Kommentar: Betriebssysteme und Programme nie über das Supportende hinaus benutzen!

Bild von pixelcreatures via pixabay / Lizenz: CC0 Public Domain

Bild von pixelcreatures via pixabay / Lizenz: CC0 Public Domain

Es gibt diese selbsternannten Experten, die glauben, dass man das offizielle Supportende für Software und insbesondere Betriebssysteme einfach ignorieren kann. Sicherheitslücken interessieren sie nicht und im Zweifel schaden sie sich ja sowieso nur selbst - glauben sie. Dahinter stecken Bequemlichkeit, Unkenntnis und liebevoll gepflegte urbane Mythen. Schluss damit!

Das Supportende eines Betriebssystems überrascht viele Anwender. Versierte Experten mögen das unglaubwürdig finden aber viele Anwender haben Supportzyklen ihrer Systeme nicht im Kopf oder wissen gar, dass es solche gibt. Nicht umsonst hat Microsoft zum Supportende von Windows XP eine riesige Kampagne gefahren um seine Anwender zu erreichen. Für Windows 7 plant man scheinbar ähnliches. Wer diese Kampagnen übersieht muss wirklich auf dem Mond leben. Insbesondere beim Supportende von XP konnte man im öffentlichen Raum dem kaum entgehen. Die Ausrede "das wusste ich nicht" zählt also nicht.

Betriebssysteme haben immer noch sehr lange Supportzyklen. Windows-Versionen zwischen XP und 7 kommen durchschnittlich auf 10 Jahre Support für Privatkunden, macOS immerhin auf mehrere Jahre und Linux je nach Distribution auch auf 5 bis 10 Jahre (siehe: Linux - Eine sichere Basis). Es ist also mitnichten so, dass man "ständig" aktualisieren müsste. Das gleiche gilt für zentrale Programme wie Browser oder Office-Anwendungen. Unter Berücksichtigung der normalen Produktlaufzeiten ist es sogar wahrscheinlich, dass man innerhalb des Supportzyklus die Hardware auswechselt. Wer dann wieder eine veraltete Version installiert oder sich von einem vermeintlichen "Experten" installieren lässt ist selbst schuld.

Noch schlimmer als unwissende Anwender sind Anhänger von urbanen Mythen. Die bekanntesten Gerüchte sind sicherlich:

  1. Alte Systeme stehen nicht so im Fokus und sind deshalb sogar sicherer.
  2. Die monatlichen Aktualisierungen zeigen doch, dass auch in unterstützter Software Sicherheitslücken stecken.
  3. Ein Virenscanner wird schon reichen.
  4. Es trifft ja nur mich persönlich. Das kann anderen ja egal sein.

Insbesondere letzteres Argument erinnert so manchen an renitente Raucher, die trotz aller Risiken weiter ihre Gesundheit gefährden und letztlich die solidarisch finanzierte Krankenversicherung. Und genau wie bei diesen ist das Argument grundfalsch.

Jeder ungesicherte PC stellt eine Bedrohung für andere dar. Eine große Herausforderung der Gegenwart sind so genannte Botnetze. Gemeinhin sind damit einzelne internetfähige Geräte gemeint, die - ohne Wissen und Einwilligung ihres Besitzers - in ein Rechnernetz eingegliedert und für kriminelle Aktivitäten genutzt werden. Diese Botnetze sind das Rückgrat großer Angriffe, so wäre der recht bekannte Angriff auf Estland 2007 ohne Botnetze unmöglich gewesen. Zwar kann man inzwischen auch Rechnerleistung bei großen Cloudanbietern mieten, diese sichern sich jedoch selbstverständlich gegen illegale Aktivitäten ab. Daher bleiben Botnetze ein wichtiges Mittel für illegale Aktivitäten.

Die meisten Botnetze basieren auf Sicherheitslücken. Nur in Ausnahmefällen dürfte es sich für die Auftraggeber lohnen das Botnetz durch manuelle Installation einzurichten. Die meisten solcher Netze breiten sich durch klassische Sicherheitslücken in Betriebssystemen, Browsern oder anderer anfälliger Software aus. Hinzu kommt vermutlich noch die Bündelung mit illegalen Softwareangeboten, die immer noch erstaunliche viele herunterladen und natürlich die Infektion des Systems durch Anwender, die jeden Link anklicken und alle herunterladen und ausführen, was ihnen über den Weg läuft.

