Mit Windows ME, 2000 oder XP ins Internet

Nicht ins Netz mit alten Systemen!

Ein weiterer Angriffspunkt: Design-Unterschiede

Auf die Dauer eher hinderlich, als dass es mehr Sicherheit bringt: Das Ausschalten von gefährdeten Diensten kann hier nicht viel helfen.
Auf die Dauer eher hinderlich, als dass es mehr Sicherheit bringt: Das Ausschalten von gefährdeten Diensten kann hier nicht viel helfen.
Foto: Thomas Bär / Frank-Michael Schlede

Aus heutiger (Sicherheits-) Sicht wirken viele Standardeinstellungen von Windows XP förmlich "steinzeitlich": So besitzt der Benutzer eines XP-Computers in der Grundeinstellung üblicherweise Administrationsrechte und kann damit alle Parameter des Systems beliebig verändern. Folglich hat jedes Schadprogramm, das wissentlich oder eher unwissentlich vom Benutzer ausgeführt wird, diese hohen Zugriffsrechte ebenfalls.

In vielen Unternehmen wurden den Domänen-Benutzern zudem häufig lokale Administrationsrechte eingeräumt, da ansonsten einige Funktionalitäten im Zusammenspiel mit externer Hardware nicht einwandfrei arbeiteten. Beispielsweise war die anfängliche Synchronisation von Palm-Handhelds ohne Administrationsrechte eine Art "russisches Roulette" für die Outlook-Daten. Warum arbeiten aber auch heute die meisten XP-Systeme noch mit diesen hohen und damit riskanten Zugriffsrechten?

  • Hohe Zugriffsrechte waren zumeist ein Zugeständnis an die vielen Programme, die aus der NT/2000/98/ME-Welt direkt auf Windows XP ausführbar bleiben sollten.

  • Allerdings gab es bereits seit Mitte der 2000er-Jahre eigentlich keinen logischen Grund mehr, dem Benutzer so hohe Zugriffsrechte einzuräumen.

  • Viele IT-Professionals in den Unternehmen warteten da bereits auf einen Betriebssystem-Nachfolger und nahmen kaum noch Änderungen an den Grundeinstellung der XP-Systeme vor. Diese Systeme sind zum Teil heute noch im Einsatz!

Dieser direkte Nachfolger - das eher unbeliebte Windows Vista - war zwar deutlich sicherer, aber dadurch auch beinahe "unbedienbar": Die selektive Zugriffssteuerung UAC (User Account Control - Benutzerkontensteuerung) mit dem sichertechnisch sehr guten Prinzip einer virtueller Registry zur Aufnahme von Programmstammdaten wurde erst mit Windows 7 wirklich einsetzbar. So verwundert es kaum, dass auch Windows Vista bereits in der "Rente des Supports" angelangt ist - auch wenn dieses System lange nicht so unsicher ist wie seine Vorgänger

Wissen und handeln: Wichtige Termine!!!

Das Ende des Produkts (End Of Lifecycle) ist bei Microsoft kein Geheimnis - jeder kann es im Internet nachschlagen.
Das Ende des Produkts (End Of Lifecycle) ist bei Microsoft kein Geheimnis - jeder kann es im Internet nachschlagen.
Foto: Thomas Bär / Frank-Michael Schlede

Trotzdem ist es wichtig zu wissen: Auch der Support für Windows Vista Service Pack 1 (SP1) endete bereits am 12. Juli 2011. Vista-Benutzer müssen, um weiterhin sicher arbeiten zu können, auf das Service Pack 2 (SP2) aktualisieren. Im April 2012 endete dann der so genannte "Mainstream Support" für Windows Vista SP2. Der Windows 7-Vorgänger befindet sich, wie Windows XP SP3, nun im erweiterten Produktsupport. In dieser Phase kümmert sich Hersteller Microsoft nur noch um "sicherheitsrelevante Aktualisierungen". Am 11.04.2017 endet dieser Support für Windows Vista endgültig, wie der Webseite "Product Lifecycle" von Microsoft entnommen werden kann.

Der Support für Windows XP SP2 endete schon am 13. Juli 2010. Die Unterstützung für das letzten Service Pack 3 endet, wie bereits erwähnt, am 8. April 2014. Da es für die wenig verbreitete x64-Variante von Windows XP kein Service Pack 3 gibt, endet die erweiterte Produktunterstützung für SP2 ebenfalls im April 2014.

Nicht, dass der Eindruck entstünde, dass das Produkt ab diesem Tag nicht mehr funktionieren würde: Das jeweilige Windows läuft weiter - nur eben ohne Updates durch den Hersteller und mit dem entsprechenden Sicherheitsrisiko.

Soweit wird es Microsoft nicht kommen lassen, oder?

Stellt Microsoft im April 2014 den Support für Windows XP endgültig ein, so heißt dies nichts weniger, als dass für Sicherheitslücken, die ab diesem Zeitpunkt entdeckt werden, keine Korrekturen mehr vorgenommen werden. Öffnet ein klassischer "Buffer Overflow" beispielsweise einem Angreifer Tür und Tor auf dem Computer, kann der Benutzer nicht mehr auf Hilfe von Microsoft hoffen. Der XP-PC bleibt somit für immer ungeschützt, sofern nicht dieAnpassung einer Firewall-Regel oder die Deaktivierung der betreffenden Softwarekomponente eine Notlösung bieten.

Ein Beispiel aus der täglichen Praxis: Unter der kryptischen Bezeichnung "2387149 (MS10-074) - Sicherheitslücke in Microsoft Foundation Classes (MFC)" wurde im Sommer 2010 eine Sicherheitslücke in den Dateien mfc40u.dll beziehungsweise mfc42u.dll entdeckt. Diese wurde für alle "aktuellen" Windows-Versionen geschlossen, nicht jedoch für Windows 2000. Der Support für den XP/2003-Vorgänger endete bereits am 13.07.2010 und folglich gab es keine Korrektur gegenüber der Remote Code Execution-Problematik mehr.