[Technik] Windows XP noch immer verbreitet: IT-Experten warnen vor Sicherheitsrisiken

Der Support für Microsofts betagtes Betriebssystem Windows XP wurde - nach mehreren Verlängerungen - bereits vor einem halben Jahr eingestellt. Auch Sicherheits-Updates für das 14 Jahre alte OS werden seitdem nicht mehr ausgeliefert. Spätestens das, sollte man meinen, müssten die verbliebenen XP-Nutzer zum Anlass genommen haben, um zumindest die mit dem Internet verbundenen Rechner auf ein moderneres Betriebssystem umzustellen. Das allerdings gilt nicht für alle: Auf rund 7% der mit dem Internet verbundenen deutschen Computer läuft immer noch Windows XP. IT-Sicherheitsexperten sehen dies äußerst kritisch. XP-Nutzer gefährden mit ihren unsicheren Maschinen nicht nur ihre eigenen Daten, sondern auch die Rechner anderer Leute, warnen die Fachleute.

Messungen der Analysefirma Statcounter zufolge lief Windows XP im September auf 6,89 Prozent der genutzten Rechner. Vor allem in Unternehmen finden Experten die Nutzung besorgniserregend. "Windows XP auf vernetzten Firmenrechnern ist eine tickende Zeitbombe", sagte Axel Oppermann, Analyst des Beratungshauses Avispador. Wer das System einsetze, handele "grob fahrlässig" und gefährde nicht nur sein eigenes Unternehmen, sondern auch seine Partner. "Es ist nicht die Frage, ob, sondern wann die IT gehackt werden wird."

Die mangelnde Sicherheit von Windows XP verglichen mit moderneren Konkurrenten hat dabei zwei Ursachen. Die eine ist die bereits erwähnte Tatsache, dass keine Updates mehr ausgeliefert werden und einmal entdeckte Sicherheitslücken somit auf unbegrenzte Zeit hin ausgenutzt werden können. Die andere Ursache sind von Anfang an vorhandene konzeptionelle Schwächen, etwa die wenig durchdachte Rechtevergabe und das daraus resultierende verbreitete Surfen mit Administrator-Konten sowie das Fehlen moderner Sicherheitsfeatures wie etwa einer Absicherung des Arbeitsspeichers gegen Overflow-Angriffe durch eine zufällige Verteilung der Daten auf die Speicheradressen.

Wer den Umstieg noch immer nicht geschafft hat, sollte sich also beeilen. Ob die Experten allerdings die letzten Hartnäckigen, die sich einem Umstieg bereits seit Jahren verweigern - sei es aus Überzeugung oder Gleichgültigkeit - mit ihren Warnungen erreichen, darf bezweifelt werden. Somit bleibt in vielen Fällen wahrscheinlich nur, abzuwarten, bis komplett neue Rechner - mit einem entsprechend modernen Betriebssystem - angeschafft werden.

Quelle: heise

 

[gelöschter Benutzer]

Je weniger Pseudo-Windows-Vorkenntnisse jemand mitbringt, desto besser kommt er mit Linux klar.

Habe den relevanten Begriff in diesem Satz mal dezent hervorgehoben.

 

[accC]

@AccC
Dein Post ist noch mehr biased als die anderen und steckt noch mehr voller ungeprüfter Vorurteile.

Ich verwende seit Jahren sowohl Windows, als auch GNU/Linux, als auch Mac OS / Mac OS X. Wenn du mir eines nicht vorwerfen kannst, dann ungeprüfte Vorurteile.

- und genau das meine ich. "Rechner in vollen Umfang nutzen" wird direkt mit irgendeinem hack, in den Eingeweiden herumwühlen und installieren auf exotischer Hardware gleichgesetzt. Darum geht es aber nicht bei der arbeit mit OSX. Du kaufst einen Mac, schaltest ihn an und du hast ca. 7 Jahre lang ruhe vor genau diesen Dingen. Du hast kein Interesse daran an ihm irgendwas herumzuschrauben, du willst/musst ihn nicht upgraden, er soll einfach funktionieren. Das ist die Quintessenz.

