Betrieb von Rechnern mit veralteten Betriebssystemen

Rechner für deren Betriebssysteme keine Updates und Sicherheits-Patches mehr vom Hersteller zur Verfügung gestellt bekommen müssen aus Sicherheitsgründen gesondert behandelt werden (Windows XP, Windows 7, Windows Server 2003, 2008 …). Bei Sicherheitsvorfällen, die auf veraltetet Betriebssysteme zurückzuführen sind, liegt  ein Mitverschulden der verantwortlichen Stelle vor. Die Konsequenzen können hier sehr weitreichend sein.

Folgende Maßnahmen sollten als „Notbehelf“ ergriffen und entsprechend dokumentiert werden:

  • Es ist zuerst zu klären ob die veralteten Rechner nicht doch noch kurzfristig upgedatet werden können. Wenn dies möglich wäre, dann wäre dies die beste Option.
  • Die verbleibenden Rechner sind im Geräte-Inventar (z. B. CMDB) besonders als kritische Systeme zu kennzeichnen.
  • Die Rechner sind so zu beschriften, damit es zu keiner eventuellen Aufgabenerweiterung kommen kann.
  • Besonders schützenswerte Daten dürfen auf diesen Rechnern nicht verarbeitet werden.
  • Diese Rechner dürfen nicht mit E-Mail Client und Web-Browser installiert werden.
  • Diese Rechner dürfen nicht als Test- oder Ersatzrechner betrieben werden.
  • Dieser Rechner müssen an der Firewall geblockt werden, damit es auf diesem Weg zu keinem Befall mit Malware kommen kann.
  • Sollte dies nicht möglich sein, so sind die Firewall-Regel restriktiv gesetzt werden. Port 80, 443, 8080 etc. dürfen nicht frei gegeben werden. Es ist Einsatz eines Proxys ist zu empfehlen.
  • Unter Umständen ist es sinnvoll diese Rechner in ein VLAN zu stellen, um im Falle eines Befalls sofort hierauf mit Sperre des VLANs reagieren zu können.
  • Es wäre sinnvoll diese Rechner mit eigener Firewall zu versehen bzw. Segmente im LAN zu bilden, um die Infektionsgefahr des gesamten Netzwerkes zu erschweren.
  • In regelmäßigen Abständen muss die Möglichkeit zur Migration von Alt-Systemen geprüft und dokumentiert werden (z. B. alle 3 Monate).