Auf verlorenem Posten

Windows XP vor dem Support-Aus

Praxis & Tipps | Praxis

XP ist die am häufigsten infizierte Windows-Version. Und das kommt nicht von ungefähr: Dem Betriebssystem fehlen etliche Schutzfunktionen, die Microsoft im Laufe des vergangenen Jahrzehnts in die Nachfolgeversionen eingebaut hat. Warum ab 2014 alles noch viel schlimmer wird und XP-Nutzer schon jetzt ein Upgrade planen sollten.

F ür ungefähr jeden vierten Internetnutzer ist das elf Jahre alte Windows XP laut Statistiken nach wie vor das Betriebssystem der Wahl – und das, obwohl den meisten davon klar sein dürfte, dass der Urgroßvater von Windows 8 den aktuellen Angriffsmethoden der Cyber-Ganoven nicht allzu viel entgegenzusetzen hat. Dieser Meinung ist auch Microsoft: Gegenüber c’t erklärte das Unternehmen, dass XP „nicht für die heutige Bedrohungslage ausgelegt“ ist.

Auch der jüngste Gefahrenbericht des Unternehmens lässt keinen Zweifel an dieser Aussage: Demnach mussten Microsofts Schutzprogramme im ersten Halbjahr 2012 bei XP-Nutzern doppelt so häufig Schadcode vom System kratzen wie bei Nutzern neuerer Windows-Versionen. Von 1000 untersuchten XP-Rechnern waren 10 infiziert.

In naher Zukunft dürfte sich die Lage weiter zuspitzen, da am 8. April 2014 der sogenannte Extended Support von XP ausläuft. Das Support-Ende bedeutet vor allem, dass Microsoft keine weiteren Sicherheits-Updates entwickeln wird. Neu entdeckte Sicherheitslöcher werden dann nicht mehr geschlossen, wodurch sich XP nach und nach zu einem Schweizer Käse entwickelt. Verübeln kann man Microsoft das Einstellen des Supports nicht, immerhin hat Redmond das Betriebssystem dann über 13 Jahre lang unterstützt. Zum Vergleich: Den Kassenschlager Windows 95 hat das Unternehmen nicht mal halb so lange gepflegt.

Für viele Software- und Hardware-Hersteller dürfte das Support-Ende ein willkommener Anlass sein, die XP-Unterstützung ihrerseits ebenfalls einzustellen. Wer danach noch XP nutzt, sollte gute Gründe dafür haben – und wissen, was er tut.

Patchday ohne Patch

Spätestens, wenn Microsoft die ersten kritischen Windows-Lücken nach dem Tag X schließt und dabei Windows XP nicht mehr berücksichtigt, sollte sich bei den verbleibenden XP-Nutzern ein flaues Gefühl in der Magengegend einstellen: Da einige Systemkomponenten historisch gewachsenen Code nutzen, betreffen Schwachstellen allzu oft sämtliche Ausgaben des Betriebssystems. So wurde etwa im Frühjahr eine kritische Lücke im Remote-Desktop-Server bekannt, durch die man alle Windows-Versionen mit speziell präparierten Netzwerkpaketen kompromittieren kann. Ein passender Exploit kursierte nur zwei Tage, nachdem der Patch veröffentlicht wurde, im Netz. Man muss fest damit rechnen, dass Schwachstellen ähnlichen Kalibers auch in Zukunft entdeckt werden – und die dazu passenden Patches werden Exploit-Entwicklern wertvolle Hinweise darauf liefern, wo genau das Sicherheitsloch klafft. Darüber, ob auch XP betroffen ist, kann man dann nur rätseln, weil nicht länger unterstützte Produkte an den Patchdays gar nicht mehr in den Advisories auftauchen.

Zum großen Knall kann es überall dort kommen, wo das Betriebssystem mit Daten von außen in Berührung kommt. Das können Netzwerkpakete, aber auch Mediendateien, Dokumente oder Webseiten sein. Ein löchriges Betriebssystem sollte man nur noch mit großer Vorsicht benutzen – und zwar ausschließlich mit Daten eindeutig vertrauenswürdiger Herkunft. Letztere kann man im Internet nur schwerlich verifizieren. Selbst wer nur eine Hand voll Webseiten ansurft, ist nicht vor Angriffen sicher. Immer wieder manipulieren Cyber-Ganoven Anzeigenserver, damit diese über die Werbung auf eigentlich seriösen Webseiten Schadcode ausliefern. Auch im lokalen Netzwerk lauern Gefahren: Sobald Lücken in einem der Windows-Dienste bekannt werden, können Angreifer ungepatchte Rechner ohne Zutun des Nutzers übernehmen. So könnte etwa ein Schädling, der den Rechner des Sohnemanns infiziert hat, auch auf andere PCs im gleichen Netz überspringen.

