Logo und Schriftzug Karsten Ritz DV-Beratungen
Karsten Ritz





Sonstiges | Veröffentlichungen

Einstellung des Supports von Windows XP und Office 2003 im April 2014 - Sicherheitskatastrophe oder Sturm im Wasserglas?

Kundeninfo 11/13

Am 8. April 2014 endet der Support der Fa. Microsoft für das Betriebssystem Windows XP sowie das Office-Paket Office 2003. Welche Auswirkungen hat das auf Unternehmen, die diese Software noch einsetzen? Muß in jedem Fall darauf reagiert werden, weil die Sicherheit der IT massiv bedroht wird oder handelt es sich bei öffentlichen Warnungen um einen Sturm im Wasserglas, der entspannt ausgesessen werden kann?

Windows XP wird bereits seit dem August 2001 als Client-Betriebssystem auf PCs eingesetzt und war lange Zeit das dominierende System auf dem Markt. Nach Einführung von Windows Vista, das keine nennenswerten Marktanteile erreichen konnte, ist aktuell Windows 7 das am meisten verbreitete System. Windows 8 bzw. die Überarbeitung Windows 8.1 setzt sich, mutmaßlich durch die extrem veränderte Bedienlogik, nur zögerlich durch.

Auch heute gibt es noch einen signifikanten Anteil an Windows XP auf den PC-Systemen:


Grafik Verteilung Betriebssysteme Juni 2013

Abb.: weltweite Marktanteile von Betriebssystemen im Juni 2013

Probleme bei Windows XP und Gründe, es trotzdem einzusetzen

Der Einsatz von Windows XP als Betriebssystem führt heute und besonders über den Supportzeitraum hinaus zu verschiedenen Problemen:

  • Nach Supportende werden keine neuen Updates und Patches mehr zur Verfügung gestellt. Dadurch werden festgestellte Sicherheitslücken nicht mehr gestopft und die Systeme werden extrem anfällig für Angriffe.
  • Sicherheit ist in Windows XP nicht so im Systemdesign verankert gewesen wie bei aktuellen Windows-Versionen und wurde z.T. mit Servicepacks nachgebessert (z.B. systemeigene Firewall, scharfe Trennung von Benutzerrechten zwischen normalen Benutzerkonten und Administratorkonten, Datenausführungsverhinderung oder der Schutz von Adreßbereichen vor Ausnutzung von Pufferüberläufen).
  • Immer mehr Hersteller stellen aktuelle Anwendungsprogramme und Treiber nicht mehr für Windows XP zur Verfügung bzw. geben keinen Support, wenn eine veraltete Windows-Version eingesetzt wird (dazu zählt z.B. das aktuelle Microsoft Office 2013).

Trotz der Probleme mit Windows XP kann es gute Gründe für den weiteren Einsatz geben:

  • Benutzer sind an das System gewöhnt und können oder wollen sich nicht mit neuen Bedienlogiken auseinandersetzen.
  • Von Herstellern nicht mehr gepflegte Programmversionen sind nicht unter aktuellen Windows-Versionen lauffähig.
  • Alte, aber benötigte Peripheriegeräte haben keine Treiberunterstützung in den aktuellen Windows-Versionen.
  • Es steht nicht das notwendige Budget zur Verfügung, um Hard- und Software auf einen aktuellen Stand zu bringen.

Office 2003

Ähnlich wie im Betriebssystembereich bei Windows XP ist die Lage bei den Office-Paketen: Ab dem 8. April 2014 wird es keine Updates und Patches mehr für Office 2003 geben.

Dem Angriff auf Systeme durch neu bekannt gewordene und nicht behobene Sicherheitslücken wird dann Tür und Tor geöffnet.

Die Gründe für den Einsatz alter Office Systeme dürften in erster Linie in der Sättigung der Funktionalität ("Excel 2003 kann alles, was ich brauche") und der Änderung der Bedienlogik in Office ab Version 2007 ("ich finde mit diesen Ribbons nichts wieder, die Bedienung dauert viel länger als vorher") liegen.

Wie bei den Veränderungen in der Bedienung von Windows 8 ist aber auch hier die Vermutung naheliegend, daß die Benutzer gerne am Gewohnten festhalten und es ablehnen, sich mit neuen Konzepten und Philosophien zu beschäftigen. Nicht alles an den Veränderungen ist ein Schritt nach vorne, allerdings lohnt sich die nähere Beschäftigung mit der neuen Bedienphilosophie. Sie wurde eingeführt, um die Effizienz zu erhöhen und schafft das in vielen Bereichen auch!

IT-Strategie, DV-Konzeption, IT-Sicherheitsmanagement, Haftung der Geschäftsleitung

Wie geht man als Unternehmen aber jetzt mit den Rahmenbedingungen um?

Grundsätzlich sollte das Vorgehen in Übereinstimmung mit der IT-Strategie geplant werden. In kleinen Organisationen kann dies mit einfachen Mitteln bereits auf nur einem DIN A4 Blatt erfolgen (siehe dazu auch das Beratungsangebot DV-Konzeption). Entscheidend ist, daß die Strategie explizit schriftlich niedergelegt ist, um eine Orientierung für das operative Handeln zu geben und den Blick auf die IT als Ganzes zu erleichtern.

