vladimircaribb - Fotolia
Ältere Microsoft SQL- Server ohne Support: Das können Sie tun
Nach einer Untersuchung laufen derzeit ein Drittel aller eingesetzten Microsoft SQL-Server ohne Support. Das kann dramatische Auswirkungen auf die Sicherheit der Daten haben.
Derzeit laufen laut Microsoft ein Drittel aller Datenbankserver auf Basis von Microsoft SQL Server ohne Support. Schlussendlich sind das alle SQL-Server der Versionen vor SQL Server 2016. Seit Juli 2024 ist auch SQL Server 2014 aus dem erweiterten Support gefallen und erhält damit keine Updates mehr. Auch Sicherheits-Updates wird es ab jetzt von Microsoft keine mehr geben. Das kann Folgen für Unternehmen haben, die nicht zu einer aktuellen Version wechseln.
Microsoft-Produkte sollten nur im Notfall außerhalb des Mainstream-Supports laufen
Microsoft empfiehlt bei allen seinen Produkten den Betrieb im Mainstream-Support. Nur in dieser Support-Stufe garantiert Microsoft, dass die jeweilige Software auch mit neuen Serverversionen, Softwareprodukten und Cloud-Lösungen zusammenarbeitet. Produkte außerhalb des Mainstream-Supports können nicht mehr mit neuen Produkten, Lösungen oder Plattformen verbunden werden. Ignorieren das Unternehmen, kann die Software aber zumindest in der jeweils vorhandenen Umgebung betrieben werden. Aber auch hier kann es zu Problemen kommen, zum Beispiel wenn sich die Versionen der Arbeitsstationen, Anwendungen, Server, von Active Directory oder Malware-/Backup-Agenten ändert. Mittlerweile befindet sich auch SQL Server 2017 nicht mehr im Mainstream-Support und SQL Server 2019 fällt Februar 2025 aus dieser Support-Stufe. Der erweiterte Support von SQL Server 2017 läuft zwar noch bis Oktober 2027 und der von SQL Server 2019 bis Januar 2030, aber dennoch kann es sinnvoll sein Pläne für die Umstellung zu SQL Server 2022 zu planen. Hier läuft der Mainstream-Support noch bis Januar 2028. Der erweiterte Support der Version ist bis Januar 2033 gegeben.
Fällt ein Produkt auch noch aus dem erweiterten Support, so wie jetzt SQL Server 2014, dann erhält das Produkt keine Software-Updates mehr und auch keinerlei Sicherheits-Updates. Dadurch entstehen über kurz oder lang Schwachstellen auf dem Server, die Angreifer ausnutzen können. Dabei spielt es keine Rolle, ob der Server mit dem Internet verbunden ist oder nicht. Natürlich ist ein aus dem Support gefallener SQL-Server noch dramatischer, aber auch bei internen Servern gibt es genügend Gefahren. Sobald ein Cyberkrimineller, zum Beispiel durch Phishing im Netzwerk eingedrungen ist, kann er von befallenen Arbeitsstationen aus Attacken im Netzwerk durchführen.
Es drohen hohe Strafen, wenn Cyberkriminelle veraltete SQL-Server ausnutzen
Gelingt es Angreifern auf Daten eines veralteten SQL-Servers zuzugreifen und Daten abzugreifen, oder zu kompromittieren, drohen einem Unternehmen große Probleme. Neben dem Verlust von Reputation, Vertrauen, Kundenaufträgen und damit verbundenen, finanziellen Folgen, besteht die Möglichkeit von Vertragsstrafen und Strafen wegen Verstoß gegen die DSGVO. Stehlen Angreifer von einem veralteten Datenbankserver personenbezogene Daten, hat ein Unternehmen schlussendlich diese Daten nicht so gesichert, wie es die DSGVO vorgibt.
