Kleine "Horror-"Meldung in Sachen Sicherheit und Windows. Am Sonntag hat der Anbieter ESET über die Deutsche Presseagentur (dpa) die Meldung lanciert, dass in Deutschland über 1,8 Millionen veraltete Windows-Systeme mit Internetanbindung betrieben werden. Es heißt, dass sich die Nutzerschaft "im Büro immensen Gefahren aussetze". Ich greife mal die Details auf und versuche das Ganze auch etwas einzuordnen.
Anzeige
Die ESET-Meldung
Eine direkte Pressemitteilung von ESET habe ich nicht gefunden – aber es gibt auf ad-hoc-news.de diesen Text, der wohl der dpa-Meldung entspricht. Dort heißt es, dass ESET "am Sonntag in Berlin eine Studie veröffentlicht habe" (muss am 7. Januar 2024 gewesen sein). Die Kernbotschaften dieser Studie:
- In Deutschland seien mehr als 1,8 Millionen veraltete Windows-Systeme mit Internetzugang in Betrieb und somit nicht gegen Bedrohungen aus dem Netz gewappnet.
- Ein Großteil der unsicheren Systeme, rund 1,5 Millionen Geräte, werde demnach noch mit Windows 7 betrieben, so der Antivirus-Hersteller. Der offizielle Support endete am 14. Januar 2020.
- Weiterhin seien noch knapp 630.000 Geräte mit Windows 8 oder 8.1 ausgestattet. Der Support für Windows 8.1 wurde im Januar 2023 eingestellt.Und selbst Windows XP lauf noch auf gut 90.000 Computern (Supportende war 2014).
Thorsten Urbanski, IT-Sicherheitsexperte bei Eset, lässt sich in der Meldung zitieren, dass "Wer jetzt nicht handelt, grob fahrlässig handelt". Es sei schon bedrückend, wenn man sehe, dass trotz jahrelanger Informationskampagnen Millionen deutsche Anwender immer noch veraltete Windows-Betriebssysteme nutzen, wird Urbanski in der Mitteilung zitiert.
Die Drohung mit den Cyberkriminellen
Urbanski wird in der dpa-Meldung so wiedergegeben, dass für Cyberkriminelle diese unsicheren Rechner einfach zu attackieren seien. Eine nicht geschlossene Sicherheitslücke in Computerprogrammen könne ausreichen, um den Rechner zu kapern, alle privaten Daten zu stehlen oder das Gerät nach erfolgreicher Infektion in Botnetze einzubinden.
Ubanski sagt, dass es für Unternehmen teuer werden könne, die weiterhin veraltete Windows-Rechner einsetzen. "Kommt es hier zu Schäden durch Hackerangriffe, ist es unklar, ob Versicherungspolicen greifen – denn: Seit Jahren veraltete Windows-Rechner entsprechen bei weitem nicht mehr dem Stand der Technik." heißt es vom ESET-Mann.
Anzeige
Der Experte räumte laut dpa aber auch ein, dass immer mehr Nutzer auf ein aktuelles Betriebssystem wie Windows 10 oder 11 setzen. Allerdings dürfe man sich darauf nicht ausruhen. Das nächste Support-Ende sei mit dem Ablaufdatum 2025 für Windows 10 bereits in Sichtweite.
Was mich an dieser Geschichte stört
Als ich die Meldung, die gestern durch viele Medien ging, las, kam spontan der Gedanke "was stört dich da, da ist doch was" auf. Ich habe dann mal kurz nachgeschaut. Zum 5. Januar 2023 gab es die ESET-Meldung Fast drei Millionen unsichere Windows-Rechner aus Deutschland im Netz – und zum 16. Januar 2022 hatte ich die Meldung Eset und die Meldung von 3 Millionen unsicheren deutschen Windows-Computern im Blog. Auch dort wurde eine Meldung per dpa an die Medien verteilt.
Es ist also Januar Blues oder FUD angesagt – je nach Betrachtungsweise. Und wenn man die alten Beiträge anschaut, sind wir doch auf einem guten Weg – von 3 Millionen auf 1,8 Millionen veraltete Systeme runter. Bereits 2022 hatte ich mir im Beitrag einige Gedanken gemacht und die dpa-Meldung von ESET eingeordnet.
Natürlich ist es riskanter, aus dem Support gefallene Windows-Systeme weiter mit Internetzugang zu betreiben. Aber bei Windows 7 ist es schlicht so, dass es für Firmen immer noch ESU-Updates gibt, die Schwachstellen in diesem Betriebssystem schließen. Wenn die 1,5 Millionen Windows Maschinen entsprechend mit ESU-Support oder anderen Lösungen (0patch) abgesichert sind, sehe ich kein größeres Risiko als bei Windows 10 oder Windows 11.
Und eine richtig fette Sicherheitslücke, die jetzt Windows 7 bedrohen würde, fällt mir auch nicht ein. Microsofts Sicherheitsupdates der letzten 12 Monate bezog sich häufig auf Features, die in Windows 10/Windows 11 oder in Anwendungen (wie Outlook) zu finden waren. Unter dem Strich: Ja, es wäre gut, wenn die veralteten Windows-Systeme aktualisiert oder aus dem Internet genommen würden. Für Firmen sehe ich aktuell nicht so wirklich das Risiko, sofern diese noch im ESU-Support sein. Ergo: Nehmen wir die jährliche ESET-Meldung zu veralteten Windows-Systemen zur Kenntnis und arbeiten die restlichen Tage des Jahres daran, die Systeme (egal ob veraltet oder aktuell) sicher zu betreiben. Oder wie seht ihr das so?
Anzeige
naja nen veraltetes Windows ist ja nicht einfach unsicher weil es veraltet ist!
Sorry aber für Win7 gibt es noch ESU Patches. ich gehe sogar soweit zu sagen: nen gehärtetes Win 7 in Händen eines Pros ist sicherer als nen aktuelles W11 von nem DAU der auf alles klickt was nicht bei 3 auf den Bäumen ist!
zu 90% kommt Malware noch immer über die Lücke zwischen Tatstatur und Stuhl auf das System!
Aber klar nen Sicherheitsdienstleister kann das ja nicht zugeben ;-P
Welches "veraltete" Windows hängt denn direkt am/im Internet?
Solange das System nicht direkt ansprechbar ist, ist es doch erst einmal völlig egal.
Wichtig ist, die Programme, die Netzwerkzugriffe benötigen, im Auge zu behalten.
Z.B. den Browser, wenn dieser nicht mehr supportet wird, dann wird es heikel.
Wichtig wäre dann, bei einem "veralteten" Windows, auf jeden Fall Systemdateien
vor Veränderungen zu schützen und auch regelmäßig einen Virenscan von einem
sauberen Datenträger auszumachen.
Das Backup machen, auf einen externen Datenträger,
sollte dann auch nicht vernachlässigt werden.
Na gut, aber das sind ja Dinge, die sollte man ja ohnehin machen, auch mit einem aktuellen Windows!
"Solange das System nicht direkt ansprechbar ist, ist es doch erst einmal völlig egal."
Und wenn der Angriff aus dem LAN kommt?
Stimmt, oft nimmt sowas ja den Weg über emails etc.
Attachment geöffnet und schon sucht sich das Teil geeignete Opfer im Lan…
Dann ist das Client-OS nur eine von vielen vielen Sorgen.
Solange das System nicht direkt ansprechbar ist, ist auch das egal. Wenn alle Netzwerk-Verbindungen durch das System initiiert werden müssen, ist die Gefahr deutlich reduziert.
Was natürlich immer noch nicht heißt, dass man mit einer zusätzlich veralteten Firefox-Version munter durch das WWW surfen kann. Wobei sich das sogar wieder drehen kann, weil zukünftige Exploits, die man sich im Drive-by einfangen kann, eher auf neuere Windows-Versionen und neuere Applikationen zugschnitten werden dürften, aufgrund der wesentlich größeren Anzahl an Systemen.
Firefox 115 ESR ist die letzte Version für Windows 7/8/8.1 und bekommt noch bis September 2024 Sicherheitsupdates.
Diese Pauschalisierung von ESET stört mich auch.
Ob die Systeme im ESU-Programm sind oder nicht wird gar nicht berücksichtigt.
Allerdings ists mit ESU auch sehr sehr bald Feierabend.
Am 9.1.2024 gibts letztmalig Sicherheitsupdates für Win7/2008R2 mit 4. ESU-Jahr. Ein 5. ESU-Jahr wird es nicht geben.
Allerdings könnte man auf den POSReady-Zweig wechseln, denn für Win7 POSReady läuft ESU noch bis zum Oktober 2024.
Bis dahin kann man Win7 also sicherheitstechnisch aktuell halten.
Bei Windows 8/8.1 kann man die Updates für 2012/2012R2 (nach entsprechendem Patch) installieren. Bei denen hat ESU gerade erst im November gestartet, die kann man also sicherheitstechnisch noch fast 3 Jahre aktuell halten.
Die wenigsten Leute, die noch Win 8 und älter einsetzten, wissen was ESU ist und sind eher froh, dass sie endlich nicht mehr monatlich lästige Updates installieren müssen.
"Bei Windows 8/8.1 kann man die Updates für 2012/2012R2 (nach entsprechendem Patch) installieren."
Dann werde ich mich demnächst mal damit beschäftigen und herausfinden wie das geht.
Habe noch eine Windows 8.1 Installation parallel zu einer Windows 11 Installation die seit dem Offiziellen Supportende kein Update mehr bekommen hat.
R.S. sagt:
"Allerdings könnte man auf den POSReady-Zweig wechseln, denn für Win7 POSReady läuft ESU noch bis zum Oktober 2024."
Was will man da "wechseln"?
Die POS-Updates laufen nur auf POS-W7, nicht auf Desktop-W7! 🤷♂️
Das kann man ändern.
Einfach mal nach Win7_WU_ESU_Patcher suchen.
Der kann die Edition von Windows ändern, so das sich auf einem Desktop W7 auch POS-W7 Updates installieren lassen.
Die Updates für Desktop W7, POS W7 und Server 2008R2 sind eh identisch, da auch die Betriebssysteme im Kern identisch sind.
Nur der jeweilige Installer im Updatepaket prüft vorher die Windows-Edition ab.
Oh, sollte dazu wirklich nur eine (mehr oder weniger simple) "Registry-Änderung" nötig sein?
Den W7_WU_ESU_Patcher fass(t)e ich allerdings eher so auf, dass er die Updates eben auch (wieder) per WU zur Direktinstallation in W7 anbietet, oder mißversteh' ich das?
Wenn der Angriff aus dem LAN kommt, hat man ganz sicher noch andere Probleme!
Aber bei meinem Szenario dachte ich auch mehr an den privaten Nutzer.
Da hängt ein Rechner an der Fritte.
"Welches "veraltete" Windows hängt denn direkt am/im Internet?"
Die von ESET registrierten Systeme sicherlich.
Denn wie sollte ESET die nicht mit dem Netz verbundenen Systeme registrieren?
Wenn man diese hinzu rechnet, werden sicher weit mehr als 1,8 Mio Rechner mit veralteten OS betrieben …
Und Tablet-PC und Smartphones mit veraltetem Android spielten für diese Erhebung keine Rolle. Da dürften noch weit mehr Geräte als Sicherheitsrisiko unterwegs sein. An das ganze IoT- Smarthome -Zubehör usw. gar nicht zu denken.
Im Unternehmen könnte man diese Systeme versuchen zu isolieren und somit den Internetzugriff "einzuschränken" oder zu unterbinden. Quasi ein eigenes LAN für solche Geräte. Was ich mir nicht vorstellen kann ist, dass die Office User noch zwangsweise ein Windows 7 System verwenden müssen.
Es gibt ja auch immer weniger Software (z.B. Browser) die noch Win 7 unterstützt ist.
Chrome ist meine ich abgekündigt und Firefox hält sich das Recht vor dies auch jederzeit zu tun (oder haben sie schon einen Termin oder Version genannt, zu welcher kein Support mehr herrscht?)
Was ggf. noch zu einer Herausforderung wird: Hardware zu finden auf der Win 7 noch läuft, welche im Unternehmen einsetzbar ist, wenn man nicht auf eine virtuelle Lösung setzen kann.
Firefox: September 2024, bis zum Support-Ende der aktuellen ESR.
„trotz jahrelanger Informationskampagnen" – da eben liegt der Fehler:
Anstatt stur zu versuchen, den Leuten ihre Weltsicht reinzudrücken, hätten die Macher und Handlanger von Windows jahrelang zuhören können, was ihnen die Nutzer sagen wollen.
