Windows XP: Microsoft verbreitet Angst

AllgemeinBetriebssystemKomponentenSicherheitSicherheitsmanagementWorkspace
Windows XP

Nachdem Microsoft große Firmen mit eher bescheidenem Erfolg vor dem Supportende von Windows XP gewarnt hat, wendet es sich nun an “kleine Unternehmen und Endanwender”. In Redmond sorgt man sich, dass die Nutzer von XP auch weiterhin nur zögerlich umsteigen.

xp-absichernIn einem Blogbeitrag von Tim Rains, Director Trustworthy Computing Group bei Microsoft, warnt der Softwareriese “kleine Unternehmen und Endanwender” davor, weiterhin mit XP zu arbeiten. Wer es dennoch riskiert, sollte “das Surfen im Internet […] auf ein Minimum beschränken” und vermeiden, “Windows-XP-Systeme zum Senden oder Empfangen von E-Mails zu nutzen”, sowie “Wechseldatenträger anzuschließen”.

Das Problem daran ist, dass die Gründe, die Rains anführt, auf jeden Windows-Rechner zutreffen, egal, ob dieser mit Windows XP oder einem gerade aktualisierten Windows 8.1 Update 1 läuft. Rains nennt insgesamt fünf Gründe, warum die Nutzung von XP mit so großen Risiken verbunden sei.

  • Exploits zur Ausnutzung von ungepatchten Sicherheitslücken beim Surfen im Internet
  • Phishingangriffe und Malware-Anhänge in E-Mails und Instant Messages
  • Malware auf Wechseldatenträger
  • Direkte Internet-Angriffe auf ungepatchte Schwachstellen
  • Ransomware (Verschlüsseln von Nutzerdaten und Erpressung zum Kauf einer Entschlüsselungssoftware)

Dies alles hat jedoch nur bedingt mit dem Ende des Supports von Windows XP zu tun. Es handelt sich um eine stereotype Auflistung, die man von Halbwissenden zu jedem beliebigen Security-Thema bekommt und beim Benutzer Panik erzeugen soll. Rains Ratschlag, auf das Surfen ganz zu verzichten, ist nicht zielführend. Vielmehr soll der Anwender verunsichert werden, sodass er so schnell wie möglich von der Nutzung von Windowx XP Bastand nimmt.

So einfach ist es aber nicht. Man sollte sich stattdessen etwas differenzierter mit der Materie auseinanderzusetzen. Zunächst einmal muss man sich darüber im Klaren sein, dass Malware, wenn sie einmal auf den Rechner gelangt ist, keine Sicherheitslücke benötigt, um ihr Unwesen zu treiben. Wer eine Schadsoftware aus einem E-Mail-Anhang öffnet oder von einer Phishing-Website gutgläubig herunterlädt, kompromittiert damit sein System unbewusst selbst. So kommt das Gros von Schadsoftware auf Rechner von Privatnutzern und kleinen Unternehmen. Mit Sicherheitslücken im Betriebssystem hat das nichts zu tun.

Viele Sicherheitslücken sind für Endanwender gar kein Problem

Direkte Angriffe auf ungepatchte Sicherheitslücken sind natürlich ein großes Problem, wenn das Betriebssystem nicht mehr aktualisiert wird. Sie kommen aber im privaten Umfeld und bei kleinen Unternehmen kaum vor. Das liegt daran, dass eingehende Verbindungen aus dem Internet bei IPv4 wegen des notwendigen NAT-Routing gar nicht möglich sind. Verwendet man auch IPv6, sollte man ohnehin darauf achten, dass der Router eine Firewall für eingehende IPv6-Verbindungen besitzt und diese auch aktivieren.

Man muss sich schon wundern, dass Tim Rains ausgerechnet den Wurm Conficker als Beispiel anführt, der bekanntlich vor allem große Unternehmen angegriffen hat. Kleine Unternehmen und Heimanwender waren kaum betroffen. Das direkte Ausnutzen von ungepatchten Sicherheitslücken richtet nahezu ausschließlich in großen Unternehmen Schaden an.

Das hat insbesondere zwei Gründe: Zum einen betreiben große Unternehmen in der Regel Rechner, die aus dem Internet erreichbar sind und auf diese Weise Ziel von direkten Angriffen werden. Dazu zählen etwa Mail- oder VPN-Einwahlserver. Steht ein solcher Rechner in der DMZ, kann sich die Schadsoftware unter Ausnutzung der Schwachstelle im Unternehmen weiterverbreiten. Zum anderen müssen Unternehmen ab einer gewissen Größe damit rechnen, dass illoyale Mitarbeiter bewusst und gegen Bezahlung im Auftrag von Industriespionen Schadsoftware ins Unternehmen schleusen, die Sicherheitslücken ausnutzt.

Browserwechsel erhöht die Sicherheit

Gegen die Ausnutzung von Exploits beim Surfen im Internet hilft ein Browser, der auch nach dem Supportende von Windows XP weiter aktualisiert wird, was Tim Rains in seinem Blog natürlich anders sieht. So fängt etwa die Sandboxtechnologie von Chrome zahlreiche Angriffe ab, gegen die der Internet-Explorer keinen Schutz bieten kann. Zwar ist auch die Sandbox von Chrome schon geknackt worden, aber das passiert auch bei aktuellen Windows-Versionen. Mit dem nächsten Update durch Google wird die Lücke dann geschlossen.