Im Rahmen der IT-Strategie sollte auch die grundsätzliche Einstellung des Unternehmens zu IT-Sicherheit festgelegt sein. Das hat nicht nur technische Konsequenzen, sondern es werden auch Haftungsaspekte der Unternehmensleitung durch fahrlässiges Verhalten berührt (siehe dazu auch IT-Sicherheitsmanagement)

Sicherheitskatastrophe oder Sturm im Wasserglas

Grundsätzlich sollte Windows XP zeitnah abgelöst werden. Vereinzelt finden sich Stimmen, die den weiteren breiten Einsatz propagieren. Die Faktenlage spricht aber eindeutig dagegen.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat dazu beispielsweise am 31.10.2013 eine eindeutige Empfehlung abgegeben ("Bestehende Systeme, auf denen Windows XP oder eine andere veraltete Version eines Betriebssystems läuft, sollten schnellstmöglich auf eine moderne Version migriert werden."):

BSI-Empfehlung

Von einer Sicherheitskatastrophe beim weiteren Einsatz von Windows XP zu sprechen, würde sicherlich über das Ziel hinausschießen. Allerdings sind die damit verbundenen Sicherheitsrisiken auch kein Sturm im Wasserglas.

Aktuell wird spekuliert, daß neu entdeckte Sicherheitslücken von Cyber-Kriminellen bewußt zurückgehalten werden, um die Effektivität beim Angriff auf Systeme nach Ende des Supports von Windows XP durch Microsoft zu maximieren. Das Ignorieren der Sicherheitslage wäre für Unternehmen sicherlich fahrlässig.

Im folgenden Abschnitt habe ich einige Maßnahmen zusammengetragen, die den Betrieb absichern können, wenn die bewußte Entscheidung getroffen wurde, Windows XP weiterhin einzusetzen.

Empfehlungen beim Einsatz von XP trotz bekannter Probleme

  • Trennung der Systeme vom Internet bzw. verstärkter Schutz hinter Firewalls und konservative Konfiguration der Internet-Browser
  • keine Verarbeitung von eingehenden E-Mails
  • keine Nutzung von USB-Sticks und USB-Festplatten
  • Isolierung der Systeme vom übrigen Unternehmensnetzwerk (z.B. durch Einsatz von VLANs oder Virtualisierung)
  • Minimierung der Nutzung von Administrationsrechten im täglichen Betrieb
  • Einspielung der letzten verfügbaren Updates und Patches sowohl von Microsoft als auch von anderen Herstellern
  • Monitoring der Systeme und Prüfung der Integrität, um ständig über den Zustand informiert zu sein
  • Einsatz eines Virenscanners mit Echtzeitüberwachung und Sicherstellung ständiger Aktualisierung der Signaturen

CheckIS

Bei der Umsetzung der Empfehlungen kann das System CheckIS (http://www.checkis.de) mit Integritätsprüfung (CheckIS Integrity) und Monitoring (CheckIS Monitoring) unterstützen:

CheckIS Integrity deckt Manipulationen und Veränderungen von Daten auf. Dazu werden Momentaufnahmen zu frei definierbaren Zeitpunkten angefertigt und miteinander verglichen. Die Unterschiede werden in Berichten aufbereitet und es werden ggf. Alarme ausgelöst.

CheckIS Monitoring ist ein Internet-Service, der die Verfügbarkeit von Systemen an 7 Tagen in der Woche 24h überprüft, statistisch auswertet und Alarme per E-Mail und/oder SMS an den Kunden meldet. Zusätzlich bietet der Internet-Service

  • automatisierte Schwachstellenanalyse,
  • Patch- und Updatemanagement,
  • Fernwartung,
  • zentral überwachte Antivirus-Funktionalität und
  • Online-Backup.
Logo CheckIS

CheckIS ist ein Frühwarnsystem, das Probleme im IT-Verbund erkennt, bevor aufkommende Probleme zu hohen Kosten führen. Speziell bei der Überwachung von nicht mehr durch den Hersteller unterstützten Systemen wie Windows XP kann CheckIS das Sicherheitsniveau deutlich anheben.


Bei Bedarf stehe ich gerne für Fragen zur Verfügung. Darüber hinaus haben Sie die Möglichkeit, CheckIS Monitoring 30 Tage unverbindlich und kostenlos zu testen.

Nehmen Sie Kontakt auf über das Feedback-Formular, schreiben Sie mir eine E-Mail (info@ritz-dv.de) oder rufen Sie mich an (04193 / 7590 - 0)!

Karsten Ritz





Anforderung PDF(s) zu CheckIS

Firma:
Name:
E-Mail:
 
Telefon:
(nur wenn Rückruf gewünscht)
 
Anzahl PC-Arbeitsplätze:
Anzahl PC-Arbeitsplätze unter Windows XP:
 
PDF CheckIS Monitoring: Nutzen und Eigenschaften
PDF CheckIS Monitoring: Technische Information
PDF CheckIS: Preisliste
 
Nachricht:
(optional)
 

Startseite    Inhaltsverzeichnis    Referenzprojekte    Kontakt    Impressum

Systemanalyse    DV-Konzeption    Controlling    Systementwicklung    Internet/Intranet    Schulungen