Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Bild von pixelcreatures via pixabay / Lizenz: CC0 Public Domain

Kommentar: Betriebssysteme und Programme nie über das Supportende hinaus benutzen!

Es gibt diese selbsternannten Experten, die glauben, dass man das offizielle Supportende für Software und insbesondere Betriebssysteme einfach ignorieren kann. Sicherheitslücken interessieren sie nicht und im Zweifel schaden sie sich ja sowieso nur selbst - glauben sie. Dahinter stecken Bequemlichkeit, Unkenntnis und liebevoll gepflegte urbane Mythen. Schluss damit!

Das Supportende eines Betriebssystems überrascht viele Anwender. Versierte Experten mögen das unglaubwürdig finden aber viele Anwender haben Supportzyklen ihrer Systeme nicht im Kopf oder wissen gar, dass es solche gibt. Nicht umsonst hat Microsoft zum Supportende von Windows XP eine riesige Kampagne gefahren um seine Anwender zu erreichen. Für Windows 7 plant man scheinbar ähnliches. Wer diese Kampagnen übersieht muss wirklich auf dem Mond leben. Insbesondere beim Supportende von XP konnte man im öffentlichen Raum dem kaum entgehen. Die Ausrede "das wusste ich nicht" zählt also nicht.

Betriebssysteme haben immer noch sehr lange Supportzyklen. Windows-Versionen zwischen XP und 7 kommen durchschnittlich auf 10 Jahre Support für Privatkunden, macOS immerhin auf mehrere Jahre und Linux je nach Distribution auch auf 5 bis 10 Jahre (siehe: Linux - Eine sichere Basis). Es ist also mitnichten so, dass man "ständig" aktualisieren müsste. Das gleiche gilt für zentrale Programme wie Browser oder Office-Anwendungen. Unter Berücksichtigung der normalen Produktlaufzeiten ist es sogar wahrscheinlich, dass man innerhalb des Supportzyklus die Hardware auswechselt. Wer dann wieder eine veraltete Version installiert oder sich von einem vermeintlichen "Experten" installieren lässt ist selbst schuld.

Noch schlimmer als unwissende Anwender sind Anhänger von urbanen Mythen. Die bekanntesten Gerüchte sind sicherlich:

  1. Alte Systeme stehen nicht so im Fokus und sind deshalb sogar sicherer.
  2. Die monatlichen Aktualisierungen zeigen doch, dass auch in unterstützter Software Sicherheitslücken stecken.
  3. Ein Virenscanner wird schon reichen.
  4. Es trifft ja nur mich persönlich. Das kann anderen ja egal sein.

Insbesondere letzteres Argument erinnert so manchen an renitente Raucher, die trotz aller Risiken weiter ihre Gesundheit gefährden und letztlich die solidarisch finanzierte Krankenversicherung. Und genau wie bei diesen ist das Argument grundfalsch.

Jeder ungesicherte PC stellt eine Bedrohung für andere dar. Eine große Herausforderung der Gegenwart sind so genannte Botnetze. Gemeinhin sind damit einzelne internetfähige Geräte gemeint, die - ohne Wissen und Einwilligung ihres Besitzers - in ein Rechnernetz eingegliedert und für kriminelle Aktivitäten genutzt werden. Diese Botnetze sind das Rückgrat großer Angriffe, so wäre der recht bekannte Angriff auf Estland 2007 ohne Botnetze unmöglich gewesen. Zwar kann man inzwischen auch Rechnerleistung bei großen Cloudanbietern mieten, diese sichern sich jedoch selbstverständlich gegen illegale Aktivitäten ab. Daher bleiben Botnetze ein wichtiges Mittel für illegale Aktivitäten.

Die meisten Botnetze basieren auf Sicherheitslücken. Nur in Ausnahmefällen dürfte es sich für die Auftraggeber lohnen das Botnetz durch manuelle Installation einzurichten. Die meisten solcher Netze breiten sich durch klassische Sicherheitslücken in Betriebssystemen, Browsern oder anderer anfälliger Software aus. Hinzu kommt vermutlich noch die Bündelung mit illegalen Softwareangeboten, die immer noch erstaunliche viele herunterladen und natürlich die Infektion des Systems durch Anwender, die jeden Link anklicken und alle herunterladen und ausführen, was ihnen über den Weg läuft.

