Schon wieder aktua­li­sieren?

Am 08. April 2014 ist Schluss: Microsoft stellt den Support für Windows XP und Office 2003 end­gültig ein. Aber es reicht doch aus, den Viren­scanner regel­mäßig zu aktua­li­sieren? Oder?

Aus meiner Praxis kenne ich viele kleinere Unter­nehmen, die bereits lange und gerne Windows XP als Arbeits­­platz-Betriebs­­­systeme, oft mit Office 2003, nutzen. Die Mit­ar­beiter kennen sich mit beiden Sys­temen gut aus, wissen, wo sie klicken müssen und sind zufrieden. Für ungefähr jeden vierten Inter­net­nutzer ist das elf Jahre alte Windows XP laut Sta­tis­tiken nach wie vor das Betriebs­system der Wahl – und das, obwohl XP die am häu­figsten infi­zierte Windows-Version ist.

Im Sinne von „Never change a running system“ wagen sich auch die IT-Ver­­an­t­­wor­t­­lichen nur ungern an eine Ver­än­derung der IT-Lan­d­­schaft. Die Geschäfts­leitung scheut meist die Kosten einer Sys­tem­um­stellung.

Hat es denn nun Aus­wir­kungen, wenn Sie nicht gleich auf neuere Ver­sionen aktua­li­sieren?

Um es kurz zu machen: Ja, natürlich hat es gra­vie­rende Aus­wir­kungen auf die Sicherheit des Unter­neh­mens­netz­werks.

Wie häufig Sicher­heits­lücken tat­sächlich auf­treten, wurde hier im Blog bereits dis­ku­tiert.
 
Viren­scanner allein können durch die schiere Menge an neuer Malware – und wir sprechen hier von mehr als 50.000 pro Tag – nicht alles finden.

Die Her­steller, allen voran Microsoft, ver­suchen diese Sicher­heits­lücken durch per­ma­nente Wei­ter­ent­wicklung zu schließen. Die meisten Unter­nehmen kennen die monat­lichen Patches von Microsoft: An jedem zweiten Dienstag eines Monats gibt Microsoft seine aktu­ellen Sicher­heits- und Soft­ware­patches heraus, all­gemein auch als „Patch-Day“ bekannt.

Ab April 2013 werden aller­dings keine Sicher­heits­lücken in Windows XP oder Office 2003 mehr geschlossen. Es wird zukünftig einfach keine Sicher­heits­patches mehr geben. Neu ent­deckte Sicher­heits­löcher werden dann nicht mehr geschlossen, wodurch sich Windows XP und Office 2003 schnell zu einem sicher­heits­tech­ni­schen Schweizer Käse ent­wi­ckeln werden.

Aktua­li­sierung muss sein!

Sollten Sie es nicht ohnehin schon geplant haben: Im ersten Quartal 2014 müssen alle Arbeits­plätze mit Windows XP auf ein neueres Betriebs­system aktua­li­siert werden. Ist zudem noch Office 2003 im Einsatz, muss auch hier ein Umstieg erfolgen.

Planen Sie die Umstellung gemeinsam mit Ihrem IT-Ver­­an­t­­wor­t­­lichen oder IT-Partner und legen Sie eine Stra­tegie zur Aktua­li­sierung mit sicher­heits­kri­ti­schen Updates bzw. Patches fest.

Microsoft-Updates aktua­li­sieren vor allem das Betriebs­system und einige betriebs­sys­temnahe Anwen­dungen. Zudem können alle anderen Microsoft-Sof­t­­wa­re­an­­gebote (Internet Explorer, Office) auto­ma­tisch mit Updates ver­sorgt werden.

Auf jedem PC sind aber diverse Pro­gramme ver­schie­denster Her­steller instal­liert. Zwei Drittel aller Schwach­stellen finden sich bei Pro­grammen wie bei­spiels­weise Adobe Flash Player oder Runtime-Software (Lauf­zeit­kom­po­nente für weitere Pro­gramme) wie Java.

Fle­xible Arbeits­plätze und mobile Geräte erhöhen zudem das Risiko, dass beim zen­tralen Update Smart­phones, Tablets und Laptops nicht ange­schlossen oder ver­gessen werden. Es muss daher gewähr­leistet sein, dass auch diese mit den nötigen Sicher­heits-Updates ver­sorgt werden.

Ver­gessen Sie dabei auch weitere Hardware, wie z.B. Router , nicht. Ein Bei­spiel für böse Aus­wir­kungen wurde im Sep­tember 2013 auf Heise ver­öf­fent­licht.

Bild: Florian Schneider / pixelio.de