Supportende für Windows XP seit April 2014.

Umgang mit dem Ende des Supports für Windows XP.

Seit dem 8. April 2014 bietet der Hersteller Microsoft keinen Support mehr für sein Betriebssystem Windows XP (Service Pack 3). Dies bedeutet, dass

  • danach gefundene sicherheitskritische Fehler im Betriebssystem von Microsoft nicht mehr behoben werden und es keine allgemein verfügbaren Updates oder Patches mehr geben wird.
  • Systeme, die unter Windows XP laufen, danach massiv gefährdet sind, durch Angreifer oder Schadsoftware kompromittiert oder im Betrieb gestört zu werden.

Der Support für Windows XP Service Pack 1 und 2 ist bereits abgelaufen, ebenso für ältere Versionen von Windows (z. B. NT und 2000). Der Support von Windows XP Embedded wird am 12. Januar 2016 auslaufen. Support-Daten für andere Embedded- und Server-Versionen können unter http://support.microsoft.com/gp/lifeselect abgerufen werden.

Es besteht die Befürchtung, dass neue in Windows XP gefundene Schwachstellen von Kriminellen bewusst zurückgehalten und erst nach Ende des Supports aktiv eingesetzt werden, um Gegenmaßnahmen zu erschweren. Darüber hinaus ist anzunehmen, dass mancher zukünftig entdeckte Angriffsweg für moderne Windows-Versionen auch bei Windows XP funktioniert und von Angreifern durch eine Analyse der Patches nutzbar gemacht werden kann. Zusammen führt dies zu einer erhöhten Bedrohungslage für Systeme mit veralteten Betriebssystemen.

Dieses Dokument richtet sich an Systemintegratoren, Anlagenbauer und -Betreiber im industriellen Umfeld und gibt einen Überblick über die Herausforderungen und Möglichkeiten einer Migration auf eine neuere Betriebssystemversion.


Empfehlungen

Bestehende Systeme, auf denen Windows XP oder eine andere veraltete Version eines Betriebssystems läuft, sollten schnellstmöglich auf eine moderne Version migriert werden. Geschieht dies nicht, so ist nicht nur das betroffene, sondern auch jedes damit vernetzte System einer stark erhöhten Gefährdung ausgesetzt. Dies gilt selbst dann, wenn auf den anderen Systemen im Netz moderne Betriebssysteme im Einsatz sind, da das Altsystem als Einfallstor genutzt werden und beispielsweise auch Zugangskennungen enthalten kann, die in anderen Systemen mitunter nutzbar sind.

Im industriellen Umfeld kann es vorkommen, dass ein vorhandenes Altsystem nicht mit einem modernen Betriebssystem ausgestattet werden kann.

Gründe hierfür können sein:

  • Vorhandene, nicht ersetzbare Software ist unter modernen Betriebssystemen nicht lauffähig.
  • Bestimmte Funktionalität vorhandener Software ist auf eine alte Version des Internet Explorers angewiesen, welche auf modernen Betriebssystemen nicht lauffähig ist.
  • Die verwendete Hardware ist nicht leistungsfähig genug.
  • Bestehende Gewährleistungs- oder Wartungsverträge schließen eine Veränderung aus.

Es sollte genau geprüft werden, ob ein modernes Betriebssystem nicht doch zum Einsatz kommen könnte. Möglichkeiten hierzu können beispielsweise sein:

  • Nutzung des Kompatibilitätsmodus, welcher individuell für jedes Programm eingeschaltet und konfiguriert werden kann.
  • Überprüfung, ob eine neuere Version der betreffenden Software existiert und eine Migration mit akzeptablem Aufwand (Lizenzen, Programmierung) möglich ist.

Die Verwendung des in einigen Versionen von Windows 7 vorhandenen „XP-Modus“ ist keine sichere Möglichkeit, ältere Programme lauffähig zu machen. Hierbei wird ein vollständiges Windows XP virtuell bereitgestellt, für das es ebenfalls keinen Support mehr gibt und welches die Sicherheit des Gesamtsystems gefährdet.

Wird ein Altsystem mit nicht mehr unterstütztem Betriebssystem weiter betrieben, so muss dieses besonders gut geschützt werden, um die Sicherheit der gesamten Organisation nicht zu gefährden. Maßnahmen hierfür können beispielsweise sein:

  • Verlagerung von allen Programmen, Diensten, Zugängen und Benutzerkonten, die nicht unbedingt auf diesem System laufen müssen, auf andere Systeme mit modernen Betriebssystemen, um die Angriffsfläche zu verkleinern.
  • Installation von Schutzmechanismen, wie Application Whitelisting, welche typischerweise auch noch für veraltete Betriebssysteme unterstützt werden, oder die Nutzung der Richtlinien für Softwareeinschränkungen.
  • Isolierung des Systems so weit wie möglich, idealerweise durch vollständige Trennung vom Rest des Netzes.
  • Ist eine Trennung nicht möglich, so sollte das System in ein spezielles Netzsegment platziert, durch möglichst restriktive Firewalls geschützt und mittels Intrusion-Detection-Systemen gesondert überwacht werden.

Quelle: BSI-Veröffentlichungen zur Cyber-Sicherheit


Sie wollen sich bewerben, dann klicken Sie bitte hier
-> Bewerbungsformular

Sie wollen sich an der Home-Office-Lösung anmelden
-> Home-Office Anmeldung

 

 Sie wollen eine Störung melden, dann klicken Sie bitte hier
-> Störungsformular

 

📞