Genau das ist aber das Problem. Solange ich mich nur im Apple Universum bewege und nur genau das machen will, was Apple sich gedacht hat, was ich mit der Hardware/ Software machen will/darf/soll, dann ist das schön und gut. Aber Apple setzt harte Grenzen, die ich nicht überschreiten kann/darf/soll. Das hat mit "in vollen Umfang nutzen" überhaupt nichts zu tun. Stell dir vor ich stell dir einen Porsche hin, drossele ihn auf 60km/h und klebe Kofferraum und Motorhaube zu. Da brauchst du auch die ersten Jahre nichts zu machen und danach kannst du ihn wegwerfen. Sieht von außen wunderschön aus, aber nutzen, wie ich das möchte ist nicht drin und auf lange Sicht nutzen schon 2x nicht.

Ich schraube nun seit 24 Jahren an Rechnern herum, glaube mir, auch für mich war das eine Umstellung. Aber für die Arbeit habe ich mich irgendwann dazu entscheiden dass dort der Fokus auf meiner Arbeit liegen sollte, und nicht darauf was ich wie upgrade um dies und das zu können, Hardwarespecs vergleichen, oder bessere treiber für irgendetwas suchen etc. Es ist der gegenentwurf zum schrauber und tweakertum. UNd ich denke genau das hat seine Daseinsberechtigung, nicht nur als Boutique-Hardware, so wie du sie gerne hinstellst.

Mein GNU/Linux am Arbeitsplatz war innerhalb von einem Tag so eingerichtet, dass alles, was ich brauche exakt so läuft, wie ich es brauche und ich habe nicht nur 3 Standardprogramme, sondern diverse Spezialsoftware gebraucht. Unter Windows steht ca 1/2 davon überhaupt nicht zur Verfügung. Alles, was unter Windows und/oder Mac OS zur Verfügung steht braucht ca 10x so viel Bastelaufwand, bis es so läuft, wie ich es erwarte.
Um weiter zu gehen, wenn ich bestimmte Geräte programmiere, dann kann ich da kein fanzy mac os x drauf installieren und erst recht kein Windows. Dann brauche ich ein Grundsystem, das mit minimaler Hardware auskommt und genau meine Anforderungen erfüllt und mir absolut freie Hand lässt und nicht versucht mich mit irgendwelche Scheiße zu Gängeln.

Noch zum Preis: Kein Interesse diese schon milliardenfach geführte diskussion für dich nochmal aufzukochen. Wenn es dich interessiert kannst du dir ja selbst mal raussuchen was du für die gleich hardware, in einem aus einem mono-block Aluminium gefrästen Gehäuse bezahlst. Oder für nen Laptop mit ca. 14 Stunden akkulaufzeit... Ist alles relativ. Und im endeffekt bezahlt man evtl. ein klein wenig mehr für das (Industrie-führende) Design, hat dann aber auch nicht nen 40 Kg Alienware Laptop mit grüner unterbodenbeleuchtung.

"Kostet weniger" - "Vielleicht kostet es mehr, aber dafür ist man dann freier und kann seinen Mac so nutzen, wie man will" - "Vielleicht ist man nicht freier, aber wenn du nichts dran machen willst, ist es besser und vor allem schöner" - Merkst du eigentlich, dass du nur verzweifelt versuchst den Kauf von eines Macs irgendwie zu rechtfertigen. Wirkliche Argumente hast du bisher noch keine einzigen gebracht. Wie wäre es, wenn du Studien aufführst oder Fakten und nicht immer nur "weil ich das so sage ist es so"-Aussagen?
Du kaufst dir aber bestimmt auch 5m² Goethe im Eiche-farbenen Ledereinband, fürs Wohnzimmer, weils fanzy aussieht, oder?