Gegen die Punkte 2 und 3 kann man wenig unternehmen. Die menschliche Dummheit ist bekanntlich grenzlos. Punkt 1 ist jedoch ohne Betriebssystem und Programme, die über ihre Supportdauer hinaus genutzt werden deutlich schwerer. Immerhin setzt dies voraus, dass der Angreifer eine Lücke kennt, die dem Hersteller des Programms nicht bekannt ist oder die dieser nicht bereit ist zu schließen. Letzteres dürfte mutmaßlich nur für geheimdienstliche Aktivitäten zutreffen.

Dieser Punkt verweist auch schon auf den urbanen Mythos, dass auch in unterstützter Software Sicherheitslücken stecken. Das ist natürlich richtig, die vielen monatlichen Updates beweist es. Dem Angreifer bleibt aber nur das Zeitfenster zwischen Kenntnis der Sicherheitslücke und der Behebung des Problems durch den Hersteller. Dieses Zeitfenster ist in der Regel nicht lang genug um ein großes Botnetz aufzubauen.

Man sollte zudem - und das referenziert Punkt 1 - nicht glauben, dass fehlende Patches für nicht mehr unterstützte Systeme fehlende Sicherheitslücken bedeuten. Ein Trugschluss den immer wieder Anwender ziehen. Die meisten modernen Betriebssyteme (Windows NT, macOS, Linux) haben Jahrzehnte Entwicklung hinter sich. Dabei wird der Code nicht komplett ausgetauscht sondern immer wieder überarbeitet, ergänzt oder gekürzt. Viele Sicherheitslücken, die gefunden werden, bestehen daher schon seit Jahren. Die im Frühjahr 2017 bekannt gewordene Schadsoftware WannaCry betraf Windows Systeme bis zurück zu XP. Dieses Problem gilt nicht nur für Windows. Die - in Anlehnung an WannaCry - SambaCry genannte Lücke betraf alle Samba-Versionen von 3.5 (erschienen 2010) bis zur aktuellen Version und damit auch quasi alle Linux-Distributionen.

Wer also wissentlich nicht unterstützt Software benutzt nimmt in Kauf kriminelle Aktivitäten zu unterstützen. Insbesondere bei den großen Betriebssystemen und Browsern kann man sich den Supportende-Ankündigungen kaum entziehen, weshalb man dieses Wissen voraussetzen kann. Meiner Meinung nach sollte dieses Verhalten sogar strafrechtlich belangt werden können, wie das z.B. für ungeschützte WLAN Netze bereits der Fall ist. Das gleiche gilt natürlich auch die die Hersteller von Smartphones und IoT Geräten, die diese nicht pflegen. Das sei hier der Vollständigkeit erwähnt, entzieht sich aber den Möglichkeiten des normalen Anwenders.


Bilder:

Einleitungs- und Beitragsbild von pixelcreatures via pixabay / Lizenz: CC0 Creative Commons

Tags: Sicherheit, Supportende, EoL, Sicheitslücken, Botnetz

Die Kommentarfunktion auf [Mer]Curius soll allen interessierten Leserinnen und Lesern einen Austausch ermöglichen. Kritische Meinungen zum Artikel selbst oder anderen Kommentaren sind ausdrücklich erwünscht. Gleichwohl werden Kommentare vor ihrer Veröffentlichung geprüft. Sie erscheinen daher nicht im unmittelbaren Anschluss nach dem Verfassen.


Die Angabe einer E-Mail Adresse ist optional und lediglich notwendig, wenn ein Abonnement zukünftiger Kommentare gewünscht ist.


Informationen zu verarbeiteten personenbezogenen Daten entnehmen Sie bitte der Datenschutzerklärung. Mit dem Verfassen eines Kommentars akzeptieren Sie diese Datenschutzbedingungen.

Lade Kommentar... Das Kommentar wird neu geladen in 00:00.

Verfasse den ersten Kommentar.

Schreibe etwas...
Sie sind Gast
oder als Gast schreiben
  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1