Windows 7 ist tot, es lebe Windows 10. Stimmt leider nicht!

aus dem Netzwerk Insider Februar 2020

Nach wie vor ist Windows 7 auf circa 25 % aller Desktops weltweit in Betrieb. Und der Großteil dieser Installationen dürfte auf den kostenpflichtigen Extended-Security-Updates-Support von Microsoft „verzichten“. Die Risiken für die Unternehmen, die Windows 7 weiterhin betreiben, sind jedoch hoch, es drohen vermehrt Angriffe auf die ungeschützten Systeme und im Schadensfall sogar zusätzliche finanzielle Risiken wegen Verstoßes gegen die DSGVO, Compliance-Regeln, Versicherungsbedingungen oder Schadensersatzansprüche, wenn eigene Systeme genutzt werden, um Dritten Schaden zuzufügen. Woher kommt dieses Festhalten an veralteter, hochgradig gefährlicher Software? Wie bekommt man den „Never touch a running system“-Unsinn aus den Köpfen von Administratoren und IT-Verantwortlichen?

Microsoft geht mit Windows 10 ja mittlerweile wie Apple den Weg, regelmäßige Betriebssystem-Updates auszurollen. Wie kann dieses Konzept „Windows as a Service“ in der Praxis umgesetzt werden und was bedeutet es für Unternehmen?

Je nach Quelle ist Windows 7 auf gut 25 % aller Desktops weltweit in Betrieb. Deutschland steht mit einem Anteil von rund 16 % nur unwesentlich besser da (siehe Abbildung 1). Und außer für Unternehmenskunden, die einen kostenpflichtigen Supportvertrag für weitere Sicherheitsupdates (ESU – Extended Security Updates) abgeschlossen haben, gibt es für Windows 7 überhaupt keine Updates mehr! Für ein 10 Jahre altes Betriebssystem, bei dem wie bei einer alten rostigen Fregatte in letzter Zeit immer mehr Sicherheitslücken geschlossen werden mussten, allein im letzten Jahr über 250! Niemand kann behaupten, er habe das nicht gewusst. Das Presseecho der letzten Tage war groß genug.

Tickende Zeitbomben

Aber das ist ja noch nicht alles! Nach wie vor gibt es signifikante Anteile von Rechnern mit Windows XP, Windows Vista und Windows 8, alles Betriebssysteme, für die es seit Jahren keine Updates mehr gibt. Und Microsoft hat nicht nur den Support für Windows 7 eingestellt, sondern auch für alle Versionen des Windows Server 2008. Ende Januar wird auch der Internet Explorer 10 zu Grabe getragen. Das Sicherheitsunternehmen Kaspersky hatte bereits im August 2019 vor einer „tickenden Cyber-Zeitbombe“ in diesem Zusammenhang gewarnt . Das Unternehmen ESET hat diese Bezeichnung Anfang Januar wiederholt . Seitdem wird die Metapher von der Zeitbombe in allen Pressemeldungen zum Supportende von Windows 7 genutzt. Ist das übertrieben?

Abbildung 1: Anteile der Windows-Desktop-Betriebssysteme weltweit

Nein! Die Risiken gerade für die Unternehmen, die uralte Betriebssysteme betreiben, sind hoch. Wenn Sicherheitslücken nicht mehr geschlossen werden, können Angriffe auf solche Systeme nicht mehr verhindert werden! In der Folge müssen Sie mit Daten-Leaks oder Datenverlust rechnen. Da nutzen auch Firewalls und Virenscanner nicht mehr viel. Kaspersky und Mitbewerber werben diesbezüglich tatsächlich nicht für eigene Produkte, sondern empfehlen dringend ein Upgrade auf ein aktuelles Betriebssystem.

Finanzielle Risiken

ESET verweist in seiner Presseerklärung außerdem auf die DSGVO und auf die gerade im privaten Umfeld beliebten Versicherungen gegen Online-Schäden und Cyberkriminalität. Die Versicherungsbedingungen wie auch die DSGVO setzen Umgebungen voraus, die dem Stand der Technik entsprechen! Wenn Sie mit Windows 7 ins Internet gehen, gefährden Sie Ihren Versicherungsschutz, und wenn Sie mit Windows 7 personenbezogene Daten verarbeiten, verstoßen Sie gegen die DSGVO.

