Weder für private noch für professionelle Anwender und Systemverantwortliche darf es einen Zweifel geben: Ein Betriebssystem muss immer auf dem neuesten Stand sein. Das beinhaltet auch das Einspielen von Updates, Fixes und Patches, sobald diese vom Anbieter freigegeben und bereitgestellt werden. Gibt der Hersteller die Unterstützung auf, weil er beispielsweise eine Nachfolgeversion auf den Markt gebracht hat oder grundsätzlich keine Software dieser Art mehr vertreibt, sollten Firmen und Anwender rechtzeitig entsprechende Alternativen ins Auge fassen.
Allerdings gibt es immer wieder Betriebssystemversionen, an denen die Nutzer besonders leidenschaftlich hängen - selbst wenn viele dieses System bei der Einführung noch als überladen und unbrauchbar geschmäht haben. Zu dieser Kategorie gehört zweifelsohne Microsofts Client-Betriebssystem Windows XP: Bereits seit dem 24. August 2001 befindet sich diese Windows-Version auf dem Markt: Nun hat die Softwarefirma mit dem Auslaufen des erweiterten Supports das endgültige Ende des Systems eingeleitet. Zeit auch für die letzten Nutzer, nun das Windows-System zu wechseln.
Foto: Microsoft
Es wurde schon oft verkündet, aber hier noch einmal das ultimative Datum: Am 8. April 2014 endet der erweiterte Support für Windows XP. Wer noch die 32-Bit-Version von Windows XP mit dem Service Pack 2 verwendet, bekommt schon seit dem 13. Juli 2010 keinen Support mehr - hier hilft nur die nachträgliche Installation des Service Packs 3. Die Herstellerunterstützung für die 64-Bit-Variante, in der das Service Pack 2 das letzte große Update gewesen ist, endet ebenfalls am 8. April dieses Jahres.
Foto: Frank-Michael Schlede
Wie brisant dieses Datum sein kann, zeigt eine Pressemeldung, die der Sprecher für Verwaltungsreform der Grünen, Thomas Birk, aktuell herausgegeben hat. Darin weiß er zu berichten, dass der Chef der Senatskanzlei, Björn Böhning (SPD), am 27. Januar 2014 im Ausschuss für Digitale Verwaltung, Datenschutz und Informationsfreiheit auf Anfrage der Fraktion Bündnis 90/Die Grünen zugeben musste, dass nach wie vor zwei Drittel (!) der IT-Arbeitsplätze in der Berliner Verwaltung mit dem Betriebssystem Windows XP arbeiten. Bereits in einem Bericht der Technischen Universität Berlin von 2011 zum IT-Dienstleistungszentrum in Berlin wird von einer Zahl von insgesamt 70.000 PC-Arbeitsplätzen in der Berliner Verwaltung ausgegangen. Damit sind also mehr als 45.000 Hauptstadt-PCs von diesem Sicherheitsproblem betroffen.
Was ist der "erweiterte Support"?
Microsoft macht die Unterstützung für ein Betriebssystem von der "Lebensdauer" der Software und vom Vorhandensein einer Nachfolgerversion abhängig: So wird der grundlegende Support bei den Consumer- und Multimedia-Produkten grundsätzlich für fünf Jahre oder für zwei Jahre nach Veröffentlichung eines Nachfolgeprodukts angeboten.
Foto: Frank-Michael Schlede / Thomas Bär
Für diese Produkte stellt Microsoft während dieser Phase auch den entsprechenden Support für die Sicherheitsupdates bereit. Das gilt auch für die Betriebssysteme, wobei hier für Business- und Entwicklerprodukte ein Support von minimal zehn Jahren gewährt wird. Genauere Aussagen dazu sind auf einer speziellen Microsoft-Seite zu finden. Technische Unterstützung bietet Microsoft beispielsweise im TechNet auf einer speziellen Seite zum Support-Ende von XP.
Der erweiterte Support wird von Microsoft für entweder mindestens fünf Jahre ab der Markteinführung oder für zwei Jahre nach Veröffentlichung des zweiten Nachfolgeprodukts (das wäre im Fall von Windows XP dann Windows 7) gewährt.
Sicherheitsrisiken beim Einsatz von Windows XP
Sieht man einmal von der Bequemlichkeit der Nutzer ab, die sich nicht umstellen wollen oder können, so gibt es kaum Gründe, auch heute noch ein XP-System einzusetzen. Aber es existiert eine lange Reihe von Gründen, es nicht mehr zu tun. Ein ganz wichtiger Grund, der gegen den weiteren Einsatz von Windows XP spricht, ist die Sicherheit. Die Risiken beim Einsatz des Systems beginnen mit der Tatsache, dass Microsoft spätestens mit 8. April 2014 absolut keine Updates in irgendeiner Form mehr für dieses Betriebssystem zur Verfügung stellen wird.
