Problematik Datenschutz und Sicherheit

Support-Ende: Was tun mit Windows-XP-Steuerungssystemen?

29.01.2014 von Sebastian Kraska und Robert Aumiller IDG ExpertenNetzwerk

Im April 2014 endet der kostenlose Support für Windows XP. Dabei stellt sich das Problem, dass Windows XP-Systeme häufig zur Maschinensteuerung eingesetzt werden und softwarebedingt nicht einfach auf die nächste OS-Version aktualisiert werden können. In diesem Fall helfen einige technische Sicherungsmaßnahmen.

Microsoft stellt zum 8. April 2014 den erweiterten Support für Microsoft Windows XP ein (für die 32 Bit-Version mit Service Pack 2 endete der Support bereits am 13. Juli 2013). Durch die rasante Entwicklung auf dem IT Sektor sind die Sicherheitsrisiken dieses Betriebssystems deutlich gestiegen.

Support-Ende: Was tun mit Windows-XP-Steuerungssystemen?
Foto: Frank-Michael Schlede / Thomas Bär

Seit Einführung des Betriebssystems Windows XP im Jahr 2001 hat sich die globale Vernetzung und Kommunikation deutlich verändert. Windows XP ist die derzeit am häufigsten infizierte Windows Version.

Windows XP-Systeme steuern Produktionsanlagen und können nicht einfach ersetzt werden

Laut einer Studie aus dem September 2013 hält Windows XP immer noch einen Marktanteil von 28 Prozent und damit eine noch immer beachtliche Markt-Durchdringung. Von der Steuerung von Maschinen bis hin zur Bürokommunikation stößt man immer wieder auf das Betriebssystem Windows XP.

Vor allem beim Einsatz zur Steuerung von Produktionsanlagen ist eine Umstellung auf ein neues Betriebssystem häufig nicht einfach möglich: teilweise ist die Maschinensteuerung auf anderen Windows-Betriebssystemen überhaupt nicht lauffähig oder komplexe Steuerungsprozesse müssen individuell und kostenintensiv angepasst werden.

Damit beschränken sich die Kosten des Betriebssystems-Wechsels gerade bei produzierenden Unternehmen häufig nicht nur auf Hardware und Software-Kosten des Rechners sondern umfassen auch Kosten für den Ersatz von Produktionsanlagen.

Bildergalerie:

XP immer noch stark im Markt
Hier die Verbreitung des XP-Betriebssystem im Jahr 2013, wie sie von der Seite Netmarketshare.com gesehen wird.

Marktführer negativer Art
Windows XP ist führend – jedenfalls was die Infektionsrate angeht. Diese Aufstellung stammt aus dem Microsoft Security Intelligence Report Nr. 14 und ist nach Betriebssystemen und Service Packs aufgeschlüsselt (Stand 4. Quartal 2012).

Gepatcht, ungepatcht
Die Unterschiede sind gewaltig: Hier der Vergleich zwischen einem ungepatchten Betriebssystem (hier Windows 7), einem System mit eingespielten Patches und eines mit Sicherheitssoftware und Patches.

End of Support
Die letzte Version, die definitiv nicht mehr weiterentwickelt und ab dem nächsten Jahr auch nicht mehr unterstützt wird: Windows XP mit dem Service Pack 3.

Booten und warten
Der Start eines XP-Systems kann auch auf schneller Hardware eine gewisse Zeit in Anspruch nehmen. Windows 7 und besonders Windows 8 sind deutlich schneller.

XPs Schicksalstag
Das ist mit dem 8. April 2014 endgültig vorbei: Updates, Patches oder Support werden für Windows XP dann nicht mehr gewährt.

Altbacken
Es sind nicht unbedingt die aktuellsten Programme, die unter Windows XP laufen: Der Internet Explorer kann nur bis zur Version 8 auf den XP-Systemen zum Einsatz kommen.

Web-Verwirrung
So endet es leider manchmal, wenn veraltete Software zum Einsatz kommt: Der Internet Explorer 8 unter Windows XP hat mit aktuellen Web-Seiten oftmals so seine Probleme.

Virtualisiert
Genau wie der Hyper-V unter Windows 8 muss auch Virtual PC – die Virtualisierungslösung, die den XP-Modus möglich macht – als Windows-Funktion installiert und aktiviert sein.

Helpdesk inklusive
Wer alte Anwendungen mit Hilfe des XP-Modus auf seinem Windows 7-System benutzen will, wird durch den Installationsassistenten in die Bedienung eingeführt.

Wie in alten Zeiten
Der „Seamless-Modus“ und eine Einstellung bei Virtual PC machen es möglich: Die alten Anwendungen aus dem virtuellen XP-System werden auch im Startmenü unter Windows 7 angezeigt.

Office virtuell
Microsoft-Office-Anwendung als virtualisierte Lösung auf dem Windows-7-Desktop: Hier zeigt sich gleich das Sicherheitscenter des XP-Systems, denn hier arbeitet ein komplettes altes Betriebssystem mit allen Sicherheitslücken in der virtuellen Maschinen.

