Support-Ende von Windows XP: ein Vorgeschmack auf die Zukunft der IT-Sicherheit

Noch in diesem Jahr möchte die Bundesregierung ein Cybersecurity-Gesetz zum Schutz der kritischen Infrastrukturen vorstellen. Unternehmen sollen damit verpflichtet werden, ihre Infrastruktur schnellstmöglich zu sichern. Das Support-Ende von Windows XP illustriert, was Unternehmen und Gesetzgeber dann regelmäßig erwartet.

Bei der Diskussion über die Ursache dafür, warum Unternehmen trotz des absehbaren Support-Endes für ihre Windows-XP-Systeme so lange für die Migration brauchten – und immer noch brauchen – gehen die Meinungen weit auseinander. Im Gespräch mit ZDNet spricht Annette Jump, Research Direktorin von Gartner ein Tabu an: Die schlechte ökonomische Situation in den vergangenen Jahren.

jump-annette-gartnerAnette Jump, Research Direktorin bei Gartner (Bild: Gartner)

„Viele Unternehmen und insbesondere Behörden konnten sich in den Jahren 2010 oder 2011 die Migration nicht leisten. Die XP-Migration wurde verschoben, verlangsamt und manchmal ganz eingestellt“, so Jump. Es hätte einige Zeit gedauert, bis die Verantwortlichen gemerkt hätten, dass es ernst wird. Deshalb seien bis heute viele Projekte noch lange nicht abgeschlossen – inzwischen würden die Organisationen teuren Windows-XP-Support einkaufen, um weiter arbeiten zu können.

Bei der Gewichtung „Sicherheit gegen Kosten“ scheinen die Kosten häufig den internen Wettbewerb der Prinzipien zu gewinnen. Das ist keine gute Nachricht für alle diejenigen, die glauben durch eine Verpflichtung zur IT-Sicherheit innerhalb eines Cybersecurity-Gesetzes Sicherheit erzwingen zu können.

In einem Kreislauf von Attacken, Analysen, Anforderungslisten und Anwendungsupdates sollen die IT-Verantwortlichen die von ihnen betriebenen „Kritischen Infrastrukturen“ ständig auf den jeweils neuesten Stand der Technik bringen. Das Konzept klingt einfach und schlüssig – hat aber ein paar Haken. Am Beispiel des Bankenbereichs, der im Zusammenhang mit dem Support-Ende für Windows XP in den vergangene Wochen wieder einmal ins Gerede gekommen ist, lässt sich das gut illustrieren.

HIGHLIGHT

Windows XP: Support-Ende sorgt teilweise für Panik

Das nahende Ende des XP-Supports sorgt für panikartike Schlagzeilen. Sueddeutsche.de sieht ein "Fest für Hacker" kommen und "Die Welt" sorgt sich um die Sicherheit von Geldautomaten. Ganz so schlimm wird es aber vermutlich gar nicht werden.

Haken Nummer 1: Wo ist eigentlich die Sicherheitslücke?

Die Medien haben in den vergangenen Wochen aufgeregt vermeintliche Sicherheitslücken diskutiert, etwa in Geldautomaten. In ihnen liefe Windows XP als Betriebssystem, die Maschinen seien über die Netzwerke angreifbar, PIN-Nummern und Bargeld womöglich nur unzureichend geschützt.

Alles halb so schlimm, meint der Bundesverband der Deutschen Volksbanken und Raiffeisenbanken e. V.. Hier werde das Risiko als „sehr gering eingestuft“, teilte die Pressestelle auf Anfrage mit. Zwar werde auch in Geldautomaten im Geldautomatensystem der deutschen Kreditwirtschaft „teilweise Windows XP in unterschiedlichen Varianten noch verwendet“. Im Unterschied zu Desktop-Rechnern unterstützte Microsoft allerdings die in Geldautomaten verwendeten industriellen Varianten von Windows XP noch über das Jahr 2014 hinaus.

„Wo dies erforderlich ist, kann auch ein weiterer Support vom Hersteller durch kostenpflichtige Verträge gesichert werden“, so eine Sprecherin weiter. Ohnehin seien die Geldautomaten „nicht über das offene Internet erreichbar“. Der Betrieb in geschlossenen Banknetzwerken biete daher einen zusätzlichen Schutz. „Auch werden für die Sicherheit wesentliche Komponenten – die Tastatur zur PIN-Eingabe und die Chipkarte – geprüft und abgenommen.“

Eine Darstellung, der allerdings eine ganze Reihe von Sicherheitsexperten widersprechen: In vielen Geldautomaten liefe die Windows-XP-Desktop-Version. Zweitens werde bei den Maschinen Wartung und Support schon aus Kostengründen über das Internet geleistet. Drittens erfolgten die meisten Cyberangriffe aus den eigenen Reihen innerhalb der geschützten Netzwerke. Hier steht Aussage gegen Aussage, eine unabhängige Prüfung ist kaum möglich.

Bei detaillierten Recherchen bestätigen Sicherheitsexperten allerdings, dass sie wenigsten die PIN-Codes und andere Informationen der Kunden als geschützt erachten. Denn die würden innerhalb der Geldautomaten auf Embedded Systemen verarbeitet, sämtliche Informationen seien innerhalb der Maschinen oder in der Kommunikation mit dem Rechenzentrum sicher verschlüsselt und geschützt.

