Support-Ende von Windows XP: ein Vorgeschmack auf die Zukunft der IT-Sicherheit

Bei der Diskussion über die Ursache dafür, warum Unternehmen trotz des absehbaren Support-Endes für ihre Windows-XP-Systeme so lange für die Migration brauchten – und immer noch brauchen – gehen die Meinungen weit auseinander. Im Gespräch mit ZDNet spricht Annette Jump, Research Direktorin von Gartner ein Tabu an: Die schlechte ökonomische Situation in den vergangenen Jahren.

Anette Jump, Research Direktorin bei Gartner (Bild: Gartner)

„Viele Unternehmen und insbesondere Behörden konnten sich in den Jahren 2010 oder 2011 die Migration nicht leisten. Die XP-Migration wurde verschoben, verlangsamt und manchmal ganz eingestellt“, so Jump. Es hätte einige Zeit gedauert, bis die Verantwortlichen gemerkt hätten, dass es ernst wird. Deshalb seien bis heute viele Projekte noch lange nicht abgeschlossen – inzwischen würden die Organisationen teuren Windows-XP-Support einkaufen, um weiter arbeiten zu können.

Bei der Gewichtung „Sicherheit gegen Kosten“ scheinen die Kosten häufig den internen Wettbewerb der Prinzipien zu gewinnen. Das ist keine gute Nachricht für alle diejenigen, die glauben durch eine Verpflichtung zur IT-Sicherheit innerhalb eines Cybersecurity-Gesetzes Sicherheit erzwingen zu können.

In einem Kreislauf von Attacken, Analysen, Anforderungslisten und Anwendungsupdates sollen die IT-Verantwortlichen die von ihnen betriebenen „Kritischen Infrastrukturen“ ständig auf den jeweils neuesten Stand der Technik bringen. Das Konzept klingt einfach und schlüssig – hat aber ein paar Haken. Am Beispiel des Bankenbereichs, der im Zusammenhang mit dem Support-Ende für Windows XP in den vergangene Wochen wieder einmal ins Gerede gekommen ist, lässt sich das gut illustrieren.

Haken Nummer 1: Wo ist eigentlich die Sicherheitslücke?

Die Medien haben in den vergangenen Wochen aufgeregt vermeintliche Sicherheitslücken diskutiert, etwa in Geldautomaten. In ihnen liefe Windows XP als Betriebssystem, die Maschinen seien über die Netzwerke angreifbar, PIN-Nummern und Bargeld womöglich nur unzureichend geschützt.

Alles halb so schlimm, meint der Bundesverband der Deutschen Volksbanken und Raiffeisenbanken e. V.. Hier werde das Risiko als „sehr gering eingestuft“, teilte die Pressestelle auf Anfrage mit. Zwar werde auch in Geldautomaten im Geldautomatensystem der deutschen Kreditwirtschaft „teilweise Windows XP in unterschiedlichen Varianten noch verwendet“. Im Unterschied zu Desktop-Rechnern unterstützte Microsoft allerdings die in Geldautomaten verwendeten industriellen Varianten von Windows XP noch über das Jahr 2014 hinaus.

„Wo dies erforderlich ist, kann auch ein weiterer Support vom Hersteller durch kostenpflichtige Verträge gesichert werden“, so eine Sprecherin weiter. Ohnehin seien die Geldautomaten „nicht über das offene Internet erreichbar“. Der Betrieb in geschlossenen Banknetzwerken biete daher einen zusätzlichen Schutz. „Auch werden für die Sicherheit wesentliche Komponenten – die Tastatur zur PIN-Eingabe und die Chipkarte – geprüft und abgenommen.“

Eine Darstellung, der allerdings eine ganze Reihe von Sicherheitsexperten widersprechen: In vielen Geldautomaten liefe die Windows-XP-Desktop-Version. Zweitens werde bei den Maschinen Wartung und Support schon aus Kostengründen über das Internet geleistet. Drittens erfolgten die meisten Cyberangriffe aus den eigenen Reihen innerhalb der geschützten Netzwerke. Hier steht Aussage gegen Aussage, eine unabhängige Prüfung ist kaum möglich.