Allerdings muss auch ein Browser letztendlich auf die Windows-System-DLLs zugreifen. Wenn hier eine Lücke vorliegt, die ein Angreifer ausnutzen kann, nützt der sicherste Browser nichts. Jedoch lassen sich die meisten Lücken durch die Sandbox-Technologie abfangen, da es generell nicht möglich ist, mit anderen Prozessen des Betriebssystems zu kommunizieren.

Gegen Malware aller Art helfen bekanntlich Antivirenprogramme. In jeden Rechner können Schadprogramme eindringen. Zero-Day-Lücken werden nahezu täglich entdeckt und Microsoft tut sich schwer damit, außerhalb des regulären Patch-Dienstag Updates bereitzustellen. Daher ist es unerlässlich ein Antiviren-Programm mit Real-Time-Schutz, dass auch in Zukunft noch XP unterstützt, zu verwenden, auch wenn es mit XP künftig etwas leichter wird, die Sicherheitsmechanismen zu umgehen.

Was die Firewall angeht, sollte man unter Windows XP darüber nachdenken, von der Microsoft-Firewall auf eine Alternative umzusteigen, die für XP auch weiterhin gepflegt wird. Diese Maßnahme ist auch ohne das Support-Ende von Windows XP sinnvoll, da Malware, die Administratorrechte erlangt hat, häufig die Windows-Firewall deaktiviert oder so umkonfiguriert, dass sie ungehindert Schaden anrichten kann. Andere Firewalls werden von Malware in der Regel nicht “unterstützt”.

Zusammenfassend lässt sich sagen, dass fast alle Sicherheitslücken nur dann relevant werden, wenn der Rechner aus dem Internet erreichbar ist oder jemand absichtlich im Intranet einen Angriff startet. Wer unbeabsichtigt Schadsoftware aus dem Web oder aus E-Mail-Anhängen installiert, hat ohnehin ein Problem. Wenn die Malware durch Nutzer gestartet wurde, muss sie keine Sicherheitslücken mehr ausnutzen. Besonders kritische Komponenten wie Browser, E-Mail-Programm und Firewall sollten gegebenenfalls durch Alternativen ersetzt werden, die auch weiterhin für XP mit Updates versorgt werden.

Natürlich darf man die Situation nicht verharmlosen. Für Windows XP werden in den nächsten Monaten zahlreiche Lücken aufgedeckt und veröffentlicht werden, für die Microsoft keine Patches mehr liefern wird. Jedoch muss man im Einzelfall entscheiden, ob diese in einer typischen Heim- oder SOHO-Umgebung tatsächlich eine Gefahr bedeuten.

Auf jeden Fall gibt es aus Nutzersicht wenig Gründe, warum ein Director der Trustworthy Computing Group bei Microsoft übertriebene Panikmache mit altbekannten Schlagworten wie Phishing, Ransomware und Autorun-Attacken an den Tag legt. Durch die Firmen-Brille sieht die Welt jedoch anders aus. Eigentlich könnte es Microsoft egal sein, wie viele Anwender nach dem vor über zwei Jahren angekündigten Auslaufen des sogenannten erweiterten Supports auch weiterhin Windows XP einsetzen – zumindest wenn man einmal außer Acht lässt, dass jedes Update auf eine neuere Windows-Version oder einen neuen Rechner auch Geld in die Redmonder Kasse spült.

Nimmt man einmal an, dass in naher Zukunft tatsächlich ein ungepatchter Bug von XP dafür verantwortlich gemacht wird, dass eine Malware massiven Schaden auf Millionen von Rechnern anrichtet. Dann hat Microsoft das Problem, dass es auch nach dem 8. April 2014 wie bisher fleißig Updates und Patches für Windows XP erstellt. Es veröffentlicht sie nur nicht mehr, sondern lässt sie nur noch denen zukommen, die dafür Millionenbeträge zahlen. Bekannt ist das bereits für die britische und die niederländische Regierung. Vermutlich werden auch privaten Sektor einige Firmen Zahlungen in Höhe von einigen Millionen leisten. Sie machen das nur nicht öffentlich.

Für kleine Unternehmen und Heimanwender besteht kein aktueller Bedarf jetzt panikartig von XP auf ein neueres Windows umzusteigen. Wer mit seiner alten Hardware zufrieden ist, die unter XP gut läuft, für Vista und seine Nachfolger jedoch nicht leistungsfähig genug ist, wäre schlecht beraten, sein OS upzugraden. Es stellt sich ohnehin die Frage, auf welche Version. Hier muss der Nutzer die Wahl treffen zwischen Windows 7, das bereits veraltet ist oder Windows 8.1, das Desktop-Usern eine für sie völlig untaugliche Tablet-Oberfläche aufgezwungen wird. Mit dem Upgrade von Betriebssystem oder Rechner-Hardware kann man getrost warten, bis Microsoft für Windows 8.1 im Oktober 2014 endlich das Start-Menü zurückbringt und Modern-Apps im Fenster laufen lässt.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de