Haken Nummer 2: Wie ist das Risikomanagement?

„IT-Risiken sind schwer quantifizierbar. Ein effektives Gegensteuern gegen IT-Risiken durch eine finanzielle Absicherung allein ist nicht möglich“, unterstreicht ein Sprecher der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin). „Vielmehr müssen konkrete technische und organisatorische Maßnahmen geplant, umgesetzt und regelmäßig überprüft werden. Das wird bereits von der Aufsicht insofern gefordert, indem in den Mindestanforderungen an das Risikomanagement auf die Standards des BSI und der ISO-27000er-Serie hingewiesen wird.“

Nach Beobachtung der Bundesanstalt betrachten die Finanzinstitute die Informationstechnologie neben dem Aspekt Sicherheit immer auch unter dem Aspekt der Wirtschaftlichkeit. „Inwiefern Wartungsverträge wirtschaftlich sind, ist zunächst die Entscheidung des jeweiligen Instituts.“ Entscheidend sei aber immer, dass die Wartungsverträge tatsächlich effektiv die Risiken mindern, die sich aus Alterung und Verschleiß von Systemen ergeben. Die Bafin empfehle den Banken hinreichende, eigene Expertise im Bereich IT und IT-Risiken vorzuhalten, die IT-Risiken zu erkennen, zu überwachen und gegenzusteuern sowie bei der absehbaren Überalterung von Software oder Hardware rechtzeitig aktiv zu werden.

Das Bundesinnenministerium, das den Entwurf für das IT-Sicherheitsgesetz vorgelegt hat, will keine Empfehlungen abgeben, wie nun im konkreten Fall vorzugehen sei oder wie die Lage im Bankensektor ist. Es verweist dafür auf das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diesem liegen allerdings keine „Informationen oder Zahlen zu Banken oder deren Umgang mit dem Thema vor“. Das Bundesamt verweist seinerseits auf eine im Herbst 2013 gegebene allgemeine Empfehlung für den Umgang mit dem Support-Ende von Windows XP.

Haken Nummer 3: Die Höhe der Kosten?

Natürlich steht die Höhe der erwarteten Kosten für IT-Sicherheit immer im direkten Zusammenhang mit der wirtschaftlichen Situation eines Unternehmens. Darüber hinaus ist die Länge eines Projektes ein entscheidender Faktor – wie auch die Anzahl der Geräte, die gesichert werden sollen.

Im Falle einer Migration des Desktop-Betriebssystems sind die allermeisten Geräte betroffen, viele müssen neu angeschafft werden. Darüber hinaus wird die IT-Abteilung die Anwendungen überprüfen, updaten oder virtualisieren. Und da mit der neuen Windows-Version in den meisten Unternehmen auch auf das neue Office gewechselt sind, haben sich in vielen Organisationen auch die Arbeitsprozesse verändert.

„Die Projekte laufen typischerweise zwischen 12 und 18 Monaten, die Kosten variieren von Unternehmen zu Unternehmen sehr stark“, sagt Anette Jump. „Viele Organisationen müssen bei Microsoft zusätzlichen Support einkaufen, weil sie es nicht schaffen bis Ende April auf die neuen Betriebssysteme umzustellen.“

Tipp: Wie gut kennen Sie Windows XP? Testen Sie Ihr Wissen über Microsofts erfolgreiches Betriebssystem mit 15 Fragen auf silicon.de!

HIGHLIGHT

Windows XP: so sicher wie nie

Seit Wochen überbieten sich einige Medien mit Horrormeldungen zum Ende des Supports für Windows XP. Demnach müssen XP-Anwender mit Plagen biblischen Ausmaßes rechnen. Doch mit ein paar Maßnahmen lässt sich das 2001 erschienene Betriebssystem guten Gewissens weiterbetreiben.

Themenseiten: Analysen & Kommentare

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Support-Ende von Windows XP: ein Vorgeschmack auf die Zukunft der IT-Sicherheit

Kommentar hinzufügen
  • Am 11. April 2014 um 13:53 von Zusmamenhang

    Zusmamenhang ? ;-)

    • Am 11. April 2014 um 14:25 von Kai Schmerer

      Danke für den Hinweis.

  • Am 9. Dezember 2014 um 17:06 von Dr. Toivo Willmann

    Völliger Quatsch,
    diese Panikmache rund um das beste Windows aller Zeiten, das XP. Ob dein XP überlebt, ist eine reine Geldfrage. Einige Kostenpflichtige Antiviren bieten vollständigen Schutz. Meiner ist der NORTON 360 TM (Symantec). Er verstärkt die Firewall von Windows nicht etwa, er schaltet sie ab und ersetzt sie durch eine eigene, viel bessere. Egal ob Win8, Win7, oder „nur“ WinXP, die Firewall, unsere Hauptverteidigungslinie, ist dann immer dieselbe, gleich stark und gleich aktuell. Auch der Internet Explorer8 wird verstärkt und erhält dazu 3 Norton AddOns, die auch dein Chrome und dein Firefox bekommen. Alle 3 werden dadurch gleich sicher.
    Wer will, kann ausserdem noch sein gesamtes Internet mit Software wie Sandboxie (nicht von Symantec) regelrecht unter Karantäne stellen.
    Grüsse: Dr. Toivo Willmann

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *