Im April 2014 lief der Support für Windows XP aus. Seitdem gibt es für dieses Betriebssystem keine Sicherheits-Updates mehr. Trotzdem läuft im noch eine erhebliche Menge an IT-Systemen mit der veralteten Software.

Sieben Prozent waren es noch im Oktober 2014 laut einer Erhebung von Statcounter. Wie gefährlich sind diese verbleibenden Installationen von Windows XP wirklich? Die Meinungen dazu gehen auseinander. Während die einen von Tickenden Zeitbomben reden, publizieren die anderen Anleitungen, wie man alte XP-Rechner aufwändig absichern kann. Große Organisationen wie das Land Niedersachsen oder die Bundeswehr erkaufen sich Support-Verlängerungen. Drittanbieter werfen Lösungen auf den Markt, mit denen das ungepatchte Altsystem notdürftig abgesichert werden kann. Zudem gibt es Versionen von Windows XP, die noch etwas länger mit Sicherheits-Updates versorgt werden – diese sind unter anderem in Geldautomaten oder Kassensystemen eingesetzt. Und schließlich gibt es noch Anwender die komplett ungesicherte XP-Versionen auf isolierten PCs einsetzen – so geht zum Beispiel die Bundeswehr auf mehreren Tausend Rechnern vor.

Was soll man von dieser Gemengelage halten? Eins ist klar: Die oberste Priorität hat die Migration aller Windows-XP-Installationen auf ein aktuelles, sicheres Betriebssystem. Das kann in einigen Bereichen durchaus Linux sein – zumal der Umstieg von XP auf Linux oft einfacher ist als ein Upgrade von XP auf das aktuelle Windows 8. Wer glaubt, ein ungepatchtes Windows XP hinter einer Firewall sicher betreiben zu können, ist auf dem Holzweg. Es gibt genügend Statistiken, dass gerade in grösseren Unternehmen eine der ganz großen Gefahrenquellen Sabotage und Datendiebstahl der eigenen Mitarbeiter ist. Dagegen hilft keine Firewall. Ein ungepatchtes Windows XP abzusichern, ist zudem sehr aufwändig.

Wenn eine Firma das angeblich leisten kann, warum ist dann der rechtzeitige Wechsel auf neue Technologien nicht gelungen? Es mag sein, dass es in einzelnen Fällen wirklich von Nöten ist, XP noch zu nutzen. Und es mag auch sein, dass dies in einem sicheren Umfeld geschehen kann (in eigenem Subnetz; komplett angeschottet; etc etc.) – aber dies sollten doch eigentlich solch seltene Ausnahmen sein, dass sie keiner Rede wert sind.