Gegen die Punkte 2 und 3 kann man wenig unternehmen. Die menschliche Dummheit ist bekanntlich grenzlos. Punkt 1 ist jedoch ohne Betriebssystem und Programme, die über ihre Supportdauer hinaus genutzt werden deutlich schwerer. Immerhin setzt dies voraus, dass der Angreifer eine Lücke kennt, die dem Hersteller des Programms nicht bekannt ist oder die dieser nicht bereit ist zu schließen. Letzteres dürfte mutmaßlich nur für geheimdienstliche Aktivitäten zutreffen.

Dieser Punkt verweist auch schon auf den urbanen Mythos, dass auch in unterstützter Software Sicherheitslücken stecken. Das ist natürlich richtig, die vielen monatlichen Updates beweist es. Dem Angreifer bleibt aber nur das Zeitfenster zwischen Kenntnis der Sicherheitslücke und der Behebung des Problems durch den Hersteller. Dieses Zeitfenster ist in der Regel nicht lang genug um ein großes Botnetz aufzubauen.

Man sollte zudem - und das referenziert Punkt 1 - nicht glauben, dass fehlende Patches für nicht mehr unterstützte Systeme fehlende Sicherheitslücken bedeuten. Ein Trugschluss den immer wieder Anwender ziehen. Die meisten modernen Betriebssyteme (Windows NT, macOS, Linux) haben Jahrzehnte Entwicklung hinter sich. Dabei wird der Code nicht komplett ausgetauscht sondern immer wieder überarbeitet, ergänzt oder gekürzt. Viele Sicherheitslücken, die gefunden werden, bestehen daher schon seit Jahren. Die im Frühjahr 2017 bekannt gewordene Schadsoftware WannaCry betraf Windows Systeme bis zurück zu XP. Dieses Problem gilt nicht nur für Windows. Die - in Anlehnung an WannaCry - SambaCry genannte Lücke betraf alle Samba-Versionen von 3.5 (erschienen 2010) bis zur aktuellen Version und damit auch quasi alle Linux-Distributionen.

Wer also wissentlich nicht unterstützt Software benutzt nimmt in Kauf kriminelle Aktivitäten zu unterstützen. Insbesondere bei den großen Betriebssystemen und Browsern kann man sich den Supportende-Ankündigungen kaum entziehen, weshalb man dieses Wissen voraussetzen kann. Meiner Meinung nach sollte dieses Verhalten sogar strafrechtlich belangt werden können, wie das z.B. für ungeschützte WLAN Netze bereits der Fall ist. Das gleiche gilt natürlich auch die die Hersteller von Smartphones und IoT Geräten, die diese nicht pflegen. Das sei hier der Vollständigkeit erwähnt, entzieht sich aber den Möglichkeiten des normalen Anwenders.

Svenja
Wie sieht das ganze mit Hardwarefirewalls aus die EOL sind? Bezüglich der Benutzung von Betriebssystemen über das Supportende hinaus: Es gibt etliche Ärzte und andere Unternehmen die noch Windows NT 4 Workstation/Server oder Windows 2000 Professional/Server im Einsatz haben.
Cruiz
Und was soll einem das jetzt sagen? Wenn Unternehmen und Ärzte etwas verwenden muss es folglich sicher sein?
Michael
Kurz: Jupp. Aber man muss sich überlegen, was das in der heutigen Zeit bedeutet: etwa 60-80% der Android-Smartphones sind eigentlich mit dem Abverkauf "End Of Life", da sie keine Sicherheitspatche bekommen. Die i-Devices sind nach ca. 3 Jahren ab Verkaufsbeginn (d.h. tw. nach einem Jahr, nachdem Otto-Normal sie bei einem Discounter gekauft haben) EOL. Gleiches gilt für Billig-Windows-10-Rechner, da das neuste Frühjahrs/Herbst-Update mit dem Speicher oder dem Prozessor nicht mehr funktioniert (so gesehen bei den ersten Win10-Tablets mit 1 GB RAM). Von den ganzen IOT, Fernseher- oder UPNP-Geräten ganz zu schweigen - die Hardware funktioniert ohne Probleme, aber die neuste Software-Version mit den Sicherheitspatchen können nicht mehr auf das Gerät geladen werden, auch nicht von welchen, die es technisch könnten.
Petition: Verpflichtung der Hersteller auf Sicherheitspatche für mind. 5 Jahre nach Abkündigung!