 

[Ungesund]

@accC:
Nur weil du durch deine hölzerne Sicht der Dinge meine Argumente nicht als Argumente ansiehst, heißt das nicht dass sie keine sind.
Diskutieren mit dir ist auf dieser Ebene, zu diesem Thema, offensichtlich völlig sinnlos, da andere Nutzungsszenarien als deine eigenen nicht als solche gelten.

 

[Kugelfisch]

Vor einiger Zeit hab ich mich in der Firma mal an einen Mac Mini gesetzt und wollte einfach mal rausfinden, was für 'ne CPU da drinsteckt. Gut, das interessiert den 0815-Anwender eher weniger. Ich hab's nicht geschafft, dem Rechner diese Info zu entlocken. Soviel zu "intuitiv".

$ system_profiler -detailLevel full SPHardwareDataType
Hardware:

    Hardware Overview:

      Model Name: MacBook Pro
      Model Identifier: MacBookPro11,3
      Processor Name: Intel Core i7
      Processor Speed: 2.6 GHz
      Number of Processors: 1
      Total Number of Cores: 4
      L2 Cache (per Core): 256 KB
      L3 Cache: 6 MB
      Memory: 16 GB
...

Die Ausgabe mag nicht so detailliert sein wie /proc/cpuinfo (und Mac OS X verfügt nicht über ein procfs), doch die grundlegenden Informationen zu CPU-Typ und -Cores sind vorhanden. Detaillierte Informationen lassen sich alternativ auch per sysctl abfragen:

$ sysctl machdep.cpu
...
machdep.cpu.vendor: GenuineIntel
machdep.cpu.brand_string: Intel(R) Core(TM) i7-4960HQ CPU @ 2.60GHz
...

Zur Allgemeinen Mac-OS-X-Diskussion - dass Mac OS X im Allgemeinen intuitiver ist als andere unixoide Systeme, kann ich für meinen Anwendungsfall nicht bestätigen. Allerdings ist es, nach einiger Einarbeitungszeit, ein durchaus brauchbares und (für meinen Anwendungsfall) ausreichend anpassbares Unix - anders als bei iOS-Geräten werden dem Nutzer, der sein System verändern möchte, auch nicht künstlich Steine in den Weg gelegt. Der Vorteil gegenüber GNU/Linux besteht u.a. darin, dass gewisse kommerzielle Anwendungen für Mac OS X, nicht jedoch für GNU/Linux zur Verfügung stehen, und dass die Hardwareunterstützung für die eingeschränkte Menge an unterstützter Hardware optimal ist. Daher ist der initiale Einrichtungsaufwand geringer - unter GNU/Linux muss man gerade bei aktueller Laptop-Hardware nach wie vor häufig manuell eingreifen, bis sämtliche Hardware inklusive Stromsparmodi der Komponenten und Suspend-to-RAM/Disk wie gewünscht funktionieren.
Das heterogene Paketmanagement sehe ich allerdings tatsächlich als ein Problem von Mac OS X. Anwendungen aus Apples App Store, inklusive Mac OS X selbst, werden darüber aktualisiert. Anwendungen aus der Unix-Welt lassen sich u.a. aus den MacPorts- oder Homebrew-Repositories installieren und aktualisieren. Ausserdem lassen sich natürlich auch Anwendungen komplett an den Paketmanagern vorbei installieren, die dann entweder ein eigenes Update-System mitbringen müssen (u.a. diverse Browser) oder manuell aktualisiert werden müssen.
Die Hardware ist natürlich nicht unbedingt günstig, allerdings sind z.B. Lenovo ThinkPads mit ähnlichen Spezifikationen wie die MacBook-Pro-Modelle vergleichbar teuer. Der einzige Kritikpunkt ist meines Erachtens die schlechte Wartbarkeit durch dir immer stärkere Miniaturisierung (fest verbaute Akkus, aufgelötete RAM-Bausteine, ...). Allerdings sind die Apple-Notebooks dadurch in der Regel auch etwas leichter und kompakter als vergleichbare ThinkPads.