Die erhöhte Verwundbarkeit gegenüber Malware und Ransomware kann zudem den Geschäftsbetrieb erheblich stören und dadurch zu weiteren finanziellen Verlusten führen. Darüber hinaus entstehen Compliance-Probleme, da viele Branchen und Gesetzgeber den Einsatz aktueller und sicherer Systeme vorschreiben. Fehlender Support bedeutet auch, dass keine technischen Hilfestellungen bei Problemen verfügbar sind, was zu längeren Ausfallzeiten und höherem Aufwand für die IT-Abteilung führen kann. Schließlich kann die veraltete Software mit neuen Anwendungen und Betriebssystemeninkompatibel sein, was die Innovationsfähigkeit und Wettbewerbsfähigkeit des Unternehmens beeinträchtigt.
Was sollten Unternehmen mit Microsoft SQL Server 2014 und älter jetzt tun?
Setzen Unternehmen auf SQL Server 2014 und älter, sollten die Verantwortlichen schnellstmöglich aktiv werden. Zunächst sollten die Server zumindest auf den aktuellen Patch-Stand gebracht werden. Außerdem sollten Adminssicherstellen, dass der Server mit Sicherheits-Tools so sicher wie nur möglich im Einsatz ist. Firewall-Regeln, Berechtigungen und Komponenten sollten auf die maximal mögliche Sicherheitsstufe gebracht werden.
Schlussendlich sollten Firmen entscheiden, ob sie weiterhin auf Microsoft SQL Server setzen wollen, oder auf eine andere Datenbanklösung. Zu dieser sollte schnellstmöglich migriert werden, um den Zeitraum der Gefährdung so weit wie möglich zu minimieren. Hier gilt es natürlich zu beachten, ob die ganzen Tools, Anwendungen und Clients mit der neuen Version oder dem neuen Produkt kompatibel sind. Bei SQL Server 2014 gibt es eine weitere Möglichkeit, auf die wir nachfolgend eingehen.
Extended Security Updates für SQL Server 2014 nutzen
Microsoft bietet nicht nur für veraltete Betriebssysteme, sondern auch für SQL Server 2014 Extended Security Updates (ESU) an. Damit können Unternehmen kostenpflichtig in drei Stufen jeweils für ein Jahr Updates kaufen. ESU steht maximal bis 12.07.2027 zur Verfügung. Ab diesem Datum erhalten auch Server mit SQL Server 2014 und abonnierten ESU keine Updates mehr. Dazu kommt, dass die Preise für ESU jedes Jahr deutlich teurer werden. Unternehmen, die bisher noch keine Pläne für Migration haben, sollten zumindest das erste Jahr mit ESU abdecken und dann schnellstmöglich zu einer aktuellen Version migrieren oder ein anderes Produkt einsetzen. SQL Server 2022 erhält zum Beispiel Updates bis Januar 2033.
Umstieg in die Cloud ist eine weitere Möglichkeit
Microsoft bietet in Azure verschiedene Möglichkeiten, um SQL-Datenbanken in der Cloud zu betreiben. Neben verwalteten Datenbanken und verwalteten Datenbankservern, können Unternehmen auch VMs in Azure betreiben und die darauf installierte SQL-Version selbst verwalten. Ein Vorteil dabei ist, dass hier ESU bereits in der Buchung enthalten ist. Dadurch kann die Version aus Kompatibilitätsgründen erhalten bleiben. Damit das funktioniert, muss natürlich die Verbindung zum Internet ausreichend dimensioniert sein.
Azure Stack HCI mit Azure-VMs nutzen
Beim Einsatz von Azure Stack HCI betreiben Unternehmen einen eigenen Cluster mit zertifizierter Hardware im lokalen Rechenzentrum. Die Lizenzierung erfolgt auf Basis der Nutzung, wie bei Azure. Der Unterschied zum Betrieb in der Cloud ist aber, dass Server und alle Daten im lokalen Rechenzentrum verbleiben. Dadurch behalten Unternehmen die volle Datenkontrolle, profitieren aber von der Möglichkeit ESU ohne Kosten nutzen zu können. Basis von Azure Stack HCI ist im Grunde genommen Windows Server 2022 mit aktivierter Hyper-V-Virtualisierung.