Wer seinerzeit während der massiven Umerziehungskampagne „mache per wichtigem Update-KB gratis und ohne Zutun ein Win10 aus jedem Win7" nicht gewechselt hat, hatte triftige Gründe – nur für die hat sich nie jemand von den Verantwortlichen interessiert. Da brauchen sie jetzt keine Krokodilstränen zu vergießen. Das Phänomen wird sich noch verstärken, solange die Hersteller an den Verbrauchern vorbei agieren und meinen, was Bedarf sei, bestimme ihr Angebot.
Wenn du Ignoranz bei triftigen Gründen einbeziehst, kann ich dir zustimmen. Das ist der Großteil. Wie sich Macher und Handlanger auf Ignoranz einstellen sollen, ist mir allerdings nicht ganz klar.
VG Bernie
Äh, was hat das mit Ignoranz zu tun, wenn ich ein BS haben möchte, bei dem ich die Kontrolle habe?
Wer nicht durch MS andauernd sein BS "verbessert" haben möchte, dem bleibt doch gar nichts anderes übrig, als auf einem "alten" Stand zu verharren!
Warum konnte MS es nicht dabei belassen nur Sicherheitsupdates zwangsweise auf die Systeme loszulassen?
Und der ganze Telemetriemist, warum wird man nicht gefragt? Nein es wird einfach gemacht und es brauch Jahre bis MS versucht zu erklären was da so an Daten erhoben wird. Aber sagen die auch alles?
Es gibt also sehr gute Gründe, nicht auf das "aktuelle" Windows upzudaten!
Nicht mal für geschenkt.
Ich sagte der "Großteil". Der hat sich sicher nicht mit deinen Gedanken/Beweggründen beschäftigt.
OK, das habe ich nicht bedacht! Da hast Du natürlich recht.
Bitte um Entschuldigung und behaupte das Gegenteil. :D
Gigabernie sagt:
"Wenn du Ignoranz bei triftigen Gründen einbeziehst, kann ich dir zustimmen. Das ist der Großteil."
Sorry, aber was ist das denn für ein verquerer Gegenargumentationsversuch?
Eine gewisse Ignoranz ist natürlich die zwingende Folge eines für den jeweiligen Anwender/Nutzer "triftigen Grunds".
Ich behaupte, da hat die Mehrheit halt IHRE individuell priorisierte Zuweisung und das völlig unabhängig von den Einordnungen sog. "Sicherheitsexperten" marktbeherrschender Hersteller o. A. Und da wird eben auch überwiegend nach bekannt praktikablem Use-Case anstatt i-welchen "Design-Verschlimmbesserungen" entschieden.
Bspw. hab' ich die auch – ich nutze bewußt sowie vorsätzlich (und somit auch wider erlernt besserem Wissen als Fach-ITler tätig als selbstständiger IT-Betreuer für KMU) mehrere Rechner mit verschiedenen W7-Versionen in verschiedenen (Netz-)Konstellationen bisher immer noch völlig problemlos ohne auch nur den Hauch eines Korrumpierungsversuchs beobachten zu können.
Da sind Rechner mit aktuelleren Win-Versionen ungleich desöfteren Angriffen ausgesetzt oder haben gar durch die mit dem "Zwang" einhergegangene Verlagerung des Beta-Testings auf den Nutzer unduldbare Downtimes durch katastrophale Fehlerauswirkungen bei Updates.
Wer kann resp. will sich denn solche Unproduktivitätszeiten leisten?
M$ hat nur Glück, weil sie immer noch von dem genial(st)en Marketing-Schachzug von Bill Gates zehren, ansonsten wären bereits 85% aller Rechner weltweit mit einem anderen OS betrieben. 🤷♂️
Natürlich muß man hierzu anmerken (und eingestehen), dass auch der überwiegende Anteil der Gewohnheitsbequemlichkeit und -faulheit der Nutzer geschuldet ist – Homo Sapiens sucks! 🤦♂️
Man konnte nicht alle Windows 7 Systeme auf Win 8 oder 10 aktualisieren, denn auch da gab es schon einige Hardware-Barrieren. Insbesondere bei den 32 Bit Versionen war schnell der Zopf abgeschnitten. Aber ein Pentium 4 System bekommt man nicht auf 10 aktualisiert. Aber "Dess iss doch noch guuut, dess funktioniert doch noch", da kommst du nicht bei.