Cruiz
Kann ich nur unterschreiben, das hatte ich ja bereits oben im vorletzten Satz angerissen. Hier geht es aber nicht um Anwenderverantwortung, sondern hier muss herstellerseitig etwas getan werden. Daher sprengt das doch etwas den Rahmen des Artikels.
chriskringel84
Zitat: "Meiner Meinung nach sollte dieses Verhalten sogar strafrechtlich belangt werden können, [...]"

Genau, nur der Bundestrojaner und big government kann uns noch retten! IP-Adressen-Mitschnitte mit Betriebssystem-browser-agents-Fingerprints JETZT! Und dann machen wir eine Online-Pranger-Seite, wo wir diese gefährlichen Individuuen, die mit Windows XP noch Half-Life 1 mit echtem DirectSound spielen, --oder anderen jedenfalls nicht der Gemeinschaft nützigen Unfug betreiben!-- ..., dass wir diesen das Handwerk gelegt haben tun werden!!11

Zitat: "[...] erinnert so manchen an renitente Raucher, die trotz aller Risiken weiter ihre Gesundheit gefährden und letztlich die solidarisch finanzierte Krankenversicherung."

Und wollen Sie auch bei mir zum Frühstück vorbeikommen, ob ich mich auch ja gesund genug ernähre? Ich meine, schließlich ist ja die "solidarisch finanzierte" Krankenversicherung in Gefahr!

Cruiz
Ich gehöre nicht zu den libertären Staatsverächtern, die subjektiv gesehen im nerdigen IT-Umfeld überproportional vertreten sind.

Also ja, so wie der Staat einen TÜV für Autos vorschreibt oder ähnliches, sollte es auch eine Haftung des Privatanwenders für seine Technik geben - im Schadensfall sowieso. Es kann nicht sein, dass jeder DAU faktisch ohne Haftung einen ungesicherten Server ins Netz stellen kann und damit kriminellen Aktivitäten Vorschub leistet. Die genaue Ausgestaltung kann man sicherlich diskutieren, mit dem oben beschrieben ungesicherten WLAN Netzen habe ich ja ein Beispiel geliefert.

Der Rauchervergleich hinkt übrigens nicht so sehr, wie man eventuell meint. Auch Raucher haben jahrzehntelang erklärt, sie schaden ja nur sich selbst. Bis das Passivrauchen nachgewiesen wurde und dieser Argumentation zum Mythos wurde. Genau so ist das bei ungesicherten Systemen. Man schadet eben nicht nur sich selbst!

Raptor 2101
Du übersiehst in deinem Beitrag ein zentralen Punkt. Es gibt Leute die wollen nicht upgraden weil Windows 10 einige "features" besitzt die einfach untragbar sind. Für die einen die GUI, für die anderen die Datensammelwut, für wieder andere das Konzept an sich.

Ich selbst betreibe ein privat ein Windows 7 (ohne Firenscanner ;)) für nur einen bestimmten Zweck und werde das auch noch auf unbestimmte Zeit tun. Ich werde mir windows 10 nicht installieren und das obwohl ich Zugang zur MSDN hab (quasi die Lizenzen dafür schon gezahlt).

Bei OperatingSystems bei denen man die Kernfeatures auch abschalten bzw. austauschen kann bin ich bei dir, updaten und zwar sofort. Aber bei OS wo mit jeder neuen version, neben Bugfixes auch neue Backdoors, AntiFeatures (wie die gerade deinstallierten HVEC Codecs) oder schlicht Gängelungen ungefragt mitinstalliert werden, muss man als User einfach abwägen.