Darüber hinaus gefährden solche Altlasten nicht nur die eigene Umgebung, sondern in hohem Maße auch andere. Gerade solche nicht mehr gepflegten Systeme werden bevorzugt von sogenannten Botnetzen übernommen und dienen als Angriffsknoten in DDoS-Attacken (Distributed Denial of Service). Und nebenbei bemerkt, auch in diesem Fall drohen unter Umständen hohe Schadenersatzforderungen.

Argumente der “Impfgegner”

Vor diesem Hintergrund ist es schwer nachzuvollziehen, dass sich Unternehmen auf das Abenteuer „Weiterbetrieb von Windows 7“ einlassen. Die finanziellen Risiken sind allemal höher als die Kosten für ein Upgrade. Nichtsdestotrotz werden als Gründe für ein Festhalten an Windows 7 genannt:

Es müsse weiterhin Software betrieben werden, die mit neueren Betriebssystemen inkompatibel ist (also Software, die noch älter als Windows 7 ist).
Die Kosten für ein Upgrade auf Windows 10 seien zu hoch. (Bis Ende Juli 2016 war das Upgrade kostenlos, aber wenn die verwendete Hardware ebenfalls 10 Jahre alt ist, muss man tatsächlich über Neuinvestitionen nachdenken.)
Die mit Windows 10 verbundene neue Update-Policy mit zwei Funktionsupdates pro Jahr könne im Unternehmen nicht umgesetzt werden.

Microsoft-Verschulden

Windows 7 ist tot, es lebe Windows 10. So einfach ist es leider nicht.

Gerade die neue Update-Policy von Microsoft hat für viel Verunsicherung im Markt gesorgt. Bislang war es durchaus üblich eine Windows-Version im Unternehmen einzuführen, diese 10 Jahre lang zu betreiben, den direkten Nachfolger zu überspringen und erst auf die übernächste Version zu wechseln. Mit anderen Worten: Upgrades von Betriebssystemen waren selten (dann aber aufwändig).

Das hat Microsoft grundlegend geändert! Microsoft nennt das neue Modell „Windows as a Service“ und spricht beim Upgrade von „moving from project to process“ : Ein Wechsel auf eine neue Windows-Version ist kein Mammutprojekt mehr, bei dem sich viele grundlegende Dinge von der Betriebssystemarchitektur über die Bedienoberfläche bis hin zu Hardware-Anforderungen ändern, sondern wird zur fortlaufenden Pflege des Betriebssystems. Die Release-Wechsel passieren zweimal im Jahr, und bei jedem Wechsel werden eben nur kleinere Änderungen an der Architektur und Oberfläche vorgenommen. Man kann daher durchaus erwarten, dass diese kleinen Schritte besser kompatibel sind und weniger Aufwand verursachen als beispielsweise ein Upgrade von Windows XP auf Windows 7 in der Vergangenheit.

Gleichzeitig reduzierte Microsoft die Supportlaufzeiten auf jeweils 18 Monate pro Release. IT-Abteilungen und Privatanwender haben also nicht mehr die Möglichkeit, sich 10 Jahre lang (oder länger) auf einem Betriebssystem auszuruhen: Die Pflege des Betriebssystems wird zum kontinuierlichen, immerwährenden Standardprozess der IT, Updates werden standardmäßig sogar automatisch eingespielt. Dieses Modell ist damit dem sehr ähnlich, was Apple mit Mac OS macht.

Achtung: Verwechseln Sie diese für den Office-Betrieb vorgesehene Windows-10-Versionen nicht mit den ebenfalls verfügbaren LTSC-Versionen (Long Term Servicing Channel, früher Long-Term Service Branch (LTSB)). LTSC-Versionen genießen einen 10-jährigen Support für Sicherheitsupdates, erhalten aber keinerlei Funktionsupdates. Es soll aber alle zwei bis drei Jahre eine neue eigenständige LTSC-Version geben. Dementsprechend sind LTSC-Versionen abgespeckte Windows-10-Versionen ohne Apps wie Edge, Store, Cortana, OneNote u. a., die ausschließlich für spezielle Systeme wie Geldautomaten, medizinische Geräte, Geräte zur Steuerung von Betriebsanlagen und ähnliche Systeme geeignet sind. Microsoft rät dringend davon ab, LTSC-Versionen von Windows 10 auf Standard-PCs zu installieren, insbesondere an Büroarbeitsplätzen oder zusammen mit Microsoft-Office-Produkten – auch wenn die Verlockung, auf diese Weise das Windows-as-a-Service-Schema zu umgehen, dem einen oder anderen groß erscheint.

