterstützt werden, kann die neueste veröffentlichte Version von Configuration Manager Current Branch verwendet werden, um Windows im Programm veröffentlichte Sicherheitsupdates bereitzustellen.
Clientverwaltungsfeatures, die sich nicht auf Windows Softwareupdateverwaltung oder Betriebssystembereitstellung beziehen, werden nicht mehr auf den Betriebssystemen getestet, die unter das ESU-Programm fallen, und wir können nicht garantieren, dass sie weiterhin funktionieren. Es wird dringend empfohlen, so bald wie möglich ein Upgrade auf eine aktuelle Version des Betriebssystems durchzuführen, um Unterstützung für die Clientverwaltung zu erhalten. … “7
Das heißt: Drittanbieterupdates, zum Beispiel für die Log4J-Schwachstelle8 Ende 2021, müssten damit händisch oder bestenfalls gescripted verteilt werden. Auch ein Tausch eingesetzter Endpoint Protection, Fernwartungssoftware oder AV-Scanner ist somit auf diesen Systemen nicht mehr ohne größeren Aufwand möglich.
Da sich jedoch gerade im industriellen Umfeld Betriebssysteme nicht immer problemlos updaten oder ersetzen lassen, ist es nicht ungewöhnlich, dass sogar MS Windows XP oder noch ältere Betriebssystemversionen im Einsatz sind.
Ein Beispiel:
In einer fiktiven, aber nicht außergewöhnlichen Produktionsumgebung9 bestehend aus 300 Windows-Geräten, davon 15 Windows XP, 135 Windows 7 (Embedded und Professional) und 150 Windows 10 (LTSB und LTSC), würde dies bedeuten, dass 50 % der Geräte nicht mehr aktiv verwaltet werden können und im Notfall einen sehr hohen manuellen Aufwand erzeugen.
Häufig werden diese Geräte segmentiert und mittels Firewalls oder Edge-Geräten so weit möglich vom restlichen Netz separiert.
Aktuelle Schadsoftware wie zum Beispiel Raspberry Robin zeigt aber bereits Ansätze, dass sich die Schadsoftware nach einer Verbreitung und Infektion des Erstgerätes über einen USB-Stick weiter über offene Schwachstellen im angeschlossenen Segment ausbreiten kann.10
Auch wenn Updates für diese veralteten Betriebssysteme entweder gar nicht oder nur noch in seltenen Ausnahmefällen bereitgestellt werden, gilt es im Rahmen der täglichen Arbeit oder von Security-Guidelines noch einige Aktionen und Maßnahmen, die regelmäßig durchgeführt werden müssen.
Dazu zählen:
Bei der Umsetzung all dieser Aufgaben können Sie die Softwarelösung ondeso SR einsetzen. ondeso SR wurde speziell für diese Umgebungen und alle Aufgaben rund um das Life-Cycle-Management von Industrial IT ab Windows XP entwickelt und kann nicht nur bei den aufgezählten Maßnahmen unterstützen, sondern die Abläufe vollständig automatisieren und so maßgeblich zur Fehlerminimierung, Effizienzsteigerung und Skalierung beitragen.
Unser Tipp: Testen Sie ondeso SR 30 Tage lang kostenlos.
Mehr Infos dazu finden Sie hier.
Eine Maschine, welche einst eine siebenstellige Investition dargestellt hat, funktioniert technisch immer noch, auch wenn das zugrundeliegende Betriebssystem für den Steuerungs-PC veraltet ist. Da die verwendete Software sehr speziell und gegebenenfalls individuell angepasst und konfiguriert wurde, kann diese nicht ohne erheblichen Aufwand oder teilweise sogar gar nicht getauscht werden. Daraus folgt, dass auch das zugrundeliegende Betriebssystem und andere Software- und Konfigurationsbestandteile weiter betrieben werden müssen – aber sicher.
Endpoint-Management-Lösungen aus Office-Umgebungen stellen die Unterstützung zur Verwaltung solcher Geräte mit dem End-of-Support oder spätestens End-of-Life vollständig ein, weswegen viele Aufgaben, die auf diesen Geräten auch weiterhin noch durchgeführt werden müssen, nur noch manuell erledigt werden können. Um Zeit und Kosten zu sparen und die Sicherheit über die Perimeter hinweg auch auf den Endgeräten auf einem möglichst hohen Niveau halten zu können, sind Speziallösungen für diese Umgebungen wie ondeso SR ein Must-have. Die Investition rechnet sich im Vergleich zu manuellen Lösungen bereits nach kurzer Zeit und bei einer geringen Anzahl von zu verwaltenden Endgeräten.
Nehmen Sie jetzt Kontakt zu uns auf und nennen Sie uns Ihre Herausforderungen. Gemeinsam entwickeln wir für Ihre OT-Systeme passende Lösungen, damit Sie sich wieder auf die wesentlichen Dinge konzentrieren können.
Zögern Sie nicht, mich zu kontaktieren – ich helfe Ihnen gerne weiter.
Lars Pachur, Account Manager
2 https://learn.microsoft.com/de-de/lifecycle/products/windows-81
3 https://docs.microsoft.com/de-de/lifecycle/faq/extended-security-updates
5 https://docs.microsoft.com/de-de/lifecycle/products/windows-7
6 https://www.prajwaldesai.com/sccm-client-on-windows-xp/
8 https://logging.apache.org/log4j/2.x/security.html#CVE-2021-44832
Mehr zu ondeso SR
Klicken Sie hier für mehr Informationen zu unserer Client-Management-Software für Industrie-PCs.
Unsere Referenzen
Welche Firmen setzen bei ihrem Industrial IT-Management auf ondeso? Hier finden Sie die Antwort.
Über ondeso
Hier erfahren Sie mehr über unser Unternehmen und unsere Expertise als Pionier und Marktführer.