Um auf das ursprüngliche Thema zurückzukommen: von Windows XP mag aktuell noch keine akute Gefahr ausgehen, weil die Unterstützung zwar eingestellt wurde, jedoch bisher noch keine kritischen Schwachstellen bekannt wurden, welche sich ohne physischen Zugang zum System ausnutzen lassen. Daher bleiben aktuell lediglich die fehlenden evasiven Massnahmen (kein ASLR, standardmässiges Arbeiten mit administrativen Rechten, ...) als Sicherheitsrisiken. Das Problem sind allerdings meines Erachtens nicht die Firmen, deren Migrationspläne sich um einige Monate verzögert haben, sondern diejenigen, die eine Migration gar nicht in Betracht ziehen. Die Analogie zur `tickenden Zeitbombe` ist passend: wenn zukünftig eine ausnutzbare Schwachstelle in XP bekannt wird, müssen sämtliche direkt oder indirekt mit dem Internet verbundenen Windows-XP-Systeme sehr zeitnah migriert werden. Diejenigen, die aktuell keine Möglichkeit sehen, auf ein moderneres Betriebssystem umzusteigen, werden mutmasslich spätestens zu diesem Zeitpunkt in ernsthafte Bedrängnis geraten.
Bei Embedded-Systemen, die nicht mit dem Internet verbunden sind und auch keine Daten von Ausserhalb (z.B. über USB-Speicher oder ein internes Netzwerk) erhalten, ist die Gefahr natürlich wesentlich geringer. Diese werden allerdings bei den üblichen Erhebungen der Betriebssystem-Marktanteile über Zählpixel im Web auch nicht berücksichtigt ...

 

[BurnerR]

Sehe ich das denn richtig, dass es relativ (zu anderen OS) unwahrscheinlicher ist, dass kritische Sicherheitslücken - die aber schon ausgenutzt werden - von der IT Security Gemeinde entdeckt werden?
Fallen dadurch das XP obsolet ist nicht diverse Entdeckungsszenarien raus oder macht das keinen Unterschied?
Ich habe da nicht so den direkten Einblick wie sowas üblicherweise / öfters / manchmal abläuft.

 

[Kugelfisch]

Das hängt vom konkreten Szenario ab. Sollte eine Schwachstelle in Windows XP auf breiter Front ausgenutzt und diverse Windows-XP-Systeme kompromittiert werden, ist wohl davon auszugehen, dass dies auffällt. Werden hingegen nur einige wenige, `interessante` Systeme gezielt kompromittiert, ist wesentlich unwahrscheinlicher, dass dies auffällt und der Exploit-Code analysiert wird. Das ist gilt allerdings unabhängig vom Betriebssystem.

Die grösste Gefahr besteht meines Erachtens darin, dass zukünftig eine kritische Schwachstelle in aktuellen Windows-Versionen bekannt wird, welche auch Windows XP (und ggf. auch ältere Windows-NT-Versionen) betrifft. Diese würde in Windows >= Vista behoben, in Windows XP jedoch nicht mehr. Ein funktionsfähiger Exploit-Code würde sich mutmasslich innerhalb von Tagen verbreiten.

 

[Novgorod]

wenn zukünftig eine ausnutzbare Schwachstelle in XP bekannt wird, müssen sämtliche direkt oder indirekt mit dem Internet verbundenen Windows-XP-Systeme sehr zeitnah migriert werden. Diejenigen, die aktuell keine Möglichkeit sehen, auf ein moderneres Betriebssystem umzusteigen, werden mutmasslich spätestens zu diesem Zeitpunkt in ernsthafte Bedrängnis geraten.