Wer sich ein wenig mit Betriebssystemen und den Problemen bei der Entwicklung derart komplexer und umfangreicher Softwareprodukte auskennt, wird bestätigen, dass es einen komplett fehlerlosen Code nicht geben kann. Anwender können somit ziemlich sicher sein, dass auch nach 12 Jahren im Einsatz immer noch genügend Fehler und damit Angriffspunkte in den Tiefen des Betriebssystems zu finden sind - Angriffspunkte und Löcher, die von Microsoft nicht mehr gestopft werden. Mit solch einem Betriebssystem sollte sich kein Anwender ins Internet begeben.
Wir haben im Rahmen unserer Recherche auch die Profis des Portal AV-Comparatives zu diesem Thema befragt. Sie befassen sich innerhalb dieser Non-Profit-Organisation unter anderem mit der Untersuchung von Anti-Virus-Programmen auf PC- und Mac-OS-Basis und mit Lösungen für die mobile Sicherheit. Ihr Augenmerk ist darauf gerichtet, ob solche Programme die versprochene Sicherheit auch wirklich bieten können.
In diesem Zusammenhang betreffen ihre Untersuchungen selbstverständlich auch die grundsätzliche Sicherheit der Betriebssysteme. Peter Stelzhammer, einer der Mitbegründer von AV-Comparatives, stellte auf unsere Anfrage zunächst einmal grundsätzlich klar, dass vor allem das Betriebssystem immer auf dem neuesten Stand sein muss, um Sicherheitslücken vorzubeugen. Um diese Einschätzung zu bestätigen, hat AV-Comparatives einen Test mit 743 verseuchten Web-Seiten vorgenommen: Während bei einem alten Windows-7-System ohne Patches alle (!) Bedrohungen direkt zu einer Infektion geführt haben, waren bei einem gepatchtes System nur mehr 46 Prozent all dieser Bedrohung erfolgreich. Mit einem zusätzlichen Virenscanner konnten dann sogar 95 Prozent aller Bedrohung geblockt werden. Und genau das ist das Problem, das auf die Anwender zukommt, die auch weiter Windows XP nutzen: Ohne Sicherheitsupdates werden die Online-Kriminellen die Sicherheitslücken aufspüren und ausnutzen.
Windows XP: Sicherheit nicht im Design
Was XP-Enthusiasten heute gerne ausblenden: Schon wenige Wochen nach dem Verkaufsstart im Jahr 2001 stellte sich heraus, dass im System eine gefährliche Sicherheitslücke in der UPnP-Technik (Universal Plug and Play) existierte, die nicht zuletzt dazu führte, dass Bill Gates die "Trustworthy Computing"-Initiative für seine Firma ausrief. Das Betriebssystem erfuhr dann mit dem Service Pack 2 eine gründliche Überholung in Hinblick auf die Sicherheit, mit dem erstmals auch eine halbwegs brauchbare Version der Windows-Desktop-Firewall auf das System kam.
Zu den größten Designproblemen, die der Aufbau des Betriebssystems in Hinblick auf die Sicherheit aufzuweisen hat, gehört zudem die Zuweisung von Nutzerrechten. Weil sich XP ohne Administratorrechte kaum vernünftig bedienen lässt, arbeiten die meisten Anwender mit entsprechenden "Allmachts"-Nutzerkonten und bieten entsprechend breite Angriffsflächen.
Foto: Frank-Michael Schlede / Thomas Bär
Aktuellere Windows-Versionen bieten mit einer strikten Trennung der Nutzer und der Benutzerkontensteuerung einen deutlichen Zugewinn an Sicherheit. Sowohl Windows 7 als auch Windows 8 stellen mit Techniken wie der Datenausführungsverhinderung (DEP - Data Execution Prevention) oder der Address Space Layout Randomization (ASLR) neue Schutzmaßnahmen direkt im Betriebssystem zur Verfügung. Zur Ehrenrettung von XP muss aber gesagt werden, dass die DEP-Technik seit dem Service Pack 2 auch dort zur Verfügung steht. Sie soll verhindern, dass Programme ausführbaren Code in Speicherbereichen starten können, in denen das nicht vorgesehen ist.
Neben der Verschlüsselungssoftware Bitlocker, die ebenfalls Teil beider Betriebssysteme Windows 7 und 8 ist, hat der Hersteller in Windows 8 weitere aktive (wie Windows Smartscreen oder der Pre-Boot Authentication) und passive Sicherheitsfeatures wie den Dateiversionsverlauf integriert.
Was ist mit dem XP-Modus unter Windows 7?
