15.04.2014

Windows XP, Support, Ende

Support-Ende Windows XP:
Microsoft verunsichert Anwender mit irreführender Argumentation

Nachdem Microsoft große Firmen mit eher bescheidenem Erfolg vor dem Support-Ende von Windows XP gewarnt hat, wendet es sich nun an "kleine Unternehmen und Endanwender". In Redmond sorgt man sich, daß die Nutzer von XP auch weiterhin nur zögerlich umsteigen.

Hinweis Support-Ende WinXP
In einem daraus folgt Blogbeitrag von Tim Rains, Director Trustworthy Computing Group bei Microsoft, warnt der Softwareriese "kleine Unternehmen und Endanwender" davor, weiterhin mit XP zu arbeiten. Wer es dennoch riskiert, sollte...

  • "das Surfen im Internet [...] auf ein Minimum beschränken"
  • vermeiden, "Windows-XP-Systeme zum Senden oder Empfangen von E-Mails zu nutzen"
  • vermeiden, "Wechseldatenträger [sprich: USB-Sticks u. ä.] anzuschließen"

Das Problem daran ist, daß die Gründe, die Rains anführt, auf jeden Windows-Rechner zutreffen, egal, ob dieser mit Windows XP oder einem gerade aktualisierten Windows 8.1 Update 1 läuft.

Rains nennt insgesamt fünf Gründe, warum die Nutzung von XP mit so großen Risiken verbunden sei:

  • Exploits zur Ausnutzung von ungepatchten Sicherheitslücken beim Surfen im Internet
  • Phishingangriffe und Malware-Anhänge in E-Mails und Instant Messages
  • Malware auf Wechseldatenträgern
  • Direkte Internet-Angriffe auf ungepatchte Schwachstellen
  • Ransomware (Verschlüsseln von Nutzerdaten und Erpressung zum Kauf einer Entschlüsselungssoftware)

Dies alles hat jedoch so gut wie gar nichts mit dem Ende des Supports von Windows XP zu tun!

Die Argumentation ist in etwa so logisch wie der Ratschlag, mann solle von seinem liebgewonnenen VW Golf 3 ablassen und einen modernen VW Passat kaufen, weil man...

  • in einen Autounfall geraten könnte
  • sich beim Einsteigen den Kopf stoßen und/oder die Finger einklemmen könnte
  • durch dreckige Windschutzscheiben nichts sieht
  • bei Unachtsamkeit ein Kind überfahren könnte
  • man einem Geisterfahrer begegnen und Schaden an Leib und Leben erleiden könnte

Trennen diese Argumente in irgendeiner Form die Spreu vom Weizen oder den Golf vom Passat? – Nein.
Genausowenig sind die von Rains oben genannten Argumente aussagekräftig gegen Windows XP und für ein neueres Windows-System.

Es handelt sich um eine stereotype Auflistung, die man von Halbwissenden zu jedem beliebigen Security-Thema bekommt und die beim Benutzer Panik erzeugen soll. Rains Ratschlag, auf das Surfen ganz zu verzichten, ist nicht zielführend. Vielmehr soll der Anwender verunsichert werden, sodaß er so schnell wie möglich von der Nutzung von Windows XP Abstand nimmt.

So einfach ist es aber nicht. Man sollte sich stattdessen etwas differenzierter mit der Materie auseinanderzusetzen. Zunächst einmal muß man sich darüber im Klaren sein, daß Link Malware, wenn sie einmal auf den Rechner gelangt ist, keine Sicherheitslücke benötigt, um ihr Unwesen zu treiben. Wer eine Schadsoftware aus einem E-Mail-Anhang öffnet oder von einer Phishing-Website gutgläubig herunterlädt, kompromittiert damit sein System unbewußt selbst.
So kommt das Gros von Schadsoftware auf Rechner von Privatnutzern und kleinen Unternehmen.
Mit Sicherheitslücken im Betriebssystem hat das nichts zu tun.


Viele Sicherheitslücken sind für Endanwender gar kein Problem bzw. treffen auf diese gar nicht zu.

