DIE ZUKUNFT GEHÖRT DENEN, DIE VORBEREITET SIND.

Nach Supportende veröffentlicht Microsoft keine Patches mehr – selbst kritische Sicherheitslücken bleiben unbehoben. Angreifer nutzen solche bekannten Schwachstellen verstärkt aus, was zu Datenlecks, Malware-Infektionen oder Ransomware-Angriffen führen kann. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Weiterbetrieb ungepatchter Server als fahrlässig ein. Es warnt, dass bei einer neuen kritischen Lücke schlimmstenfalls nur die sofortige Stilllegung betroffener Server vor einer Kompromittierung schützt – was die Geschäftskommunikation massiv beeinträchtigt. 

Kurz: Ohne Updates steigt das Cyber-Risiko exponentiell!

Unsupported Server laufen Gefahr, zum Single Point of Failure zu werden. Treiber-Inkompatibilitäten oder Software, die neue Versionen erfordert, lassen sich ohne Hersteller-Support kaum alleine lösen. Gleichzeitig müssen Admins bei neuen Bedrohungen Improvisationslösungen finden, da offizielle Fixes fehlen. Im Fall von Windows Server 2012/R2 z.B. bedeutet das Supportende Oktober 2023 (bzw. 2026 mit ESU) den Wegfall jeglicher Problembehebung durch Microsoft. Ungepatchte Server exponieren ganze Netzwerke: Das BSI betont, dass kompromittierte Server als Sprungbrett ins gesamte Firmennetz dienen können. Somit bedroht ein veralteter Server nicht nur sich selbst, sondern potenziell die gesamte IT-Infrastruktur eines Unternehmens (bis hin zu Komplettausfällen). Auch Drittanbieter-Support oder Ersatzteile für alte Server werden mit der Zeit rar – was Wartung verteuert und ungeplante Downtime bei Hardwaredefekten wahrscheinlich macht.

Rechtlich betrachtet können dauerhafte ungepatchte Systeme gegen die „Stand der Technik“-Anforderung in DSGVO & Co. verstoßen. Die DSGVO (Art. 32) verlangt angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten – Behörden sehen das fortgesetzte Nutzen veralteter Software als Verletzung dieser Pflicht an. Es gibt bereits bekannte Praxisfälle in Deutschland, die zu hohen DSGVO-Bußgeldern führten, weil Unternehmen veraltete Software trotz verfügbarer Updates weiterbetrieben hatten. Auch NIS2 (EU-Richtlinie für Netzwerk-/Informationssicherheit, ab Oktober 2024 in nationales Recht überführt) verschärft die Anforderungen: Betreiber kritischer und wichtiger Infrastrukturen – zu denen auch viele größere Mittelständler gehören – müssen ein rigoroses Patch- und Schwachstellenmanagement einführen. Ungepatchte Systeme würden hier klar gegen Pflichten zum Risikomanagement verstoßen. Das BSI-Gesetz (BSIG) in Deutschland verlangt für KRITIS-Unternehmen ebenfalls IT-Sicherheit auf aktuellem Stand; BSI-Vizepräsident Thomas Caspers stellte öffentlich klar, dass das Festhalten an nicht mehr unterstützter Software „weder technisch noch rechtlich vertretbar“ ist. Selbst für nicht direkt regulierte KMUs kann das Folgen haben: Cyber-Versicherungen oder Kunden fordern zunehmend Nachweise, dass keine unkalkulierbaren Altlasten im System schlummern. 

Fazit: Wer Server nach Supportende weiter betreibt, riskiert nicht nur die IT-Sicherheit, sondern auch regulatorische Konsequenzen (von Aufsichtsmaßnahmen bis Haftung) und gefährdet das Vertrauen von Kunden und Partnern.