Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1708

[Microsoft/Winows XP] Wartung für Windows XP läuft im April 2014 aus
(2014-03-06 21:00:41.407872+00) Druckversion

Quelle: http://blogs.technet.com/b/germany/archive/2013/03/17/endg-252-ltiger-abschied-von-windows-xp.aspx

Am 8. April 2014 endet die Unterstützung von Microsoft für Windows XP. Dies bedeutet, dass ab dann keine Aktualisierungen und vor allem keine Patches für Sicherheitslücken mehr veröffentlicht werden. Der Betrieb von Rechnersystemen unter Windows XP muss ab diesem Zeitpunkt als unsicher angesehen werden und entspricht nicht mehr dem Stand der Technik. Bei Sicherheitsvorfällen, an denen solche Systeme beteiligt sind, kann dies zu haftungsrechtlichen Implikationen führen. Betreiber von Rechnersystemen unter Windows XP sind daher aufgefordert, diese Systeme bis zum o.g. Zeitpunkt auf ein neueres Windows- oder anderes, gewartetes Betriebssystem zu migrieren.
(Wiederveröffentlichung der Meldung vom 2013-07-25)

Inhalt

Zusammenfassung

Betroffen: Microsoft Windows XP, alle Versionen
Typ: Ende der Wartung (end of life)
Auswirkung: potentiell Fahrlässigkeit
Gefahrenpotential: hoch
Workaround: im Notfall
Gegenmaßnahmen: Umstieg auf ein anderes Betriebssystem
Version: 2.0

Betroffene Systeme

  • Alle Versionen des Betriebssystems Microsoft Windows XP

Auswirkung

  • Der Weiterbetrieb von Systemen nach Ende des Produktlebens (end of life) kann bei ihrer Beteiligung an einem Sicherheitsvorfall als fahrlässig gewertet werden. Dies kann u.U. zu erheblichem Reputationsschaden für den Betreiber (hier: die Universität) führen.
    (Fahrlässigkeit)

Typ

  • Ende der Wartung
    (end of life)

Gefahrenpotential

  • hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Am 8. April 2014 endet die Wartung des Betriebssystems Microsoft Windows XP. Ab diesem Zeitpunkt werden durch den Hersteller Microsoft keine Aktualisierungen (Updates) für XP mehr bereitgestellt.

Der Betrieb von Rechnern unter einem Betriebssystem, für die keine sicherheitsrelevanten Aktualisierungen mehr verfügbar sind, entspricht nicht dem Stand der Technik. Da für diese Systeme erkannte Sicherheitslücken nicht mehr behoben werden können, sind sie als trivial kompromittierbar anzusehen und da sich erfahrungsgemäß die Sicherheitslücken für solche Systeme akkumulieren, steigt das Risiko über die Zeit. Der Betrieb von IT-Systemen, die nicht dem Stand der Technik entsprechen, kann bei deren Beteiligung an Sicherheitsvorfällen als Fahrlässigkeit gewertet werden und dazu führen, dass ihr Betreiber zur Verantwortung gezogen wird. Neben der Verletzung beachtlicher Rechtsvorschriften [1][2], die ggf. verfolgt wird, können durch die betriebe Infrastruktur Geschädigte auch Schadenersatzforderungen an den Betreiber stellen. Wesentlich schwerer kann eine festgestellte Fahrlässigkeit im Betrieb von IT-Infrastruktur wiegen, wenn sie zu einem Reputationsschaden für den Betreiber führt. Dieser kann sich in weitgehend unabsehbarer Weise auf seinen zukünftigen Geschäftserfolg auswirken. An der Universität wären dies zB Auswirkungen auf den Erfolg bei der Einwerbung von Drittmittelprojekten oder die Studierendenzahlen.

Windows-XP-Installationen sind daher zum Ende der Wartung abzuschalten oder auf ein gewartetes Betriebssystem zu migrieren.

Systeme, die aus technischen Gründen nicht migriert aber dennoch weiterbetrieben werden müssen (etwa sehr kostspielige Laborgeräte) dürfen nur unter Anwendung sehr restriktiver Sicherheitmaßnahmen (z.B. in einem abgeschotteten Labornetz) weiterbetrieben werden. Die jeweilige Lösung ist jedoch detailliert zu dokumentieren und mit der Stabsstelle DV-Sicherheit abzustimmen.

Workaround

Nur in besonders begründeten Fällen:
  • Herstellung der vollen Kommunikationskontrolle durch Platzierung der Systeme in einem abgeschotteten Netz, das keinerlei direkte Kommunikation mit anderen Netzen ermöglicht.
  • Vor der Implementierung: Dokumentation der geplanten Lösung inklusive der vorgesehenen Sicherheitsmaßnahmen und Abstimmung der Lösung mit der Stabsstelle DV-Sicherheit.
ACHTUNG! Der Weiterbetrieb von Systemen unter Windows XP stellt ein erhebliches Risiko für die Universität Stuttgart dar. Die Stabsstelle DV-Sicherheit kann dem Weiterbetrieb von von Systemen unter Windows XP im Rahmen solcher Lösungen nur in sehr gut begründeten Ausnahmefällen zustimmen. Bitte bedenken Sie, dass der Weiterbetrieb mit hohem und im Laufe der Zeit steigendem Aufwand verbunden ist.

Gegenmaßnahmen

  • Außerbetriebsetzung betroffener Systeme
  • Migration auf ein gewartetes Betriebssystem

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V 1.0 (2013-07-25): als Kurzmeldung veröffentlicht
  • V 2.0 (2014-03-08): als Vollmeldung wiederveröffentlicht
(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.