Denn obwohl Windows 10 und dessen Update-Konzept jetzt schon ein paar Jahre im Markt sind, haben sich viele Unternehmen immer noch nicht damit angefreundet, zum Teil es sogar gar nicht richtig verstanden.

An Letzterem ist Microsoft übrigens nicht ganz unschuldig, da der Hersteller wesentliche Begriffe immer wieder geändert hat. Ursprünglich gab es zwei Release-Zweige, den „Current Branch“ (CB) und den „Current Branch for Business“ (CBB). Natürlich provozierte schon allein die Namensgebung die Erwartungshaltung, dass der CBB das ausgereiftere, stabilere Release sei.

Mit dem Release 1703 wurden dann die halbjährlichen Updates eingeführt und später die beiden Release-Zweige in „Semi-Annual Channel“ (SAC) und „Semi-Annual Channel – Targeted“ (SAC-T) umbenannt. Genutzt hat es wenig, weiterhin gingen viele Kunden davon aus, es handele sich um zwei unterschiedliche Release-Pfade, zumal auch regelmäßig unterschiedliche Erscheinungsdaten genannt wurden. Erst im letzten Jahr verschwand endlich diese irreführende Terminologie, und es gibt jetzt nur noch einen Wartungskanal SAC.

Patch- und Update-Management als ständiger Prozess

Was Microsoft im Grunde erreichen wollte war, dass in den Unternehmen Prozesse zum regelmäßigen Update von Windows etabliert werden. Denn natürlich ist es Microsoft klar, dass auch diese kleinen Release-Wechsel in den Unternehmen evaluiert und kontrolliert eingeführt werden müssen. Mit „Windows Update for Business“ stellt Microsoft einen Mechanismus zur Verfügung, um solche Prozesse im Unternehmen einzuführen und zu steuern:

In einer ersten Phase wird das neue Release lediglich auf bestimmte, gezielt (englisch: targeted) ausgewählte Geräte ausgerollt und dort getestet. Diese Phase dient im Wesentlichen dazu, Rückmeldungen (positive wie negative) von Pilotusern zu erhalten.

Die Updates aller anderen Geräte sind in dieser Phase zurückgestellt.

Optional kann dieser ersten Phase eine zweite mit einem erweiterten Kreis von Pilotusern folgen, um weitere Anwendungen zu testen und weitere Erfahrungen zu sammeln.
Als Letztes wird das neue Release dann an alle anderen Geräte ausgeliefert.

Die zugrundeliegende Idee ist dabei, dass alle Phasen prinzipiell fest terminiert sind und der Update-Prozess automatisch durchläuft, solang keine Fehler festgestellt werden. Das könnte beispielsweise bedeuten, Phase eins startet unverzüglich, sobald das neue Release verfügbar ist, gegebenenfalls sogar über das Insider-Preview-Programm noch davor, Phase zwei startet 30 – 60 Tage nach Erscheinen des Releases und Phase drei nochmal 30 – 60 Tage danach. Lediglich wenn in einer Phase Probleme auftreten, werden die nachfolgenden entsprechend nach hinten verschoben.

Abbildung 2: Typischer Upgrade-Prozess mit ständigen, regelmäßigen Update-Phasen für unterschiedliche Benutzer- bzw. Gerätegruppen

Man könnte bei diesem Konzept durchaus auf die Idee kommen, einzelne Releases zu überspringen. Wie jedoch der rote Pfeil in Abbildung 2 zeigt, wird dafür in der Realität ganz einfach die Zeit fehlen. Und abgesehen davon, müssten dann auch noch wesentlich mehr Funktionen getestet und eingeführt werden als wenn man sich an die tatsächliche Release-Reihenfolge hält. Es ist ja durchaus Bestandteil des Konzepts, dass sich aufeinander folgende Releases nur wenig voneinander unterscheiden.

Dieses Vorgehen, ein neues Release in mehreren Wellen unterschiedlichen Kreisen zur Verfügung zu stellen, entspricht übrigens auch dem Auslieferungsprozess, den Microsoft selbst bei der Veröffentlichung eines neuen Releases verfolgt (siehe Abbildung 3). Die Entscheidung, welche Systeme zu welchem Zeitpunkt beliefert werden, treffen bei Microsoft jedoch KI-basierende Auswahlprozesse, die Telemetriedaten und Feedbacks von den Geräten und auch von Anwendern nutzen.