Nutzer steuern
Verhasst unter Vista, gut integriert unter Windows 7: Die Benutzerkontensteuerung ist eine Einrichtung, die dazu beträgt, dass die modernen Windows-Systeme deutlich sicherer sind als Windows XP es je war.

Neues Feature unter der Haube
Die Datenausführungsverhinderung (DEP – Data Execution Prevention) gehört zu den Sicherheitsmechanismen, die seit Windows 7 unterstützt werden.

Kostenpflichtige Updates als Option?

Microsoft informiert zum Ende von Windows XP wie folgt:

"Sollten Sie sich trotzdem dazu entschließen Windows XP SP3 oder Office 2003 auch nach dem Support-Ende zu verwenden, haben Sie die Möglichkeit Kunden-Support einzukaufen. Voraussetzung dafür ist ein Premier Support Vertrag und ein Migrations-Plan. Die Kosten dieses Kunden-Supports sind deutlich höher als der reguläre Support und steigen jährlich, da sich der Support-Aufwand eines veralteten Produkts ständig erhöht."

Die jährlichen Kosten für eine Verlängerung des Kunden-Supports liegen damit schnell im sechsstelligen Bereich und dürften damit für die wenigsten mittelständischen Kunden eine Alternative darstellen.

Technische Sicherungsmaßnahmen für XP-Systeme

Ist es aus technischen Gründen unumgänglich, dass XP-Systeme im Unternehmen betrieben werden, können folgende Sicherheitsmaßnahmen helfen:

Maßnahme 1: Separates Netzwerk

Sollte ein Unternehmen trotzt der gegenlautenden Empfehlungen daher gezwungen sein, weiter auf einzelnen Systemen Windows XP einzusetzen ist empfehlenswert, ein separates Netzwerk mit den Windows XP-Systemen aufzubauen, um das übrige Unternehmenssystem zu schützen.

Nur durch diese Gestaltung lässt sich sicher ausschließen, dass infizierte Windows XP Rechner als Einstiegstor in das komplette Unternehmensnetzwerk missbraucht werden.

Maßnahme 2: Router/Firewall-seitiges Abschalten des Internetzugangs

Unternehmen sollten ferner die internen Firewall- und Router-Systeme dazu einsetzen, den Windows XP-Systemen den Zugang zum Internet zu untersagen.

Maßnahme 3: Kontrolle ein- und ausgehender Pakete

Es empfiehlt sich zudem der Einsatz einer Kontrollsoftware, welche intern den vom Windows XP-System verursachten Datenverkehr auf mögliche Schadsoftware untersucht.

Maßnahme 4: Image von Windows XP-Rechner speichern

Ferner sollten Kopien der fertig aufgebauten Windows XP-Systeme erstellt werden, um im Fall des Angriffs auf das System wieder ein funktionierendes System zur Verfügung stellen zu können.

Maßnahme 5: Windows-XP Emulation bei Windows 7/8 einsetzen

Windows 7 (und Windows 8 nach Anpassungen) bietet eine Emulationsumgebung, um auf der neuen Windows-Plattform das alte Windows XP zu simulieren. Soweit diese Emulationsumgebung ausreicht sollte etwaige Windows-XP Software in dieser Umgebung eingesetzt werden (häufig benötigen Systeme zur Produktionssteuerung allerdings Funktionen, welche von der Emulationsumgebung nicht zur Verfügung gestellt werden).

Maßnahme 6: Kontakt zu Herstellern

In jedem Fall sollte der Hersteller der Produktionsanlage und/oder der Anbieter der Software der Produktionssteuerung bzgl. einer Update-Möglichkeit auf Windows 7/8 kontaktiert werden und ein Zeitplan festgelegt werden, wann das Windows XP System final außer Betrieb genommen werden kann.

Fazit

Mit em Auslaufen des kostenfreien Supports für Windows XP-Systeme im April 2014 sind Unternehmen gehalten, sämtliche Windows XP-Systeme außer Betrieb zu nehmen. Sollten in Spezialfällen Windows XP-Systeme zur Maschinensteuerung eingesetzt werden, ein Update auf ein neueres Betriebssystem für die Software zur Maschinensteuerung nicht möglich und die Außer-Betriebnahme des Produktionssystems aus diesem Grund wirtschaftlich nicht vertretbar sein, empfiehlt sich die Absicherung durch begleitende technische Sicherungsmaßnahmen.

In jedem Fall sollten die Hersteller der Produktionsanlagen beziehungsweise der Produktionssteuerungssoftware kontaktiert werden, um mit diesen Möglichkeiten einer zeitnahen Aktualisierung der Software zu klären. (mje)

Weitere Informationen zum Thema Datenschutz im Unternehmen gibt der Autor Dr. Sebastian Kraska, den Sie per E-Mail unter email@iitr.de erreichen.