Wer XP nutzt und Windows treu bleiben will, sollte also tunlichst ein Upgrade durchführen, damit der Rechner weiterhin mit Sicherheits-Patches versorgt wird. Will man in drei Jahren, wenn Microsoft den Vista-Support einstellt, nicht schon wieder vor diesem Problem stehen, sollte man mindestens zu Windows 7 greifen. Diese Version will das Unternehmen noch bis 2020 unterstützen. Noch zukunftssicherer ist Windows 8: Mit Sicherheits-Updates ist hier voraussichtlich erst im Oktober 2023 Schluss. Ein weiteres Argument spricht für die Acht: Bis Ende Januar 2013 bekommt man das Upgrade als Download-Version für günstige 30 Euro. Upgrade-berechtigt sind alle Versionen ab XP. Mehr dazu finden Sie ab Seite 104.

Viel Sicherheit fürs Geld

Für das Geld erhält man nicht nur über zehn Jahre Sicherheits-Updates, man profitiert auch von zahlreichen Schutzfunktionen, die Microsoft im Laufe der vergangenen Jahre eingebaut und verfeinert hat. So bringt Windows seit Vista etwa die Speicherverwürfelung (Address Space Layout Randomization, ASLR) mit, die Angreifern das Ausnutzen von Sicherheitslücken erschwert. Die sogenannten Integrity Levels, die Microsoft in der deutschsprachigen Windows-Version missverständlich Verbindlichkeitsstufen nennt, sorgen dafür, dass etwa Code, der über einen Webbrowser (nicht vertrauenswürdige Verbindlichkeitsstufe) ins System eingeschleust wird, nicht auf Benutzerdaten (mittlere Verbindlichkeitsstufe) und schon gar nicht auf Systemprozesse (Systemverbindlichkeitsstufe) zugreifen kann.

Darüber hinaus erleichtert die Benutzerkontensteuerung (User Account Control, UAC) das Arbeiten mit eingeschränkten Rechten. Viele der mit Vista eingeführten Schutzfunktionen hat Microsoft im Laufe der Zeit verbessert. Einen Überblick über die Änderungen in Windows 8 liefert [1]. Das prominenteste Sicherheits-Feature der neuesten Windows-Ausgabe ist der eingebaute Virenschutz Defender, bei dem es sich um die bislang separat angebotenen Microsoft Security Essentials (MSE) handelt. Der liefert einen durchaus soliden Grundschutz. Zwar schneidet die Konkurrenz in Tests besser ab, diese ist jedoch entweder kostenpflichtig, aufdringlich – oder beides.

Man muss damit rechnen, dass die Anzahl der infizierten XP-Rechner aufgrund der zunehmenden Anzahl ungepatchter Schwachstellen eher ansteigen als zurückgehen wird. Bei Virenforschern erfreut sich XP nach wie vor sehr großer Beliebtheit – allerdings installieren sie es nicht auf ihren eigenen Produktivsystemen, sondern auf speziellen Testrechnern, die der Schädlingsanalyse dienen. Das hat einen einfachen Grund: Die meisten Viren laufen unter XP nach wie vor am besten. Darauf, dass XP in naher Zukunft aus dem Fokus der Virenschreiber rückt, sollte man nicht bauen: Laut Magnus Kalkuhl, Vize-Forschungsleiter beim Virenschutzanbieter Kaspersky Lab, „dürfte im Jahr 2014 die Zahl aktiver Windows-XP-Nutzer aus Sicht der Malware-Schreiber immer noch hoch genug sein“. Außerdem ist XP das am leichtesten angreifbare Betriebssystem.

Lebenserhaltungsmaßnahmen

Wer Windows XP ab 2014 noch am Leben erhalten will – oder muss –, sollte sich darüber im Klaren sein, dass von einer komfortablen Nutzung keine Rede mehr sein kann. Ohne Sicherheits-Updates muss man das System konsequent von allem isolieren, was potenziell virulent sein könnte. Der kürzeste Weg hierzu ist das Ziehen des Netzwerkkabels beziehungsweise das Deaktivieren der WLAN-Schnittstelle. Wenn man sich dann noch von fremden USB-Sticks, optischen Datenträgern und Disketten fernhält, ist das Infektionsrisiko gering. Wer nicht auf das Netz verzichten kann, dem steht ein langer, steiniger Weg bevor.

