[Microsoft/Winows XP] Wartung für Windows XP läuft im April 2014 aus
(2014-03-06 21:00:41.407872+00)
Quelle:
http://blogs.technet.com/b/germany/archive/2013/03/17/endg-252-ltiger-abschied-von-windows-xp.aspx Am 8. April 2014 endet die Unterstützung von Microsoft für Windows XP. Dies bedeutet, dass ab dann keine Aktualisierungen und vor allem keine Patches für Sicherheitslücken mehr veröffentlicht werden. Der Betrieb von Rechnersystemen unter Windows XP muss ab diesem Zeitpunkt als unsicher angesehen werden und entspricht nicht mehr dem Stand der Technik. Bei Sicherheitsvorfällen, an denen solche Systeme beteiligt sind, kann dies zu haftungsrechtlichen Implikationen führen. Betreiber von Rechnersystemen unter Windows XP sind daher aufgefordert, diese Systeme bis zum o.g. Zeitpunkt auf ein neueres Windows- oder anderes, gewartetes Betriebssystem zu migrieren.
(Wiederveröffentlichung der Meldung vom 2013-07-25)
Inhalt
- Zusammenfassung
- Betroffene Systeme
- Typ der Verwundbarkeit
- Auswirkung
- Gefahrenpotential
- Beschreibung
- Workaround
- Gegenmaßnahmen
- Revisionen dieser Meldung
- Weitere Information zu diesem Thema
Zusammenfassung
Betroffen: Microsoft Windows XP, alle Versionen Typ: Ende der Wartung (end of life) Auswirkung: potentiell Fahrlässigkeit Gefahrenpotential: hoch Workaround: im Notfall Gegenmaßnahmen: Umstieg auf ein anderes Betriebssystem Version: 2.0
Betroffene Systeme
- Alle Versionen des Betriebssystems Microsoft Windows XP
Auswirkung
- Der Weiterbetrieb von Systemen nach Ende des Produktlebens (end of life) kann bei ihrer Beteiligung an einem Sicherheitsvorfall als fahrlässig gewertet werden. Dies kann u.U. zu erheblichem Reputationsschaden für den Betreiber (hier: die Universität) führen.
(Fahrlässigkeit)
Typ
- Ende der Wartung
(end of life)
Gefahrenpotential
- hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Am 8. April 2014 endet die Wartung des Betriebssystems Microsoft Windows XP. Ab diesem Zeitpunkt werden durch den Hersteller Microsoft keine Aktualisierungen (Updates) für XP mehr bereitgestellt.
Der Betrieb von Rechnern unter einem Betriebssystem, für die keine sicherheitsrelevanten Aktualisierungen mehr verfügbar sind, entspricht nicht dem Stand der Technik. Da für diese Systeme erkannte Sicherheitslücken nicht mehr behoben werden können, sind sie als trivial kompromittierbar anzusehen und da sich erfahrungsgemäß die Sicherheitslücken für solche Systeme akkumulieren, steigt das Risiko über die Zeit. Der Betrieb von IT-Systemen, die nicht dem Stand der Technik entsprechen, kann bei deren Beteiligung an Sicherheitsvorfällen als Fahrlässigkeit gewertet werden und dazu führen, dass ihr Betreiber zur Verantwortung gezogen wird. Neben der Verletzung beachtlicher Rechtsvorschriften [1][2], die ggf. verfolgt wird, können durch die betriebe Infrastruktur Geschädigte auch Schadenersatzforderungen an den Betreiber stellen. Wesentlich schwerer kann eine festgestellte Fahrlässigkeit im Betrieb von IT-Infrastruktur wiegen, wenn sie zu einem Reputationsschaden für den Betreiber führt. Dieser kann sich in weitgehend unabsehbarer Weise auf seinen zukünftigen Geschäftserfolg auswirken. An der Universität wären dies zB Auswirkungen auf den Erfolg bei der Einwerbung von Drittmittelprojekten oder die Studierendenzahlen.
Windows-XP-Installationen sind daher zum Ende der Wartung abzuschalten oder auf ein gewartetes Betriebssystem zu migrieren.
Systeme, die aus technischen Gründen nicht migriert aber dennoch weiterbetrieben werden müssen (etwa sehr kostspielige Laborgeräte) dürfen nur unter Anwendung sehr restriktiver Sicherheitmaßnahmen (z.B. in einem abgeschotteten Labornetz) weiterbetrieben werden. Die jeweilige Lösung ist jedoch detailliert zu dokumentieren und mit der Stabsstelle DV-Sicherheit abzustimmen.
Workaround
Nur in besonders begründeten Fällen:- Herstellung der vollen Kommunikationskontrolle durch Platzierung der Systeme in einem abgeschotteten Netz, das keinerlei direkte Kommunikation mit anderen Netzen ermöglicht.
- Vor der Implementierung: Dokumentation der geplanten Lösung inklusive der vorgesehenen Sicherheitsmaßnahmen und Abstimmung der Lösung mit der Stabsstelle DV-Sicherheit.
Gegenmaßnahmen
- Außerbetriebsetzung betroffener Systeme
- Migration auf ein gewartetes Betriebssystem
Weitere Information zu diesem Thema
- Microsoft beendet Unterstützung für Windows XP und Office 2003 (BSI BürgerCERT)
- [1][2]RUS-CERT: Verantwortung durch und Rechtsvorschriften für den Betrieb von IT
- RUS-CERT: Appliances und eingebettete Systeme: Messgeräte, Schranküberwachungen, Drucker, Kopierer etc.
Revisionen dieser Meldung
- V 1.0 (2013-07-25): als Kurzmeldung veröffentlicht
- V 2.0 (2014-03-08): als Vollmeldung wiederveröffentlicht
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1708