DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Windows XP und die Sicherheit

Sicherheitlücken managen

Der Support von Windows XP endete am 08.04.2014. Dennoch setzen Unter­nehmen weiter XP ein. Ist dies Resi­gnation oder ein wohl­über­legter Schachzug?

 

 

 

Auf der einen Seite wird eifrig emp­fohlen, diese oder jene Sicher­heits­lücke akri­bisch zu besei­tigen. Windows XP wird nicht mehr sup­portet, so dass bekannte Lücken bestehen bleiben und bei­spiels­weise der Viren­scanner bei neuer Malware nicht unter­stützt werden kann. Dabei muss man zugeben, dass Windows XP zusätzlich zu den nun offenen Lücken deut­liche Sicher­heits­de­fizite zu neueren Betriebs­sys­temen hat.

Auf der anderen Seite: Wer die Sicher­heits­mel­dungen in den ver­gan­genen 9 Monaten Revue pas­sieren lässt, fragt sich m.E. zu Recht, ob es ein großes Problem dar­stellt, einen Dino­saurier nicht einfach weiter zu nutzen.

Geheim­dienste, Lücken oder sogar Hin­ter­türchen in Hard- und Software, Ver­schlüs­selung, SSL, Zer­ti­fikate, Smarties, Wearables und Co. sind die eine Seite, die einem begreiflich macht, dass Sicherheit nur relativ sein kann. Die andere Seite ist m.E. jedoch kri­ti­scher: die Infra­struktur des Internets und der Internet-Kom­­mu­­ni­­kation ist nach den jüngsten Mel­dungen eigentlich nicht abzu­si­chern: Stan­dards werden anscheinend auf hoheit­liche Anordnung mani­pu­liert (National Institute für Stan­dards and Tech­nology „NIST”) und weit ver­breitete Open-Source-Pro­­­jekte  (trotz Offen­legung des Quell­codes!) erfüllen nicht die Qua­li­täts­kri­terien für eine sichere Kom­mu­ni­kation etc.

All dies zusammen genommen, ergibt ein selt­sames Bild für den inter­es­sierten Leser. Fast möchte man meinen, die Geschäftsidee „Sicherheit“ bangt um ihre Zukunft – in einer Welt, die sowohl vor­sätzlich als auch fahr­lässig nicht abzu­si­chern ist.

10 Prozent XP in Deutschland

Wer sich jetzt fragt, warum ich mich gerade einem aus­ge­lau­fenen Modell widme, darf gerne über­legen, ob er nicht zu dem Anteil von 10 % in Deutschland gehört, die dieses Betriebs­system noch nutzen. Ich gehe davon aus, dass es sich hierbei nicht um die in Reserve gehal­tenen Not­ar­beits­plätze handelt – diese sind ja meist nicht online. Im inter­na­tio­nalen Ver­gleich stehen wir gar nicht schlecht da: Dort sind es derzeit noch 27,69%.

Nutzen und Aufwand sind relativ

Unterm Strich bedeuten die aktu­ellen Rah­men­be­din­gungen für die Nutzung des Internets scheinbar, dass es eigentlich egal ist, welchen Aufwand man treibt: Es gibt mitt­ler­weile so viel Malware und so viele Inter­es­sen­gruppen (poli­tisch und wirt­schaftlich) — eine Sisyphus-Arbeit!
 
Wer staat­lichen Insti­tu­tionen im Weg steht, der ver­liert! Ganz einfach, ganz pau­schal! So ist es eben. Mal sehen, ob die Unter­su­chungen zum Angriff auf das „Deutsche Zentrum für Luft- und Raum­fahrt“ zu einem Ergebnis führen.
Für alle anderen Unter­nehmen ist der Aufwand jedoch sicher nicht ver­gebens. Das ein­zelne System spielt dabei jedoch keine große Rolle. Betrachtet werden muss das Ganze: Zu aller erst müssen sämt­liche IT-Systeme oder schüt­zens­werte Objekte bekannt sein. Was bei kleinen Unter­nehmen noch einfach klingt, ist bei grö­ßeren sehr auf­wändig. Alle Wearables, Smarties und smarten Funk­tionen aller vor­han­denen oder vom Mit­ar­beiter mit­ge­brachten Gerät­schaften müssen beachtet werden. Auf dieser Basis müssen  dann die IT-Risiken iden­ti­fi­ziert und bewertet werden.

Und wo bleibt bei den ganzen Aus­füh­rungen XP?