naja, das kommt dann mit auf die waage (kosten-nutzen-rechnung), aber ich bezweifle, dass es jemals (!) einen höheren einfluss auf diese haben wird als das ebenfalls in zukunft immer mehr an bedeutung gewinnende argument der leistung und funktionalität.. ich meine, für ein kleines büro o.ä. wird irgendwann die tatsache ausschlaggebend sein, dass neue hardware und software nicht mehr richtig unter XP funktionieren wird (drucker, webcams, skype-scheiße etc.) oder dass der rechner insgesamt "zu langsam" ist und HD-videos auf youtube ruckeln (was kein XP-problem ist, aber wenn man sich eh nen neuen rechner kauft, hat die neue hardware noch schlechtere XP-kompatibilität und ein neues OS ist ja meistens eh schon dabei).. eine sicherheitslücke dagegen wird da keinen vom hocker reißen, denn das bedeutet maximal eine eingeschränkte verwendbarkeit (nämlich restriktionen, die verhindern, dass sowas überhaupt auf den rechner gelassen wird).. je nach dem könnte dieser mehraufwand, solche ristriktionen überhaupt einführen zu müssen, die waage schon zum kippen bringen, aber im "office"-bereich verbreiten sich viren nach wie vor am erfolgreichsten über emails und crapware, da fällt das erhöhte risiko von XP durch gehackte webseiten eher wenig ins gewicht.. und hier sprechen wir nur von systemen, die allein aufgrund von installationsaufwand und "IT"-kosten nicht geupgraded werden.. bei legacy-systemen, die aufgrund von spezialhardware auf XP angewiesen sind, ist die waage noch viel weiter auf der "bleiben"-seite - wenn man besagte (super-teure) hardware noch 5 jahre nutzen will/muss, dann interessieren XP-sicherheitslücken am allerwenigsten, eher werden diese rechner vom internet getrennt..

Vor kurzem wollte ich mir auf meinem Arbeitsrechner (Win8.1) ein Programm installieren, mit dem ich das Windows-Kontextmenü etwas aufräumen kann.

da der thread eh lange durch ist, ein bisschen OT: ahm, also von dir als linux-methusalem hätte ich eher erwartet, dass du solche sachen mit konsolen-hackerei und skripten angehst .. ja, unter windows gibt es die unsitte, für jede popelaufgabe (selbst fürs umbenennen von ein paar dateien gleichzeitig ) irgendein schrott-"tool" zu installieren.. unter linux bastelt man sich dafür doch in 2 minuten ein skript, oder? warum nicht unter windows? - geht genauso einfach und niemand muss manuell in der registry hunderte einträge durchgehen.. wer die fürchterliche konsole nicht mag, kann eine beliebige skriptsprache seiner wahl nutzen (delphi, python, auto-it und wie sie alle heißen - sogar matlab oder labview ).. also gerade wenn man linux-erfahrung hat, kriegt man trivialaufgaben auch ohne "tools" zum installieren hin ..

 

[BurnerR]

Bitte nicht Delphi oder matlab Skriptsprache nennen :P.

 

[musv]

ja, unter windows gibt es die unsitte, für jede popelaufgabe (selbst fürs umbenennen von ein paar dateien gleichzeitig ) irgendein schrott-"tool" zu installieren.. unter linux bastelt man sich dafür doch in 2 minuten ein skript, oder? warum nicht unter windows? - geht genauso einfach und niemand muss manuell in der registry hunderte einträge durchgehen..

Hab ich probiert. Aber das ist nicht so einfach.

Die Einträge im Kontextmenü stehen kontextbedingt (Anwendungen, Desktop, generell) an verschiedenen Stellen in der Registry. Hier ist das ganz gut erklärt.

Löschen geht. Entweder stehen die Einträge im Klartext drin, oder sie verweisen auf eine kryptische GUID, die dann irgendwoanders den Namen enthält.

Einfügen geht auch noch, in dem man an die entsprechende Stelle (siehe Link) das entsprechende Kommando oder die GUID einfügt. Ist aber natürlich etwas aufwendiger als das Löschen.

Umsortieren hab ich leider nichts dazu rausgefunden.

Insgesamt ist diese Aufgabe nicht trivial. Und nach einigem Rumprobieren hab ich dann entnervt aufgegeben. Es ist zwar eklig, wenn man im Kontextmenü haufenweise sinnlose Sachen drinstehen hat und die brauchbaren dafür fehlen. Aber das rechtfertigt jetzt auch nicht, dass ich mich dafür tagelang hinsetz.

