Windows Server 2008 und SQL Server 2008: Support-Ende als Chance zum Modernisieren

Autor/Redakteur: Kim Vahsen, Head of Cloud Solution Specialists DACH bei SoftwareONE/gg

Mit dem Auslaufen der Extended Security Updates für die Betriebs- und Datenbankmanagementsysteme Windows Server 2008 und SQL Server 2008 liegt es nahe, diese in Microsoft Azure umzuziehen. Die Migration schafft Sicherheit, bietet im Hybrid-Modell Kostenvorteile, setzt aber sorgfältiges Planen voraus, um die Erneuerung richtig anzugehen. Neben der Cloud-Option gibt es zwei Varianten, die den lokalen Betrieb absichern.

Hersteller Microsoft stellt für seine Software standardmäßig fünf Jahre lang Qualitäts-Updates und neue Features sowie Security-Fixes im Mainstream-Support bereit. In der darauffolgenden zweiten Phase, dem ebenfalls fünf Jahre währenden Extended-Support, gibt es keine Neuentwicklung mehr, sondern nur noch Updates für Sicherheit und Systemstabilität. Auch mit der Verlängerung ist jedoch am 14. Januar 2020 für Windows Server 2008 und Windows Server 2008 R2 Schluss. Das Support-Ende betrifft zudem die Anwender von Small Business Server 2011, da dieses Betriebssystem auf Windows Server 2008 R2 basiert.  Bereits Geschichte ist das Patchen von SQL Server 2008 und SQL Server 2008 R2, galt doch für diese Datenbankmanagementsysteme der Stichtag 9. Juli 2019.

Wenn ein System nicht mehr gepatcht wird, schließt der Hersteller keine Sicherheitslücken mehr, weshalb unternehmenswichtige Zertifizierungen verloren gehen können. In dem Fall gehen Unternehmen ein hohes Risiko ein. Dieses bleibt auch beim Einsatz von Firewalls bestehen, die nicht ausreichend schützen, da Schadsoftware speziell auf Sicherheitslücken abzielt – wie 2017 WannaCry. Die Ransomware verbreitete sich auch später noch massiv. So ordnete der Sicherheitsbericht von Kaspersky für das dritte Quartal 2018 fast zwei Drittel der Ransomware-Attacken WannaCry zu. Der Kryptotrojaner drang über eine Sicherheitslücke in den Windows-Dateifreigaben (SMB) ein, was ihm allerdings leicht gemacht wurde. Denn viele Unternehmen spielten das Sicherheitsupdate nicht ein, welches Microsoft zwei Monate vor der ersten Attacke veröffentlichte hatte. Zudem sei daran erinnert, dass die DSGVO Unternehmen dazu verpflichtet, ihre IT nach „dem aktuellen Stand der Technik“ zu schützen.

Betroffene Systeme identifizieren

Zunächst sollten sich Unternehmen einen Überblick verschaffen, wo wie viel ungepatchte Software bei ihnen läuft oder noch laufen wird. Diese Inventarisierung liefert die Basis, zu entscheiden, wie mit dem Systemen verfahren werden soll. Risikoarm kann es nach dem Support-Ende auf drei Arten weitergehen: entweder mit der Migration in die Microsoft-Azure-Cloud, dem Upgrade auf eine neuere On-Premises-Version oder dem Erwerb von Extended Security Updates. Welche Option am besten passt, hängt von den individuellen Anforderungen eines Unternehmens ab, was auch dessen langfristiges Vorgehen einschließt. Der nachfolgende Überblick zu den drei gangbaren Wegen zeigt mögliche Vor- und Nachteile auf, die Unternehmen für sich abwägen müssen.

1. Azure-Migration

Das Support-Ende von Windows Server 2008 und SQL Server 2008 lässt sich zum Anlass nehmen, eine Cloud-Strategie zu entwickeln oder bestehende Konzepte anzupassen und anzugehen. Microsoft bietet nun zusätzliche Anreize für das Verlagern von Workload zu Azure. So erhalten diejenigen Extended Security für ihre Windows Server 2008 oder SQL Server 2008 drei Jahre lang kostenlos, die diese Systeme zu Azure schieben. Das funktioniert ohne große Code-Änderungen einfach per „Lift and Shift“, wobei Unternehmen zunächst ihre Server wie gehabt lokal weiter betreiben können. Ihnen bleiben drei Jahre Zeit für den Cloud-Einstieg.