Ob ein Betriebssystem, das keine Sicherheitsupdates mehr erhält, riskant ist, vermag ich nicht wirklich zu sagen, vermute es aber ganz stark. Ob die Hinweise von Microsoft diesbezüglich etwas aussagen?
https://www.cvedetails.com/product/17153/?q=windows+7
Win7 wird wohl kaum noch von Unternehmen genutzt, mehrheitlich dürften es also Privatanwender sein. Und so gesehen stellt sich mir, vor allem mit Blick auf das absehbare Support-Ende für Win10, die ernst gemeinte Frage: Warum wechseln die nicht? Angeblich landen nächstes Jahr ca. 240 Millionen PC auf dem Müll. Das muss nicht sein. Eher aus Interesse habe ich am Wochenende auf einem Notebook, das ich 2006 (!) gekauft habe (32bit, 1 GB Arbeitsspeicher, 80 GB Festplattenspeicher, Pentium M-Prozessor, ehedem mit WinXP) das aktuelle Debian 12.4 (32bit) mit XFCE installiert. Man kann durchaus damit surfen, wenngleich es naturgemäß etwas langsam ist. Aber es ist wahrscheinlich sicherer als mit Win7.
Also für Private sehe ich das weniger kritisch, wenn Großmütterchen auf eine Mail klickt, die Sie nicht hätte öffnen sollen, dann passiert das Unglück genauso wie bei einem aktuellen Windows. Und zum Bild.de lesen wird jetzt auch kein hohes Schutzniveau nötig sein. Sollte es im Privathaushalt doch jemanden erwischen und in ein Botnet fallen, dann gibt es hoffentlich verantwortungsvolle ISPs, die dem Anschlussinhaber das mitteilen.
Unternehmen od. allgemein komplexere Netzwerke sind da viel höheren Gefahren ausgesetzt, der Impact ist da auch wesentlich höher, hier muss man mit Risikomanagement und Sorgfalt vorgehen.
Nein, das stimmt nicht, denn wenn das Mütterchen ein aktuell gehaltenes Win 10 / 11 hat, dann wäre sie besser geschützt worden, weil Defender aktuelle AV-Pattern hat, Smarscreen aktiv wäre, usw.
der ebenso wie jede andere Virensoftware nur gegen bekanntes hilft! Außerdem recht häufig False Positives bringt bei recht neuen apps und was er sonst nicht so kennt, so das Mütterchen genervt auf zulassen klickt! Damit sogar kontraproduktiv ist.
90% der Lücken sitzen zwischen Stuhl und Tastatur, da spielt das OS keine Rolle! Selbst MacOS oder Linux sind da nicht gefeit!
Da schützt auch kein Fanboy Gerede!
Was schützen könnte wäre evtl. nen PC/Internetführerschein mit regelmäßig Qualifikationsnachweis. ( nen DAUauschluß)
Aber die erfahrung zeigt: BRAIN2.0 ist unpatchbar!
Danke – perfekt zusammengefasst! 👍
Wenn das (Gro0-)Mütterchen den Computer nicht nutzen kann ist das kein Drama, sie hat alternative Kommunikationswege wie etwa das Telefon statt Mail.
Das ist genauso als wenn der Fernseher nicht geht, oder die Waschmaschine. Zuerst wird der Enkel gebeten, mal darüber zu schauen – wenn der auch nichts machen kann wird gelegentlich ein neuer gekauft.
Für Unternehmen sieht es weitaus dramatischer aus, weil sie inzwischen einen Großteil der Geschäftsprozesse darüber abbilden – manchmal schon fast papierlos. Da ist es schon ein Drama einen Herlitz-Quittungsblock zu finden um ggf. Zahlungen quittieren zu können. Stempel gibt es zum Glück oft noch.
Das mit dem "Großmütterchen" sehe ich nicht so!
Ist sie noch auf Zack und macht ihre Steuererklärung selber
muss zwangsläufig ein funktionierender Rechner im Haus sein!
Seit neuestem auch bei vielen Rezeptbestellungen, denn per Telefon
wird man in manchen Praxen nie jemanden an die Strippe bekommen.
Und es gibt noch soviel mehr. Ob alles auch per Smartphone funktioniert?
Ich weiß es nicht, ich nutze für solche Dinge eben einen PC.
Das Smartphone hat andere Aufgaben!
Man sollte es kaum glauben, man kann damit Telefonieren.
Ok, is en Spaß.
Bald werden bei Nutzung ungepatchter Betriebssysteme Schockbilder im Vollbild angezeigt……..
🤣🤣🤣 You made my day!