Bei detaillierten Recherchen bestätigen Sicherheitsexperten allerdings, dass sie wenigsten die PIN-Codes und andere Informationen der Kunden als geschützt erachten. Denn die würden innerhalb der Geldautomaten auf Embedded Systemen verarbeitet, sämtliche Informationen seien innerhalb der Maschinen oder in der Kommunikation mit dem Rechenzentrum sicher verschlüsselt und geschützt.

Haken Nummer 2: Wie ist das Risikomanagement?

„IT-Risiken sind schwer quantifizierbar. Ein effektives Gegensteuern gegen IT-Risiken durch eine finanzielle Absicherung allein ist nicht möglich“, unterstreicht ein Sprecher der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin). „Vielmehr müssen konkrete technische und organisatorische Maßnahmen geplant, umgesetzt und regelmäßig überprüft werden. Das wird bereits von der Aufsicht insofern gefordert, indem in den Mindestanforderungen an das Risikomanagement auf die Standards des BSI und der ISO-27000er-Serie hingewiesen wird.“

Nach Beobachtung der Bundesanstalt betrachten die Finanzinstitute die Informationstechnologie neben dem Aspekt Sicherheit immer auch unter dem Aspekt der Wirtschaftlichkeit. „Inwiefern Wartungsverträge wirtschaftlich sind, ist zunächst die Entscheidung des jeweiligen Instituts.“ Entscheidend sei aber immer, dass die Wartungsverträge tatsächlich effektiv die Risiken mindern, die sich aus Alterung und Verschleiß von Systemen ergeben. Die Bafin empfehle den Banken hinreichende, eigene Expertise im Bereich IT und IT-Risiken vorzuhalten, die IT-Risiken zu erkennen, zu überwachen und gegenzusteuern sowie bei der absehbaren Überalterung von Software oder Hardware rechtzeitig aktiv zu werden.

Das Bundesinnenministerium, das den Entwurf für das IT-Sicherheitsgesetz vorgelegt hat, will keine Empfehlungen abgeben, wie nun im konkreten Fall vorzugehen sei oder wie die Lage im Bankensektor ist. Es verweist dafür auf das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diesem liegen allerdings keine „Informationen oder Zahlen zu Banken oder deren Umgang mit dem Thema vor“. Das Bundesamt verweist seinerseits auf eine im Herbst 2013 gegebene allgemeine Empfehlung für den Umgang mit dem Support-Ende von Windows XP.

Haken Nummer 3: Die Höhe der Kosten?

Natürlich steht die Höhe der erwarteten Kosten für IT-Sicherheit immer im direkten Zusammenhang mit der wirtschaftlichen Situation eines Unternehmens. Darüber hinaus ist die Länge eines Projektes ein entscheidender Faktor – wie auch die Anzahl der Geräte, die gesichert werden sollen.

Im Falle einer Migration des Desktop-Betriebssystems sind die allermeisten Geräte betroffen, viele müssen neu angeschafft werden. Darüber hinaus wird die IT-Abteilung die Anwendungen überprüfen, updaten oder virtualisieren. Und da mit der neuen Windows-Version in den meisten Unternehmen auch auf das neue Office gewechselt sind, haben sich in vielen Organisationen auch die Arbeitsprozesse verändert.

„Die Projekte laufen typischerweise zwischen 12 und 18 Monaten, die Kosten variieren von Unternehmen zu Unternehmen sehr stark“, sagt Anette Jump. „Viele Organisationen müssen bei Microsoft zusätzlichen Support einkaufen, weil sie es nicht schaffen bis Ende April auf die neuen Betriebssysteme umzustellen.“

Tipp: Wie gut kennen Sie Windows XP? Testen Sie Ihr Wissen über Microsofts erfolgreiches Betriebssystem mit 15 Fragen auf silicon.de!