Sind Sie noch auf dem „Stand der Technik“?
Für das Client Betriebssystem Windows 7 sowie die Server Betriebssysteme 2008 und 2008 R2 endete am 14.01.2020 der Support. Mit dem Patchday im Januar 2020 erhielten diese Systeme, sofern nicht erweiterte Supportverträge existieren, letztmalig Sicherheitsupdates. Ebenfalls läuft der Support für den WSUS 3.0 SP2 (Windows Server Update Service) aus.
Nach über 10 Jahren keine Sicherheitsupdates mehr - Schwere Folgen durch weiteren Einsatz
Nach über 10 Jahren gibt es nun für Windows 7 sowie den Server 2008/R2 keine Sicherheitsupdates, Aktualisierungen oder technische Unterstützung mehr. Da Windows 7 aber noch bei vielen Nutzern und Unternehmen im Einsatz ist, erhöht sich das Risiko und der Einsatz kann schwere Folgen haben. Es ist zu erwarten, dass hierdurch vorrangig das auf einigen Millionen Computern laufende Betriebssystem Windows 7 ein noch attraktiveres Ziel für Angreifer wird.
Zum Vergleich wurden im Jahr 2010 laut der CVE Schwachstellen-Datenbank 64 Sicherheitslücken in Windows 7 entdeckt. Im Jahr 2019 waren es 250. Insgesamt wurden zwischen 2009 und 2019 1283 Sicherheitslücken gefunden. Es werden also zukünftig sicherlich noch weitere Lücken auftauchen. Für diese gibt es aber keine Sicherheitsupdates mehr, sofern der Anwender keinen erweiterten Supportvertrag mit Microsoft abgeschlossen hat. Das wird den Großteil der Windows 7 und Server 2008 Systeme betreffen. Genau diese Lücken werden Angreifer zukünftig verstärkt ausnutzen.
Verlängerter Support ist kostenpflichtig
Auswege gibt es nur für Firmenkunden und Behörden mit Volumenlizenzen. Hier besteht die Möglichkeit, den Support für die Geräte auf einen weiteren begrenzten Zeitraum zu verlängern. Gegen extra Bezahlung erhalten diese Kunden weiterhin Updates. Für die meisten kleineren und mittleren Unternehmen, sowie den Privatanwender, besteht diese Option jedoch nicht.
Höchste Zeit für den Wechsel des Betriebssystems
Das bedeutet, dass es jetzt höchste Zeit wird, sich Gedanken um den Wechsel des Betriebssystems zu machen. Spätestens nach dem nächsten Patchday am 11. Februar 2020 sollten alte Windows 7 und Server 2008/R2 Systeme keine Verbindung zum Internet oder zu fremden Datenträgern mehr herstellen. Betroffen ist nicht nur das Betriebssystem Windows 7, sondern auch mitinstallierte Anwendungen wie z.B. der Internet Explorer, welcher ebenfalls keine Updates mehr erhält.
Nach Veröffentlichung der nächsten Sicherheits-Updates für Firmenkunden, welche dann allerdings nur bei zahlenden Kunden installiert werden, können Hacker und Cyberkriminelle vermutlich Rückschlüsse auf bestehende Sicherheitslücken des Betriebssystems und Browsers schießen. Daraus werden dann Angriffsszenarien auf diese Sicherheitslücken abgeleitet und entwickelt. Laut Statistikportal Netmarketshare ist hier jeder vierte PC betroffen, insgesamt rund 450 Millionen. Nach dem Supportende für Windows 7 ist zu erwarten, dass monatlich neue Bugs bekannt werden, die dann von den Angriffsszenarien genutzt werden.
Windows 7 - Eine tickende Zeitbombe
Einige Sicherheitsexperten bezeichnen Windows 7 aufgrund der zu erwartenden steigenden Anzahl der Sicherheitslücken und Angriffe daher als tickende Zeitbombe. Dieses gilt gleichermaßen für Unternehmen und Privatanwender. Eventuell ist sogar zu erwarten, dass Cyberversicherungen in Schadensfällen die Zahlungen aufgrund des veralteten Betriebssystems ablehnen. Sollte es also in Unternehmen zwingende technische Gründe geben, Windows 7 über einen weiteren längeren Zeitraum zu betreiben, ist die Empfehlung zumindest hier mit der Versicherung abzuklären, ob diese für Schäden haftet.
Aus Gründen der IT-Sicherheit wird die weitere Verwendung von Windows 7, zumindest im professionellen Umfeld, sogar mehr als fahrlässig eingestuft. Das hohe Risiko durch zukünftig auftretende und bekanntwerdende Sicherheitslücken, die nicht mehr behoben bzw. geschlossen werden und die sich daraus ergebende Gefahr, muss jedem IT-Verantwortlichen und Geschäftsführer im Unternehmen bewusst sein. Angekündigt wurde das nahende Supportende schon vor langer Zeit. Unternehmen hatten daher genügend Zeit, sich um die Umstellung auf alternative Betriebssysteme zu kümmern.
Auch Privatanwender hatten bis Juli 2016 die Möglichkeit, durch ein eingeblendetes Hinweisfenster ihr System auf Windows 10 zu updaten. Jedoch wurde auch hier überwiegend nach Lösungen gesucht, den „nervigen“ Hinweis zu deaktivieren, anstatt das Supportende vor Augen zu haben und zu berücksichtigen.
Supportende aus Sicht der DSGVO
Auch aus Sicht der DSGVO ist das Supportende kritisch. Die EU-Datenschutzgrundverordnung (DSGVO) verlangt von Unternehmen, Vereinen, Arztpraxen und Anwaltskanzleien, bei Nutzung und Verarbeitung personenbezogener Daten, auf allen eingesetzten Geräten und Systemen den Stand der Technik einzuhalten. Unternehmen, Ärzte, Anwälte und viele andere, die weiterhin Windows 7 oder Server 2008/R2 einsetzen und darauf Daten speichern oder verarbeiten, verstoßen damit gegen die EU-DSGVO. Die Konsequenz hieraus könnte sein, dass die Bußgelder, welche die Datenschützer bei Datendiebstählen verhängen, wesentlich höher ausfallen werden.
FAZIT
Sollten Sie sich hier angesprochen fühlen und auch bei Ihnen im Unternehmen noch Windows 7 oder Server 2008/R2 zum Einsatz kommen, wird es höchste Zeit sich Gedanken über den Umstieg zu machen. Prüfen Sie, ob die bei Ihnen eingesetzte Hardware mit Windows 10 oder den Nachfolgern der Serversysteme der Versionen 2012 R2 (Main Support Ende 10.09.2018. Erweiterter Support Ende 10.10.2023) oder besser aktuellere Serverversionen wie den Server 2016 (Main Support Ende 11.01.2022. Erweiterter Support Ende 12.01.2027) oder die ganz aktuelle Version Server 2019 (Main Support Ende 09.01.2024. Erweiterter Support Ende 09.01.2029) kompatibel und lauffähig ist.
Sofern dann technisch möglich, sollte ein zeitnahes Update oder entsprechende Neuinstallationen durchgeführt werden.
Auch Hersteller von Drittanbieter Software werden vermutlich den Support für ihre Produkte in Kombination mit Installationen veralteter Betriebssysteme einstellen oder haben dies bereits getan. Oder dies für zukünftige Versionen bereits angekündigt.