Direkte Angriffe auf ungepatchte Sicherheitslücken sind natürlich ein großes Problem, wenn das Betriebssystem nicht mehr aktualisiert wird. Sie kommen aber im privaten Umfeld und bei kleinen Unternehmen kaum vor. Das liegt daran, daß eingehende Verbindungen aus dem Internet bei IPv4 wegen des notwendigen NAT-Routing gar nicht möglich sind. Der quasi überall vorhandene DSL-Router – hierzulande im Privatbereich oft ein "Speedport" der Telekom oder eine "Fritz!Box" der Firma AVM – trennt den (bzw. die) PC(s) in sofern vom Internet, als daß sich gar nicht direkt von außen darauf zugreifen und eine Sicherheitslücke ausnutzen läßt.
Verwendet man auch IPv6 – aktuell beispielsweise bei Anschlüssen von Unitymedia recht verbreitet –, sollte man ohnehin darauf achten, daß der Router eine Firewall für eingehende IPv6-Verbindungen besitzt und diese auch aktivieren. Verwendet man als Router eine "Fritz!Box", ist dies in jedem Fall der Fall... bei allen anderen höchstwahrscheinlich ebenso.

Man muß sich schon wundern, daß Tim Rains ausgerechnet den Wurm daraus folgt Conficker als Beispiel anführt, der bekanntlich vor allem große Unternehmen angegriffen hat. Kleine Unternehmen und Heimanwender waren kaum betroffen. Das direkte Ausnutzen von ungepatchten Sicherheitslücken richtet nahezu ausschließlich in großen Unternehmen Schaden an.

Das hat insbesondere zwei Gründe: Zum einen betreiben große Unternehmen in der Regel Rechner, die aus dem Internet direkt erreichbar sind und auf diese Weise Ziel von direkten Angriffen werden. Dazu zählen etwa Mail- oder VPN-Einwahlserver. Steht ein solcher Rechner in der daraus folgt DMZ (ist also von außen direkt ansprechbar), kann sich die Schadsoftware unter Ausnutzung der Schwachstelle im Unternehmen weiterverbreiten. Zum anderen müssen Unternehmen ab einer gewissen Größe damit rechnen, daß illoyale Mitarbeiter bewußt und gegen Bezahlung im Auftrag von Industriespionen Schadsoftware ins Unternehmen schleusen, die Sicherheitslücken ausnutzt.


Browserwechsel erhöht die Sicherheit

Gegen die Ausnutzung von Exploits beim Surfen im Internet hilft ein Browser, der auch nach dem Support-Ende von Windows XP weiter aktualisiert wird (auf XP-Systemen läß sich kein aktueller Microsoft Internet-Explorer installieren!), was Tim Rains in seinem Blog natürlich anders sieht. So fängt etwa die daraus folgt Sandboxtechnologie von Google's daraus folgt Chrome-Browser zahlreiche Angriffe ab, gegen die der Internet-Explorer keinen Schutz bieten kann. Zwar ist auch die Sandbox von Chrome schon daraus folgt geknackt worden, aber das passiert auch bei aktuellen Windows-Versionen. Mit dem nächsten Update durch Google wird die Lücke dann geschlossen.

Allerdings muß auch ein Browser letztendlich auf die Windows-System-DLLs zugreifen. Wenn hier eine Lücke vorliegt, die ein Angreifer ausnutzen kann, nützt der sicherste Browser nichts.
Vereinfacht dargestellt: Werden beispielsweise für das Anzeigen einer Grafik oder eines Fotos aus dem Internet System-Bibliotheken des Betriebssystem verwendet – das Anzeigen von Grafiken muß ein Programmierer/Hersteller seinem Browser normalerweise nicht gesondert beibringen, denn das kann das Betriebssystem schon alleine –, und steckt die Sicherheitslücke in genau dieser Funktion, kann der Browser nichts dafür, wenn diese Lücke ausgenutzt wird.
Jedoch lassen sich die meisten Lücken durch die Sandbox-Technologie abfangen, da es generell nicht möglich ist, mit anderen Prozessen des Betriebssystems zu kommunizieren.

Gegen Malware aller Art helfen bekanntlich Antivirenprogramme. In jeden Rechner können Schadprogramme eindringen. daraus folgt Zero-Day-Lücken werden nahezu täglich entdeckt und Microsoft tut sich schwer damit, außerhalb des regulären Patch-Dienstag Updates bereitzustellen. Daher ist es unerlässlich, ein Antiviren-Programm mit Real-Time-Schutz zu verwenden, welches auch in Zukunft noch XP unterstützt.