Zunächst einmal sollte die Windows-Firewall so konfiguriert werden, dass sie alle eingehenden Verbindungen blockiert [2]. So kann ein Angreifer die potenziell verwundbaren Dienste des Rechners nicht erreichen. Weiteren Schutz bietet eine Firewall, die mit einer Whitelist arbeitet und nur die Kommunikation mit bestimmten Hosts erlaubt. So wäre zwar der Dateiserver im Firmennetz erreichbar, die Kontaktaufnahme eines Schädlings mit seinem Command&Control-Server würde hingegen fehlschlagen. Hierzu kann man entweder eine Personal Firewall auf dem Rechner nutzen oder noch besser eine vorgeschaltete, dedizierte Firewall, zum Beispiel ein Linux-System, das mit iptables die durchgeleiteten Netzwerkpakete sortiert.

Darüber hinaus ist es ratsam, die Autostarts mit dem c’t-Tool kafu.exe zu verriegeln [3]. Dadurch können sich viele Schädlinge nicht mehr dauerhaft ins System einnisten. Software Restriction Policies können verhindern, dass Software ausgeführt wird, die nichts auf dem System zu suchen hat [4]. Auch hier bietet sich das Whitelist-Prinzip an. Surfen sollte man, wenn überhaupt, nur noch über eine VM, in der ein sicheres Surf-OS wie c’t Surfix läuft. Der VM sollte dann exklusiv eine Netzwerkkarte zugewiesen werden.

Dass man unter XP nicht mit Administratorrechten arbeiten sollte, gilt nach dem Support-Aus mehr denn je [5]. Als Virenscanner empfiehlt sich der Einsatz der ressourcenschonenden und kostenlosen MSE – vorausgesetzt, das Schutzprogramm wird zum Zeitpunkt der Installation noch mit Signatur-Updates versorgt. Ansonsten muss eine Alternative her. Kaspersky Lab etwa gab gegenüber c’t an, seine aktuelle 2013er Produktlinie auch über das Jahr 2014 hinweg mit frischen Signaturen versorgen zu wollen. Wie lange neue Programmversionen noch XP unterstützen werden, steht allerdings in den Sternen.

Zudem sollte man die Datenausführungsverhinderung (Data Execution Prevention, DEP) scharfschalten, die sich in der Systemsteuerung unter „System\Erweitert\Einstellungen\Systemleistung“ findet. DEP erschwert Angreifern das Ausnutzen der Schwachstellen, die es unweigerlich geben wird. Weitere Exploit-Bremsen wie etwa einen Heap-Spraying-Blocker aktiviert das Abhärtungstool Microsoft EMET (siehe c’t-Link). Hierbei gilt: Je mehr Schutzfunktionen aktiv sind, desto besser. Allerdings kommen nicht alle Programme mit den aufgezwungenen Schutzmaßnahmen klar; in Problemfällen muss man die Störquelle durch gezieltes Deaktivieren der einzelnen Funktionen aufspüren.

Hardware-Verfall

Wer einen alten XP-Rechner betreibt, muss sich darüber im Klaren sein, dass der Zahn der Zeit auch an der Hardware nagt. Passende Austauschkomponenten finden sich oft nur noch bei Ebay oder auf dem Flohmarkt. Und wenn es mal ein lebenswichtiges Organ wie die Festplatte zerreißt, die das digitale Hab und Gut ihres Besitzers mit ins Datennirvana zieht, ist der Schaden groß.

Regelmäßige Backups sind also Pflicht – auch wegen der erhöhten Infektionsgefahr. Stammt der Rechner noch aus der XP-Anfangszeit, sollte man daher spätestens nach dem Support-Ende auf aktuelle Windows-8-Hardware umsatteln. Ist der Computer noch nicht ganz so alt, lässt sich Windows 8 wahrscheinlich direkt darauf installieren. Wenn nicht, sind unter Umständen nur kleinere Hardware-Upgrades nötig (siehe S. 106).

