Am 8. April hat Microsoft offiziell den Support für Windows XP eingestellt. Nun ist die erste Windows XP Sicherheitslücke aufgetaucht, die Nutzer des Alt-Systems dauerhaft gefährdet. Der Wechsel ist alternativlos.
Knapp drei Wochen hat es dann doch gedauert, bis die erste bleibende Windows XP Sicherheitslücke entdeckt wurde. Am 26. April meldete die IT-Sicherheitsfirma FireEye die undichte Stelle, die allerdings gar nicht das Betriebssystem selbst, sondern den Internet Explorer betrifft. Über diese Lücke können sich Angreifer in den Browser-Versionen 6 bis 11 Zugriff auf den Rechner des Nutzers verschaffen und beispielsweise Briefe und Fotos von der Festplatte kopieren, E-Mails verschicken oder die Webcam einschalten. Laut Microsoft Sicherheitsblog tritt dieses Szenario ein, „wenn der Angreifer das Opfer auf eine bösartig manipulierte Webseite locken kann, indem er es zum Klick auf einen Link in einer E-Mail oder per Instant Messenger versandten Nachricht verleitet.“
Nach ersten Erkenntnissen weiß Microsoft, dass der bei Internet Explorer 10 und 11 vorhandene, jedoch nicht standardmäßig aktivierte Erweiterte Geschützte Modus (zu finden unter: Internetoptionen / Erweitert) sowie das Enhanced Mitigation Experience Toolkit (EMET) 4.1 und EMET 5.0 Technical Preview gegen die derzeitig beobachteten Attacken schützen. Man werde nach Abschluss der derzeit laufenden Analyse über die nächsten Schritte entscheiden.
Windows XP Sicherheitslücke gefährdet Alt-Systeme
Das Sicherheitsrisiko ist nicht unerheblich. Rund 20 Prozent der Nutzer in Deutschland sind laut einer Erhebung des Datenanalyse-Dienstleisters Webtrekk mit den IE-Versionen 7 bis 10 unterwegs. Weltweit nutzt laut NetMarket Share rund jeder Vierte eine der Versionen 8 bis 10. Während Windows-Nutzer erwartungsgemäß in den nächsten Tagen mit einem Schließen der Lücke – beispielsweise über ein Update im Rahmen der monatlichen Sicherheitsbulletins oder auch außer der Reihe (Out of band) – rechnen können, bleiben Nutzer des Betriebssystems Windows XP erstmals außen vor. Am 8. April hat Microsoft den Support für die fast 13 Jahre alte Software eingestellt und schließt seit dem letzten Update auch keine Windows XP Sicherheitslücken mehr – auch nicht in dem Browser. Experten empfehlen, Rechner mit dem Alt-System vom Internet zu trennen.
Support-Ende setzt Unternehmen unter Druck
Auch wenn dieser Schritt nicht überraschend kommt, halten noch erstaunlich viele Nutzer an dem Oldie fest – und sind somit dauerhaft von der Windows XP Sicherheitslücke betroffen. Laut Webtrekk hatten im 4. Quartal 2013 noch 13,3 Prozent der Nutzer in Deutschland Windows XP als Desktop-Betriebssystem im Einsatz, darunter auch Behörden und Unternehmen. Weltweit sollen laut NetMarket Share sogar noch 27,69 Prozent das Betriebssystem nutzen. Der Grund: „Viele Unternehmen und insbesondere Behörden konnten sich in den Jahren 2010 oder 2011 die Migration nicht leisten“, erklärt Annette Jump, Research Direktorin von Gartner. „Die XP-Migration wurde verschoben, verlangsamt und manchmal ganz eingestellt.“
Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Was ist also zu tun? Auf eine Ausnahme hoffen, wie das „Wall Street Journal“ spekuliert. Das ist zu kurz gedacht. Windows XP spielt in der Strategie von Microsoft keine Rolle mehr. Das Unternehmen befindet sich im Umbruch. Der neue CEO Satya Nadella setzt auf Windows 8 und die Mobilstrategie. Mit der nun abgeschlossenen Übernahme von Nokias Mobilfunksparte will man verlorene Marktanteile im Wettbewerb mit Apple und Google zurückholen. Eine Herausforderung, die mit Stephen Elop gestemmt werden soll. Der ehemalige Microsoft-Manager war auf den Chefposten zu Nokia gewechselt und kehrt nun mit der Übernahme zu den Redmondern als Leiter der Abteilung „Devices and Services“ zurück.
Wie sollen Unternehmen handeln?
Dass Windows XP jetzt in den Fokus der Nachrichten rückt, ist sicher kein Nachteil für Microsoft. Der Druck wächst auf die Unternehmen, jetzt auf ein aktuelles System zu wechseln. Diesen Support lässt sich Microsoft bezahlen. So haben sich beispielsweise die britische und niederländische Regierung mit dem Software-Unternehmen auf eine Verlängerung der Sicherheitsupdates für das Betriebssystem Windows XP geeinigt. Bis zum Januar 2015 werden die Behörden auf ihren Rechnern weiterhin das Betriebssystem nutzen. Den Vertrag mit Microsoft lässt sich die britische Regierung umgerechnet 6,7 Millionen Euro kosten.
Das ist aber keine Lösung für alle. Kosten und Sicherheitsrisiko müssen abgewogen werden. Nur weil eine Sicherheitslücke besteht, heißt es nicht, dass auch ein konkretes Gefährdungsrisiko vorliegt. Geschlossene Systeme können in der Regel weiterbetrieben werden. Hinzu kommt, dass Microsoft die zum Beispiel in Geldautomaten verwendeten industriellen Varianten von Windows XP noch über das Jahr 2014 hinaus unterstützt.
Empfehlungen für den Wechsel gibt unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das entsprechende Dokument weist aber auch daraufhin, dass es mit einem Software-Update allein nicht getan ist, weil die verwendete Hardware möglicherweise nicht mehr leistungsfähig genug ist. Wer sich nach Abwägung aller Risiken und Kosten für den Wechsel entscheidet, muss sich auch darüber im Klaren sein, das eine Migration nicht von heute auf morgen gelingt. „Die Projekte laufen typischerweise zwischen 12 und 18 Monaten“, sagt Anette Jump. „Die Kosten variieren von Unternehmen zu Unternehmen sehr stark.“
Wer Windows treu bleiben möchte, sollte laut Bitkom-Empfehlung mindestens die Version Windows 7 installieren. Dieses Betriebssystem will Microsoft noch bis zum Jahr 2020 unterstützen. Für die neueste Version Windows 8.1 werden voraussichtlich bis Oktober 2023 Support und Sicherheits-Updates bereitgestellt. Alle Nutzer von Windows XP können sich auf der Webseite www.endofsupport.de von Microsoft über das weitere Vorgehen informieren.
Update, 1. Mai 2014: Trotz der Beendigung des Supports hat Microsoft heute ein Sicherheits-Update für alle Versionen von Windows XP angekündigt. „Wir haben heute beschlossen, allen Versionen von Windows XP ein Update zur Verfügung zu stellen“, erklärte Adrienne Hall, die zuständige Managerin von Microsoft. „Wir machen diese Ausnahme, weil das Ende des Supports erst so kurz zurückliegt.“ Hall weist die Nutzer darauf hin, die Windows XP Sicherheitslücke zu schließen und schnellstmöglich auf eine neuere Version von Windows zu wechseln. Weitere Details zum Update finden Sie im offiziellen Microsoft Blog.
