Supportende für Windows XP seit April 2014

Empfehlungen

Bestehende Systeme, auf denen Windows XP oder eine andere veraltete Version eines Betriebssystems läuft, sollten schnellstmöglich auf eine moderne Version migriert werden. Geschieht dies nicht, so ist nicht nur das betroffene, sondern auch jedes damit vernetzte System einer stark erhöhten Gefährdung ausgesetzt. Dies gilt selbst dann, wenn auf den anderen Systemen im Netz moderne Betriebssysteme im Einsatz sind, da das Altsystem als Einfallstor genutzt werden und beispielsweise auch Zugangskennungen enthalten kann, die in anderen Systemen mitunter nutzbar sind.

Im industriellen Umfeld kann es vorkommen, dass ein vorhandenes Altsystem nicht mit einem modernen Betriebssystem ausgestattet werden kann.

Gründe hierfür können sein:

  • Vorhandene, nicht ersetzbare Software ist unter modernen Betriebssystemen nicht lauffähig.
  • Bestimmte Funktionalität vorhandener Software ist auf eine alte Version des Internet Explorers angewiesen, welche auf modernen Betriebssystemen nicht lauffähig ist.
  • Die verwendete Hardware ist nicht leistungsfähig genug.
  • Bestehende Gewährleistungs- oder Wartungsverträge schließen eine Veränderung aus.

Es sollte genau geprüft werden, ob ein modernes Betriebssystem nicht doch zum Einsatz kommen könnte. Möglichkeiten hierzu können beispielsweise sein:

  • Nutzung des Kompatibilitätsmodus, welcher individuell für jedes Programm eingeschaltet und konfiguriert werden kann.
  • Überprüfung, ob eine neuere Version der betreffenden Software existiert und eine Migration mit akzeptablem Aufwand (Lizenzen, Programmierung) möglich ist.

Die Verwendung des in einigen Versionen von Windows 7 vorhandenen „XP-Modus“ ist keine sichere Möglichkeit, ältere Programme lauffähig zu machen. Hierbei wird ein vollständiges Windows XP virtuell bereitgestellt, für das es ebenfalls keinen Support mehr gibt und welches die Sicherheit des Gesamtsystems gefährdet.

Wird ein Altsystem mit nicht mehr unterstütztem Betriebssystem weiter betrieben, so muss dieses besonders gut geschützt werden, um die Sicherheit der gesamten Organisation nicht zu gefährden. Maßnahmen hierfür können beispielsweise sein:

  • Verlagerung von allen Programmen, Diensten, Zugängen und Benutzerkonten, die nicht unbedingt auf diesem System laufen müssen, auf andere Systeme mit modernen Betriebssystemen, um die Angriffsfläche zu verkleinern.
  • Installation von Schutzmechanismen, wie Application Whitelisting, welche typischerweise auch noch für veraltete Betriebssysteme unterstützt werden, oder die Nutzung der Richtlinien für Softwareeinschränkungen.
  • Isolierung des Systems so weit wie möglich, idealerweise durch vollständige Trennung vom Rest des Netzes.
  • Ist eine Trennung nicht möglich, so sollte das System in ein spezielles Netzsegment platziert, durch möglichst restriktive Firewalls geschützt und mittels Intrusion-Detection-Systemen gesondert überwacht werden.

Quelle: BSI-Veröffentlichungen zur Cyber-Sicherheit