Microsoft veröffentlichte das letzte Sicherheitsupdate für Windows XP am 08. April 2014. Das System ist nun bereits zwölf Jahre alt. Einige Behörden verwenden es jedoch weiterhin, teilweise ohne sich dessen bewusst zu sein. Dies könnte einige Hacker sehr glücklich machen.

Üblicherweise haben Behörden nicht gerade den vollständigen Überblick, welche Betriebssysteme auf ihren Geräten laufen. „Das ist das größte Risiko“, so John Pescatore vom SANS-Institut. Es gibt Hackern die Chance, sogenannte Zero-Day-Exploits zu kreieren. Diese Exploits nutzen Schwachstellen aus, die bisher nicht entdeckt wurden. Aufgrund der in Zukunft fehlenden Updates wird es keinen Schutz für die Systeme geben.

Behörden werden versuchen, sich mit modernen Virenprogrammen und Firewalls zu schützen. Einige der Behörden haben allerdings ungeschützte Geräte in ihren Netzwerken. Dies beinhaltet Druckerserver und Kopiergeräte, die auf Windows XP laufen. Jährlichen Audits zufolge haben viele Behörden keine Ahnung, welche Betriebssysteme dafür genutzt werden.

Microsoft zufolge sind inzwischen mehr als 90 Prozent aller Behörden von XP zu Windows 7 oder 8 gewechselt. Die Behörden selbst geben an, Sicherheitsmaßnahmen getroffen zu haben und keine beträchtlichen Probleme zu erwarten. Cyber-Experten warnen jedoch, dass mögliche Bedrohungen nur langsam behoben werden könnten.

Jonathan Katz vom Maryland Cybersecurity Center:

„Microsoft wird nur zögerlich auf Berichte über neue Schwachstellen reagieren. Behörden werden die Probleme unabhängig von Microsoft lösen müssen.“

Einige der Behörden haben sich für die weitere Nutzung von XP entschieden, da ihre Geräte nicht mit irgendwelchen Netzwerken verbunden sind. Teilweise nutzen sie auch eigene Software, die für den Gebrauch unter Windows XP entwickelt wurde. Den Forschern zufolge sind diese Geräte dennoch im Opferschema der Hacker.

„Ich gehe davon aus, dass die Computer weiterhin mit USB-Sticks verbunden oder auf andere Art Daten hochgeladen werden. Demnach besteht immer noch ein Risiko, dass diese Maschinen infiziert werden. Auch wenn sie nicht mit einem Netzwerk verbunden sind“,

so Katz. Und weiter:

„Wird eine ernstzunehmende Schwachstelle gefunden, so ist die Behörde faktisch gezwungen, ihre Systeme offline zu nehmen. Während sie dann das System aktualisiert, sind die operativen Aktivitäten unterbrochen.“

Die Forscher geben neben Microsoft allerdings auch den Behörden selbst die Schuld. Diese haben sich zu sehr nur auf einen Anbieter verlassen.

Siehe auch pointiertes Editorial in c’t: Werter Innenminister Pistorius

Artikel von nextgov.com, 25.03.2014: Some Agencies Still Using Windows XP Probably Don’t Realize It