XP-Konserve

Allein die Tatsache, dass einige unersetzliche Programme nicht unter neueren Windows-Versionen laufen, sollte kein Grund gegen ein Windows-Upgrade sein. Einige Programme bekommt man mit dem Kompatibilitätsmodus ans Laufen, den man durch einen Rechtsklick auf ein Programm und den Registerreiter „Kompatibilität“ erreicht. Wenn das nicht hilft, muss die Anwendung in einer virtuellen XP-Maschine gestartet werden. Windows 7 hat hierfür einen speziellen XP-Modus, der nichts anderes als ist eine XP-VM mit einer passenden Windows-Lizenz.

Unter Windows 8 muss man selbst Hand anlegen und eine virtuelle Maschine etwa unter VirtualBox oder Virtual PC einrichten. Hierbei ist zu beachten, dass die alte XP-Lizenz nach dem Upgrade auf Windows 8 nicht mehr eingesetzt werden darf, selbst wenn dies technisch möglich wäre – auch nicht innerhalb der VM. Zur Absicherung der XP-VM sind im Wesentlichen die im Absatz „Lebenserhaltungsmaßnahmen“ beschriebenen Schritte einzuhalten.

Auf eine Netzwerkverbindung der VM sollte man möglichst verzichten. Als sichere Alternative zu Netzwerkfreigaben bieten die VM-Lösungen geteilte Ordner, die auch ohne Netzzugriff vom Host-PC in die VM hineingereicht werden. Auch der Einsatz von System-Snapshots schafft Sicherheit. Nistet sich doch mal ein Schädling in der VM ein, setzt man sie einfach auf den letzten sauberen Zustand zurück. Die Arbeitsdateien im geteilten Ordner sind vom Zurücksetzen nicht betroffen.

Abschied nehmen

Der Einsatz von Windows XP ist spätestens ab Frühjahr 2014 mit vielen Wenns und Abers verbunden. Wer kann, sollte sich daher rechtzeitig auf ein Upgrade vorbereiten. Carsten Eiram, Chief Security Specialist beim Schwachstellen-Spezialisten Secunia, richtet sich mit deutlichen Worten an Unternehmen, die nach dem Support-Ende noch auf XP setzen: „Das Upgrade muss abgeschlossen sein, bevor Microsoft den Security Support für Windows XP […] einstellt. Alles andere wäre schlicht verantwortungslos.“ Das gilt auch für Privatnutzer. (rei)

Literatur
  1. [1] Ronald Eikenberg, Windows gibt Acht, Die neuen Schutzfunktionen von Windows 8, c’t 24/12, S. 158
  2. [2] Daniel Bachfeld, Firewall-Kur, Netzwerkschutz mit Service Pack 2, c’t 16/04, S. 98
  3. [3] Axel Vahldiek, Selbstschutz, Das Sicherheitskonzept von Windows 2000 und XP, c’t 15/04, S. 110
  4. [4] Dirk Knop, Geregelte Bahnen, Auf Windows-PCs mit Bordmitteln die Ausführung von Programmen unterbinden, c’t 20/06, S. 144
  5. [5] Johannes Endres, Heute ein Admin, Souverän arbeiten ohne Administrator-Rechte unter XP, c’t 23/05, S. 112
Risiko Windows XP

    Umsteigen auf ein aktuelles Windows S. 104

    PCs fit für Windows 8 machen S. 106

Gerüchteküche

Seitdem bekannt ist, dass Microsoft im Frühjahr 2014 den Extended Support von Windows XP einstellen wird, ranken sich viele Mythen um diesen Termin. So heißt es etwa, dass das Betriebssystem an diesem Tag zur Freeware wird und man es daher ohne gültige Lizenz einsetzen kann. An diesem Gerücht ist nichts dran: Der Einsatz einer nicht lizenzierten XP-Version bleibt auch nach dem Support-Ende illegal.

Auch darauf, dass man ein neu installiertes Windows XP dann nicht mehr aktivieren kann, weil angeblich die Aktivierungsserver abgeschaltet werden, deutet momentan nichts hin.

Darüber hinaus wird Microsoft unter anderem seine Knowledge Base am Leben erhalten, in der man das gesammelte Support-Wissen aus über zehn Jahren XP findet. Alles, was Microsoft nach der Pensionierung als Hilfe zur Selbsthilfe bereitstellt, findet man unter dem c’t Link am Ende des Artikels. Sogar technischen Support gibt es weiterhin gegen Bezahlung.

Artikel kostenlos herunterladen

weiterführende Links

Kommentare

Kommentare lesen (230 Beiträge)

Anzeige