Was die Firewall angeht, sollte man unter Windows XP darüber nachdenken, von der Microsoft-Firewall auf eine Alternative umzusteigen, die für XP auch weiterhin gepflegt wird. Diese Maßnahme ist auch ohne das Support-Ende von Windows XP sinnvoll, da Malware, die Administratorrechte erlangt hat, häufig die Windows-Firewall deaktiviert oder so umkonfiguriert, daß die Malware ungehindert Schaden anrichten kann. Andere Firewalls werden von Malware in der Regel nicht "unterstützt".

Zusammenfassend lässt sich sagen, daß fast alle Sicherheitslücken nur dann relevant werden, wenn der Rechner aus dem Internet erreichbar ist oder jemand absichtlich im Intranet (internes lokales Netzwerk) einen Angriff startet. Wer unbeabsichtigt Schadsoftware aus dem Web oder aus E-Mail-Anhängen installiert, hat ohnehin ein Problem. Wenn die Malware durch den Benutzer selbst gestartet wurde, muß sie keine Sicherheitslücken mehr ausnutzen. Besonders kritische Komponenten wie Browser, E-Mail-Programm und Firewall sollten gegebenenfalls durch Alternativen ersetzt werden, die auch weiterhin für XP mit Updates versorgt werden... was übrigens der Großteil der Hersteller tut... mit Ausnahme eben von Microsoft selbst.

Natürlich darf man die Situation nicht verharmlosen. Für Windows XP werden in den nächsten Monaten zahlreiche Lücken aufgedeckt und veröffentlicht werden, für die Microsoft keine Patches mehr liefern wird. Jedoch muß man im Einzelfall entscheiden, ob diese in einer typischen Heim- oder SOHO-Umgebung tatsächlich eine Gefahr bedeuten.

Auf jeden Fall gibt es aus Nutzersicht wenig Gründe, warum ein Director der Trustworthy Computing Group bei Microsoft übertriebene Panikmache mit altbekannten Schlagworten wie Phishing, Ransomware und Autorun-Attacken an den Tag legt. Durch die Firmen-Brille sieht die Welt jedoch anders aus. Eigentlich könnte es Microsoft egal sein, wie viele Anwender nach dem vor über zwei Jahren angekündigten Auslaufen des sogenannten erweiterten Supports auch weiterhin Windows XP einsetzen – zumindest wenn man einmal außer Acht lässt, daß jedes Update auf eine neuere Windows-Version oder einen neuen Rechner auch Geld in die Redmonder Kasse spült.

Nimmt man einmal an, daß in naher Zukunft tatsächlich ein ungepatchter Bug von XP dafür verantwortlich gemacht wird, daß eine Malware massiven Schaden auf Millionen von Rechnern anrichtet. Dann hat Microsoft das Problem, daß es auch nach dem 8. April 2014 wie bisher fleißig Updates und Patches für Windows XP erstellt. Es veröffentlicht sie nur nicht mehr, sondern lässt sie nur noch denen zukommen, die dafür Millionenbeträge zahlen. Bekannt ist das bereits für die britische und die niederländische Regierung. Vermutlich werden auch auf dem privaten Sektor einige Firmen Zahlungen in Höhe von einigen Millionen leisten. Sie machen das nur nicht öffentlich.

Für kleine Unternehmen und Heimanwender besteht kein aktueller Bedarf jetzt panikartig von XP auf ein neueres Windows umzusteigen.

Wer mit seiner alten Hardware zufrieden ist, die unter XP gut läuft, für Vista und seine Nachfolger jedoch nicht leistungsfähig genug ist, wäre schlecht beraten, sein OS upzugraden. Es stellt sich ohnehin die Frage, auf welche Version. Hier muß der Nutzer die Wahl treffen zwischen Windows 7, das bereits veraltet ist oder Windows 8.1, durch das Desktop-Usern eine für sie völlig untaugliche Tablet-Oberfläche aufgezwungen wird. Mit dem Upgrade von Betriebssystem oder Rechner-Hardware kann man getrost warten, bis Microsoft für Windows 8.1 im Oktober 2014 endlich das Start-Menü zurückbringt (so zumindest der aktuelle Plan) und Modern-Apps im Fenster laufen lässt.





- UAP -







Suchbegriffe für diese Seite:
Windows, XP, Support, Ende, Support-Ende, Windows 8, Microsoft, Surface, Tablet, Office, Desktop