Wer alte XP-Anwendungen unbedingt weiter betreiben muss, wird immer auf den XP-Modus unter Windows 7 verwiesen. Microsoft stellt dazu die Virtualisierungslösung Virtual PC und eine virtuelle Maschine mit einem Windows XP SP3 zum Download bereit. Diese Software arbeitet gut und zuverlässig. Gerade der von Virtual PC angebotene "Seamless Mode", der es gestattet, "alte" Anwendungen virtualisiert auf der Windows-7-Oberfläche zu starten, bietet eine gute Integration alter Anwendungen
Foto: Frank-Michael Schlede / Thomas Bär
So gut diese Lösung auch ist, Anwender, Administratoren und IT-Verantwortliche sollten sie doch nur als Übergangslösung einsetzen. Schließlich wird mit der Installation eines Windows XP-Systems in der virtuellen Maschine wiederum ein komplettes altes Betriebssystem mit all seinen Lücken und Problemen ins eigene Netz integriert. Auch dieses System muss mit entsprechenden Updates und Schutzmaßnahmen abgesichert werden.
Das aufgebrauchte Argument, dass dieses System innerhalb einer virtuellen Maschine abgeschirmt arbeite, ist nur bedingt zutreffend: Schließlich wird es ja betrieben, um ältere Anwendungen weiterhin benutzen zu können, die deshalb auch mit Adressen im Internet und im Intranet kommunizieren müssen. Zudem zeigt die Erfahrung, dass gerne vergessen wird, die benötigte Sicherheitssoftware wie etwa Antiviren-Lösungen in diesen virtualisierten Betriebssystemen zu installieren und auf den aktuellem Stand zu halten. So steht dann die nächste Sicherheitslücke für Angriffe weit offen.
Programme und deren Support
Ein weiteres Gegenargument gegen XP ist die Software. Zwar unterstützen noch eine ganze Reihe von Softwareanbietern Windows XP als Plattform, doch die Programmauswahl wird immer geringer - auch im Security-Umfeld. Microsoft selbst bietet aktuelle Versionen von wichtigen Programmen wie dem Internet Explorer nicht mehr für XP an. Andere Software wird nicht mehr mit Updates und Patches versorgt. Damit erhöht sich das Infektionsrisiko eines Systems.
Stabilität und Bedienbarkeit
Zum Abschluss wollen wir auch die Bereiche Systemstabilität und Bedienbarkeit nicht unkommentiert lassen: Wer schon lange mit Microsoft-Betriebssystemen arbeitet, kann sich ohne Frage auch die hohe Frequenz erinnern, in der bei XP der sogenannte Bluescreen auftauchte. Wir betreiben sowohl in unserem Testlabor als auch im täglichen Betrieb seit einigen Jahren eine ganze Reihe von Windows-7-Systemen (zumeist in den Ausprägungen Ultimate und Enterprise) und haben selbst beim Testen diverser Anwendungen im Beta-Status nur sehr selten mit Bluescreens und Totalabstürzen zu tun gehabt. Heißt: Windows 7 ist weitaus stabiler und robuster, als es Windows XP je war.
Was die Bedienbarkeit angeht, so ist es sicher auch von der individuellen Einstellung der Anwender abhängig, wie gut sie mit dem jeweiligem Betriebssystem zurechtkommen und ob die Aero-Oberfläche dem persönlichen Geschmack entspricht. Doch allein die Möglichkeit, jedes Systemprogramm und jede Einstellung schnell und direkt durch Eingabe des gesuchten Begriffs in das Suchfeld zu finden, erhöht die Brauchbarkeit des Systems ganz wesentlich.
Fazit: Der nächste Schritt tut not!
Foto: AV-Comperatives
Kann und soll Windows XP weiterbetrieben werden? Nach Aufzählung aller Argument kann die Antwort nur lauten: nein! Allein die Tatsache, dass Microsoft keine Sicherheitsupdates für XP mehr bereitstellt, sollte ausreichen, um ein derart veraltetes Betriebssystem aus dem Netzwerk zu verbannen. Auch der Einsatz eines solchen Systems in einer virtuellen Maschine kann letztendlich keine vollständige Sicherheit bedeuten: Besitzt das XP-System eine Verbindung ins Internet, ist es den möglichen Risiken ohne regelmäßige Patches und Updates relativ schutzlos ausgesetzt. Zudem unterstützen die meisten Anbieter von Sicherheitslösung Windows XP bald nur noch in Ausnahmefällen.
Der "letzte Grund" für den Betrieb eines XP-Systems kann somit nur noch "die eine unentbehrliche Anwendung" sein, die ausschließlich unter XP und hoffentlich vollständig abgeschottet in einer virtualisierten Umgebung ihren Dienst verrichtet. Dass es schwierig bis unmöglich sein kann, die XP-gewohnten Anwender auf Windows 8 zu bringen (obwohl es viele Anwender vielleicht nur mal versuchen müssten) dürfte für viele IT-Verantwortliche keine Frage sein: Aber mit Windows 7 steht ein erprobtes und stabiles Betriebssystem bereit, das diese Lücke gut füllen kann. Und bis zum Auslaufen des erweiterten Supports für Windows 7 mit Service Pack 1 bleibt auch noch etwas mehr Zeit: Dieser endet erst am 14. Januar des Jahres 2020. (sh/mje)