Ganz so einfach ist es eben dann doch nicht. XP ist damit ein Aspekt von vielen — und darf auch nicht iso­liert betrachtet werden. Aller­dings gibt es natürlich auch ein paar Aspekte, die XP als solches betreffen.

Allein um die Betriebs­fä­higkeit seiner IT sicher­zu­stellen, ist jeder gut beraten, so schnell wie möglich umzu­steigen: Beachten sollte man nämlich, dass mit dem Support-Ende des Betriebs­systems auch kei­nerlei Treiber für neue Hardware mehr zur Ver­fügung gestellt werden. So dass das vor­zeitige Ende bei­spiels­weise einer Gra­fik­karte einen unge­planten Aus­tausch sowohl von Hard- und Software sowie den Umzug der Daten nach sich zieht, der mit­unter zeit­auf­wändig und sehr kos­ten­in­tensiv sein kann.

Besonders schlimm wird es natürlich für Indi­vi­du­al­soft­ware­lö­sungen, die auf­wändig auf ein neues Umfeld ange­passt werden müssen. Wer hier nicht regel­mäßig die lang­fristige Ent­wicklung der Software-Kom­­po­­nenten im Blick hat, ris­kiert schon mal seine Existenz. Die Warnung für die ewig Gest­rigen auf Seiten von Microsoft ist deutlich: „Wenn Sie Windows XP nach Ende des Sup­ports wei­terhin ver­wenden, ist Ihr Com­puter anfäl­liger für Sicher­heits­ri­siken und Viren. Der Support für Internet Explorer 8 wird eben­falls ein­ge­stellt. Wenn Ihr Windows XP-PC mit dem Internet ver­bunden ist und Sie mit Internet Explorer 8 nach Ende des Sup­ports im Web surfen, setzen Sie den PC mög­li­cher­weise zusätz­lichen Bedro­hungen aus. Da viele Soft- und Hard­ware­her­steller ihre Pro­dukte für aktuelle Ver­sionen von Windows opti­mieren, müssen Sie zudem damit rechnen, dass mehrere Apps und Geräte nicht mit Windows XP kom­pa­tibel sind.“

Darüber hinaus muss man noch wissen, dass der IE 8 (!) die letzte unter XP lauf­fähige Version ist. Wer – aus welchen Gründen auch immer – auf den IE ange­wiesen ist, hat mit dessen Sup­por­tende nun schlechte Karten, wenn Lücken im IE 8 auf­tauchen. Gut, Microsoft hat doch noch einen Patch ver­öf­fent­licht – es hätte natürlich eine etwas eigen­artig Wirkung gehabt, wenn kurz nach Sup­por­tende ein hoher Hand­lungs­druck auf­gebaut würde. Grund­sätzlich ändert dies jedoch nichts am Hand­lungs­bedarf.

Wer den Aufwand scheut, eine separate Firewall zu betreiben, sämt­liche Firmware und sämt­liche Pro­gramme auf dem aktu­ellen Stand zu halten oder eine Benutzer- und Rech­te­ver­waltung ein­zu­setzen, kann aller­dings getrost auch wei­terhin XP ein­setzen – es spielt eh keine Rolle: der lahme Gaul ist eh bald tot. Es gilt halt auch hier: “Wer nicht mit der Zeit geht, geht mit der Zeit”.

Fazit:

Der weitere Einsatz von XP ist in Ver­bindung mit der Nutzung des Inter­net­ex­plorers auf­grund der aktu­ellen Sicher­heits­mel­dungen nicht mehr zu emp­fehlen. Es es sicher nicht die letzte schwer­wie­gende, nur dass Microsoft bei der nächsten sicher nicht mehr so kulant reagieren wird. Die schiere Menge an neuer Malware macht eine Unter­stützung der Sicher­heits­software durch aktuelle Betriebs­sys­tem­me­cha­nismen sowie orga­ni­sa­to­rische Maß­nahmen erfor­derlich.

Allein um die Betriebs­fä­higkeit seiner IT zu gewähr­leisten, kommt man um einen zeit­nahen Wechsel auf ein aktu­elles Betriebs­system nicht herum. Dabei sollten jedoch ein paar Grund­regeln beachtet werden, um nicht gleich wieder Pro­bleme zu haben:

Grund­sätzlich müssen vor irgend­einer Sicher­heits­maß­nahme die IT-Risiken iden­ti­fi­ziert und bewertet werden. Erst dann macht die Fest­legung von Maß­nahmen Sinn. Zudem gilt nach wie vor: das Haupt­problem in der Infor­ma­ti­ons­technik (IT) sitzt davor

Bild:  © Andreas Hermsdorf / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.