 

[Novgorod]

ich habs jetzt nur mal überflogen - es ist nicht so einfach wie dateien umbenennen, aber alles in allem ist das ein (bedingtes) suchen/filtern/ersetzen-problem, was sich relativ gut per skript automatisieren lassen sollte.. man braucht halt erstmal eine gute dokumentation, wie sich die eigentliche funktion (in diesem fall die elemente im kontextmenü) aus dem registry-zeug ergibt, ich glaube das ist bei solchen windows-innereien das eigentliche problem...

 

[Kugelfisch]

naja, das kommt dann mit auf die waage (kosten-nutzen-rechnung), aber ich bezweifle, dass es jemals (!) einen höheren einfluss auf diese haben wird als das ebenfalls in zukunft immer mehr an bedeutung gewinnende argument der leistung und funktionalität..

Das hängt davon ab, unter welchen Umständen eine zukünftige Schwachstelle ausnutzbar wäre. Wäre das z.B. komplett von Aussen (z.B. eine Schwachstelle im Netzwerkstack) oder über Browser oder E-Mail-Clients ohne Benutzerinteraktion möglich (z.B. eine Schwachstelle im GDI, die sich über präparierte HTML-Inhalte auslösen lässt), müsste man die Systeme entweder auf eine aktuelle Version von Windows migrieren oder vom Internet trennen. Sicherlich werden das nicht alle Benutzer sofort einsehen, doch spätestens nachdem das System einige Male in Folge kompromittiert wurde und (durchaus nicht kostenlos) neu aufgesetzt werden musste, kann das wohl jeder nachvollziehen.

bei legacy-systemen, die aufgrund von spezialhardware auf XP angewiesen sind, ist die waage noch viel weiter auf der "bleiben"-seite - wenn man besagte (super-teure) hardware noch 5 jahre nutzen will/muss, dann interessieren XP-sicherheitslücken am allerwenigsten, eher werden diese rechner vom internet getrennt..

Das ist selbstverständlich, auf solch eingebetteten Systemen (z.B. Maschinensteuerungen) ist ja teilweise nicht einmal das aktuelle Service Pack installiert, weil die dedizierte Hard-/Software damit nicht mehr funktionieren würde. Sofern das System keinen direkten oder indirekten Internet-Zugang hat, spricht grundsätzlich auch wenig dagegen, es weiter zu verwenden. Im Zweifelsfall muss man bloss davon ausgehen, dass jeder, der physischen Zugang zum System hat, es auch komplett übernehmen kann.

ja, unter windows gibt es die unsitte, für jede popelaufgabe (selbst fürs umbenennen von ein paar dateien gleichzeitig ) irgendein schrott-"tool" zu installieren.. unter linux bastelt man sich dafür doch in 2 minuten ein skript, oder? warum nicht unter windows?

Weil Windows keine standardmässig keine Shell und Kommandozeilen-Tools mit vergleichbarem Umfang mitbringt - und weil die Automatisierung der Systemkonfiguration unter unixoiden Betriebssystemen durch das `alles ist eine Datei`-Konzept wesentlich leichter ohne explizite Nutzung von System-APIs (die in vielen Skriptsprachen nicht oder nur über zusätzliche Bindings zur Verfügung stehen) möglich ist.

 

[musv]

Weil Windows keine standardmässig keine Shell und Kommandozeilen-Tools mit vergleichbarem Umfang mitbringt - und weil die Automatisierung der Systemkonfiguration unter unixoiden Betriebssystemen durch das `alles ist eine Datei`-Konzept wesentlich leichter ohne explizite Nutzung von System-APIs (die in vielen Skriptsprachen nicht oder nur über zusätzliche Bindings zur Verfügung stehen) möglich ist.

Und vermutlich auch noch, weil die Syntax der Windows-CMD äußerst gewöhnungsbedürftig ist. Ich würde sogar "antiintuitiv" sagen. Ein Shellskript unter Linux lässt sich einfach um ein Vielfaches leichter lesen.