Cruiz
Windows 7 wird noch bis Anfang 2020 unterstützt, so lange ist ja noch alles in Ordnung und daher auch nicht Zielgruppe des Artikels. Privatanwender müssen sich vor Mitte/Ende 2019 auch keine Gedanken machen, da Migrationen im privaten Umfeld nicht so aufwändig sind. Firmen können ggf. noch länger für Support bei Microsoft bezahlen.
Raptor 2101
Cruiz sagte :
Privatanwender müssen sich vor Mitte/Ende 2019 auch keine Gedanken machen, da Migrationen im privaten Umfeld nicht so aufwändig sind.

Das war nicht mein Punkt!
Mein Punkt ist: bei einem OS Wechsel (oder auch Programmwechsels) geht es nicht ausschließlich um Sicherheit. Aus Sicht der ITler ist die neuste Version immer die Beste da (hoffentlich) weniger Security Fehler. Aus Anwendersicht ist die Sicherheit nur ein Teil (meistens sogar der vernachlässigbare) des Gesamtpaketes. Ich kenne jemanden der sein WindowsXP (inkl Trojaner) weiter betreibt, weil er sich keinen Rechner leisten kann auf dem ein Win7 bootet. Oder Diverse Lightroom Nutzer die einfach nicht auf Abo Modell wechseln wollen (wobei Adobe und Sicherheit ...). Kurz: man muss sich vor dem Lizenzkauf Gedanken machen. Man muss den Hersteller verpflichten oder man muss solche Szenarien wie in den Krankenhäusern ind GB akzeptieren ...

Cruiz
Gut, da muss man jetzt abwägen, aber das führt vermutlich zu weit.

Es macht ja schon einen Unterschied ob man ein nicht unterstütztes Betriebssystem oder Browser verwendet oder eine nicht mehr unterstützte Drittsoftware. In den Listen der üblichen Einfallstore tauchen ja meistens in dieser oder ähnlicher Reihenfolge Betriebssystem, Browser und dann Browserplugins wie Java oder Flash auf. Natürlich wäre es besser nur unterstützte Software zu nutzen, aber das geht manchmal nicht. Im schlimmsten Fall kann man diese immer noch in eine VM ohne Internetzugang einsperren.

Geld spielt natürlich eine Rolle. Ich behaupte aber mal, in einem wohlhabenden Land wie Deutschland eher für eine Minderheit. Der Anwender, der sich wirklich keinen neuen PC (und Windows 7 läuft auf Hardware von 2006 an problemlos) leisten kann ist gegenüber dem Anwender, der beim privaten PC einfach ignorant ist und sich jedes zweite Jahr ein neues Handy kauft in der Minderheit.

Also ich habe mir einen gebrauchten i5 für 180€ gekauft, dazu eine Win10 pro Lizenz für 12€. Wer sich so viel nicht leisten kann, der soll am besten gar keinen Rechner verwenden, anstatt andere evtl. in Gefahr zu bringen, weil er Phishing Mails, Trojaner usw. verschickt...
undertstater
Raptor 2101 sagte :
[quote name="Cruiz"] Ich kenne jemanden der sein WindowsXP (inkl Trojaner) weiter betreibt, weil er sich keinen Rechner leisten kann auf dem ein Win7 bootet.


Dieser "Jemand" waere, wenn er auf seine alte Buechse ein Linux installiert, begeistert wie schnell ein modernes OS noch auf so einer alten Maschine laufen kann.
Dieses "kann ich mir nicht leisten" ist kein Argument! Ich koennte auch sagen: "so einen modernen Diesel kann ich mir nicht leisten, deshalb habe ich einen Anspruch darauf mit meiner alten Russ-Schleuder durch die Innenstatt zu fahren"

Horst Meyer
Hallo,
sehe ich genauso. Mir kräuseln sich immer die Nackenhaare, wenn ich sehe das gewisse Leute meinen mit WindowsXP ins Internet zu gehen und behaupten sie bräuchten kein Update...
Und was ich auch ärglich finde ist, wie Du schon erwähntest, das Smartphone-Herstelle kein Update zur Verfügung stellen. Daher mußte ich mir sogar ein neues Handy zulegen. Huawei fährt z.B. so eine Praxis, darum habe ich mir jetzt eine neue Marke zugelegt.
Viele Grüße
Horst

1000 Buchstaben übrig


Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top