Natürlich bedeutet dieses Vorgehen in gewissem Sinne einen kulturellen Wandel im Unternehmen. Es müssen Pilotuser gefunden werden. Diesen Anwendern sollte bewusst sein, dass es gelegentlich zu Problemen in sehr frühen Phasen von neuen Releases kommen kann. Außerdem ist es hilfreich, wenn Sie die Mitarbeiter darauf hinweisen, dass Sie Rückmeldungen wünschen und nicht einfach Personen zum „Ausprobieren“ suchen. Und es müssen Kommunikationsprozesse aufgesetzt werden, um Probleme frühzeitig erkennen und adressieren zu können.

Die damit verbundene Hoffnung ist, die Anzahl der oben genannten „tickenden Zeitbomben“ drastisch zu reduzieren und so zu einem sichereren Gesamtsystem zu kommen, innerhalb der Unternehmen, aber auch global gesehen. Es muss sich auf breiter Basis letztlich aller Benutzer die Erkenntnis durchsetzen, dass PCs und Software kontinuierlich gepflegt werden müssen und sich daher regelmäßig auch verändern. Ein „Never touch a running system“ hilft uns heutzutage bei vernetzten Systemen am wenigsten.

Abbildung 3: Microsofts Konzept des Auslieferungsprozesses von Windows 10, Quelle: Microsoft

Verweise

[1] Quelle: https://gs.statcounter.com
[2] https://www.kaspersky.de/blog/warum-viele-unternehmen-eine-tickende-cyber-zeitbombe-bei-sich-im-haus-haben/19986/
[3] https://www.eset.com/de/about/presse/pressemitteilungen/pressemitteilungen/support-ende-fuer-windows-7-tickende-zeitbombe-fuer-privatanwender-und-unternehmen/
[4] https://techcommunity.microsoft.com/t5/windows-it-pro-blog/moving-from-project-to-process-digital-transformation-with/ba-p/175688

Letzte Beiträge

Wo SD-WAN sinnvoll ist12. November 2024 - 7:00
Software-Defined Wide Area Network (SD-WAN) kann helfen, Single Points of Failure in der Vernetzung von Standorten zu vermeiden und somit die Verfügbarkeit der WAN-Anbindung von Standorten zu erhöhen. Der Schlüssel zu mehr Hochverfügbarkeit ist dabei die Unabhängigkeit von einzelnen Service-Providern.
Fortschritt oder geplante Obsoleszenz?8. November 2024 - 7:00
Die Telekom hat angekündigt, dass der Mobilfunkstandard voraussichtlich 2028 abgeschaltet wird. Die Gründe hierfür sind klar: Energieeinsparungen und das Freistellen wertvoller Fre-quenzen für neuere Technologien.
NIS-2 und die Betroffenheitsprüfung5. November 2024 - 7:00
Mit der NIS-2-Richtlinie setzt die Europäische Union einen neuen Standard für die Cybersi-cherheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt ein Tool für Unternehmen zur Verfügung, damit diese feststellen können, ob sie von der NIS-2-Richtlinie betroffen sind.
URLLC bald auch im WLAN?29. Oktober 2024 - 7:00
„Ultra High Reliable“ (UHR) WLAN klingt nach “Ultra Reliable and Low Latency Communications” (URLLC) beim 5G-Mobilfunk. In der Tat schaut sich die IEEE Task Group 802.11bn einiges bei 5G ab, um es in WLAN der nächsten Generation (Wi-Fi 8) zu übernehmen. Wir stellen kurz erste Ideen zu Wi-Fi 8 vor.
(Noch) mehr IPv6-Adressen – brauchen wir das wirklich?24. Oktober 2024 - 7:00
IPv6 bietet eine immense Anzahl an IP-Adressen, die über die Möglichkeiten von IPv4 hinausgehen. Aktuell erfolgt die Zuteilung durch Organisationen wie die RIPE an Internetprovider und registrierte Mitglieder als /29er-Adressbereiche (sofern keine gesonderte Begründung vorliegt). Es bestehen Bestrebungen, die Vergabe auf größere Adressbereiche zu erweitern. Dies wirft Fragen zum tatsächlichen Bedarf sowie zur Lesbarkeit der Adressen auf.

Windows 7 ist tot, es lebe Windows 10. Stimmt leider nicht!

Kontakt

Services

Rechtliches

Windows 7 ist tot, es lebe Windows 10. Stimmt leider nicht!

Teile diesen Eintrag

Kontakt

Services

Rechtliches