Kommentar: Betriebssysteme und Programme nie über das Supportende hinaus benutzen!

Es gibt diese selbsternannten Experten, die glauben, dass man das offizielle Supportende für Software und insbesondere Betriebssysteme einfach ignorieren kann. Sicherheitslücken interessieren sie nicht und im Zweifel schaden sie sich ja sowieso nur selbst – glauben sie. Dahinter stecken Bequemlichkeit, Unkenntnis und liebevoll gepflegte urbane Mythen. Schluss damit!

Das Supportende eines Betriebssystems überrascht viele Anwender. Versierte Experten mögen das unglaubwürdig finden aber viele Anwender haben Supportzyklen ihrer Systeme nicht im Kopf oder wissen gar, dass es solche gibt. Nicht umsonst hat Microsoft zum Supportende von Windows XP eine riesige Kampagne gefahren um seine Anwender zu erreichen. Für Windows 7 plant man scheinbar ähnliches. Wer diese Kampagnen übersieht muss wirklich auf dem Mond leben. Insbesondere beim Supportende von XP konnte man im öffentlichen Raum dem kaum entgehen. Die Ausrede “das wusste ich nicht” zählt also nicht.

Betriebssysteme haben immer noch sehr lange Supportzyklen. Windows-Versionen zwischen XP und 7 kommen durchschnittlich auf 10 Jahre Support für Privatkunden, macOS immerhin auf mehrere Jahre und Linux je nach Distribution auch auf 5 bis 10 Jahre (siehe: Linux – Eine sichere Basis). Es ist also mitnichten so, dass man “ständig” aktualisieren müsste. Das gleiche gilt für zentrale Programme wie Browser oder Office-Anwendungen. Unter Berücksichtigung der normalen Produktlaufzeiten ist es sogar wahrscheinlich, dass man innerhalb des Supportzyklus die Hardware auswechselt. Wer dann wieder eine veraltete Version installiert oder sich von einem vermeintlichen “Experten” installieren lässt ist selbst schuld.

Noch schlimmer als unwissende Anwender sind Anhänger von urbanen Mythen. Die bekanntesten Gerüchte sind sicherlich:

  1. Alte Systeme stehen nicht so im Fokus und sind deshalb sogar sicherer.
  2. Die monatlichen Aktualisierungen zeigen doch, dass auch in unterstützter Software Sicherheitslücken stecken.
  3. Ein Virenscanner wird schon reichen.
  4. Es trifft ja nur mich persönlich. Das kann anderen ja egal sein.

Insbesondere letzteres Argument erinnert so manchen an renitente Raucher, die trotz aller Risiken weiter ihre Gesundheit gefährden und letztlich die solidarisch finanzierte Krankenversicherung. Und genau wie bei diesen ist das Argument grundfalsch.

Jeder ungesicherte PC stellt eine Bedrohung für andere dar. Eine große Herausforderung der Gegenwart sind so genannte Botnetze. Gemeinhin sind damit einzelne internetfähige Geräte gemeint, die – ohne Wissen und Einwilligung ihres Besitzers – in ein Rechnernetz eingegliedert und für kriminelle Aktivitäten genutzt werden. Diese Botnetze sind das Rückgrat großer Angriffe, so wäre der recht bekannte Angriff auf Estland 2007 ohne Botnetze unmöglich gewesen. Zwar kann man inzwischen auch Rechnerleistung bei großen Cloudanbietern mieten, diese sichern sich jedoch selbstverständlich gegen illegale Aktivitäten ab. Daher bleiben Botnetze ein wichtiges Mittel für illegale Aktivitäten.

Die meisten Botnetze basieren auf Sicherheitslücken. Nur in Ausnahmefällen dürfte es sich für die Auftraggeber lohnen das Botnetz durch manuelle Installation einzurichten. Die meisten solcher Netze breiten sich durch klassische Sicherheitslücken in Betriebssystemen, Browsern oder anderer anfälliger Software aus. Hinzu kommt vermutlich noch die Bündelung mit illegalen Softwareangeboten, die immer noch erstaunliche viele herunterladen und natürlich die Infektion des Systems durch Anwender, die jeden Link anklicken und alle herunterladen und ausführen, was ihnen über den Weg läuft.

Gegen die Punkte 2 und 3 kann man wenig unternehmen. Die menschliche Dummheit ist bekanntlich grenzlos. Punkt 1 ist jedoch ohne Betriebssystem und Programme, die über ihre Supportdauer hinaus genutzt werden deutlich schwerer. Immerhin setzt dies voraus, dass der Angreifer eine Lücke kennt, die dem Hersteller des Programms nicht bekannt ist oder die dieser nicht bereit ist zu schließen. Letzteres dürfte mutmaßlich nur für geheimdienstliche Aktivitäten zutreffen.

Dieser Punkt verweist auch schon auf den urbanen Mythos, dass auch in unterstützter Software Sicherheitslücken stecken. Das ist natürlich richtig, die vielen monatlichen Updates beweist es. Dem Angreifer bleibt aber nur das Zeitfenster zwischen Kenntnis der Sicherheitslücke und der Behebung des Problems durch den Hersteller. Dieses Zeitfenster ist in der Regel nicht lang genug um ein großes Botnetz aufzubauen.

Man sollte zudem – und das referenziert Punkt 1 – nicht glauben, dass fehlende Patches für nicht mehr unterstützte Systeme fehlende Sicherheitslücken bedeuten. Ein Trugschluss den immer wieder Anwender ziehen. Die meisten modernen Betriebssyteme (Windows NT, macOS, Linux) haben Jahrzehnte Entwicklung hinter sich. Dabei wird der Code nicht komplett ausgetauscht sondern immer wieder überarbeitet, ergänzt oder gekürzt. Viele Sicherheitslücken, die gefunden werden, bestehen daher schon seit Jahren. Die im Frühjahr 2017 bekannt gewordene Schadsoftware WannaCry betraf Windows Systeme bis zurück zu XP. Dieses Problem gilt nicht nur für Windows. Die – in Anlehnung an WannaCry – SambaCry genannte Lücke betraf alle Samba-Versionen von 3.5 (erschienen 2010) bis zur aktuellen Version und damit auch quasi alle Linux-Distributionen.

Wer also wissentlich nicht unterstützt Software benutzt nimmt in Kauf kriminelle Aktivitäten zu unterstützen. Insbesondere bei den großen Betriebssystemen und Browsern kann man sich den Supportende-Ankündigungen kaum entziehen, weshalb man dieses Wissen voraussetzen kann. Meiner Meinung nach sollte dieses Verhalten sogar strafrechtlich belangt werden können, wie das z.B. für ungeschützte WLAN Netze bereits der Fall ist. Das gleiche gilt natürlich auch die die Hersteller von Smartphones und IoT Geräten, die diese nicht pflegen. Das sei hier der Vollständigkeit erwähnt, entzieht sich aber den Möglichkeiten des normalen Anwenders.

Cruiz
Cruizhttps://curius.de
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Weitere Artikel