Abo
  • IT-Karriere:

Windows XP: Wechselmuffel im Patch-Dilemma

Das offizielle Ende des XP-Supports bedeutet nicht, dass keine Patches mehr im Netz auftauchen dürften. Für Nutzer könnte es aber gefährlich werden, solche Dateien zu installieren.

Artikel veröffentlicht am ,
Windows XP
Windows XP (Bild: Microsoft/Screenshot: Golem.de)

Das Supportende für Windows XP gilt längst nicht für alle Nutzer. Nicht nur die britische Regierung, auch das Land Niedersachsen zahlt in den nächsten Monaten viel Geld dafür, dass Tausende oder gar Hunderttausende Windows-XP-Rechner weiterhin von Microsoft betreut werden. Kritische und wichtige Sicherheitsupdates inklusive, teilte die britische Regierung mit. Es ist wohl nur eine Frage der Zeit, dass Windows-XP-Patches im Netz auftauchen. Doch wie können Nutzer sicherstellen, dass die Dateien tatsächlich von Microsoft stammen?

Stellenmarkt
  1. Vodafone GmbH, Frankfurt am Main
  2. NETZSCH-Gerätebau GmbH, Selb (Raum Hof)

Der Softwarekonzern will selbst gar keine Details zu der Supportverlängerung bekanntgeben. "Wir gewähren in Ausnahmefällen Unternehmen und Organisationen Support für Windows XP auch nach dem 8. April. Die Voraussetzung ist, dass der Kunde bereits einen Migrationsplan hat", teilte Microsoft auf Anfrage von Golem.de mit. Vertragsinhalte würden nicht kommentiert. Entscheidend für Nutzer ist aber die Tatsache, dass es keine offiziell autorisierten Sicherheitsupdates für XP mehr geben wird, selbst wenn eine Vielzahl von Behörden- und Firmenrechnern noch damit versorgt werden soll. "Kein Patch, der nach diesem Tag erscheint, wird von Microsoft kommen, sondern von dritter Seite, die wir nicht kontrollieren können und für die wir keine Verantwortung übernehmen können", hieß es weiter.

Bis zu 120.000 Dollar für Zero-Day-Exploits

Dass solche Patches für die von Microsoft betreuten Behörden und Firmen notwendig werden, erwartet der Chaos Computer Club. "So lange Windows XP noch auf Millionen von Rechnern genutzt wird, ist es natürlich ein interessantes Angriffsziel. Vor allem werden Sicherheitslücken ja nicht geschlossen und können über lange Zeit ausgenutzt werden", sagte Falk Garbsch vom CCC auf Anfrage von Golem.de. Zumal Hacker das Supportende abgewartet haben dürften, um neue Schwachstellen auszunutzen. Auf der Sicherheitskonferenz Troopers präsentierten Forscher jüngst eine Liste, wonach Zero-Day-Exploits für Windows auf dem Schwarzmarkt derzeit für etwa 60.000 bis 120.000 US-Dollar gehandelt werden. Es dürfte daher für viele Nutzer eine große Versuchung darstellen, im Netz kursierende Patches zu installieren.

Doch damit könnte genau das Gegenteil von dem passieren, was verhindert werden soll. Denn auch Kriminelle könnten auf die Idee kommen, privaten XP-Anwendern per Spam oder auf anderem Wege angebliche Sicherheitsupdates unterzuschieben. "Falls Kriminelle hier einen Weg entdecken, um Trojaner einzuschleusen, könnte dies passieren", sagte Garbsch. Die betroffenen Nutzer stehen damit vor einem Dilemma: Entweder sie betreiben ihr System weiter mit inzwischen bekanntgewordenen Lücken, oder sie laufen Gefahr, ein nichtautorisiertes Update zu installieren, das erst recht ihren XP-Rechner manipuliert.

Keine Kernel-Patches von Drittanbietern

Die Empfehlung des CCC ist daher klar: Er würde generell davon abraten, im Netz kursierende Patches zu installieren, sagt Garbsch. Auch Microsoft äußert sich erwartungsgemäß dazu nicht anders. Dies betrifft zudem den Support über Drittanbieter, die laut Microsoft durchaus noch Support für Windows XP anbieten können. "Wir möchten aber betonen, dass dieser Support keine Security-Updates und Hotfixes wird bieten können, die den Windows-Kernel betreffen", hieß es weiter. "Kunden, die von dritter Seite Patches und Hotfixes angeboten bekommen, sollten deshalb sehr vorsichtig sein. Weder kann Microsoft garantieren, dass es sich um 'echte' Patches handelt, die tatsächliche XP-Probleme adressieren, noch, dass solche Patches diese Probleme auch beheben."

Eine Lösung könnte darin bestehen, dass solche angeblichen Patches von Microsoft oder einer anderen Seite auf ihre Sicherheit hin überprüft werden. Doch dazu wird es wohl nicht kommen. Nicht nur Microsoft lehnt jede Verantwortung für solche Patches ab und will diese nicht kontrollieren. Auch der CCC winkt ab: "Das können wir nicht und werden wir auch nicht. Es ist nahezu unmöglich, irgendwelche Schadfunktionen in Patches auszuschließen", sagte Garbsch.

BSI hält Privatnutzer für überfordert

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht sich ebenfalls nicht zuständig, vor solchen Patches im Einzelfall zu warnen. "Privatanwendern empfehlen wir den Wechsel auf ein aktuelles System mit automatischer Update-Funktion", sagte Behördensprecher Matthias Gärtner auf Anfrage. Für die meisten Anwender dürfte die manuelle Pflege des Betriebssystems und weiterer Komponenten der Rechnerinfrastruktur eine Überforderung darstellen, sagte Gärtner weiter. Das schließe auch ein, die Authentizität der Systemaktualisierung zu überprüfen.

Wer ohne offiziellen Microsoft-Support an XP festhält, sollte daher besser nicht darauf vertrauen, im Laufe des nächsten Jahres doch noch Patches einspielen zu können. Der Weiterbetrieb in einer abgeschotteten Umgebung oder virtuellen Maschine wäre da schon die sicherere Methode.



Anzeige
Top-Angebote
  1. (u. a. 4K-Filme im Steelbook und Amiibo-Figuren)
  2. ab 99,00€
  3. (u. a. GTA 5 für 12,99€, Landwirtschafts-Simulator 19 für 27,99€, Battlefield V für 32,99€)
  4. 169,00€

Anonymer Nutzer 11. Apr 2014

Und mal einen anderen Browser testen ist wahrscheinlich keine alternative?

TC 11. Apr 2014

Oder hat nicht genug Geld

Anonymer Nutzer 10. Apr 2014

Das glaube ich erst wenn ich es selber gesehen hab.^^ Ggf findet genau in diesem Moment...

Wolverine_DH 10. Apr 2014

Das System musst du mir mal genauer Beschreiben, also den Quadcore mit der Wenigsten...

Rulf 10. Apr 2014

am fiesesten ist aber die derzeitige angstmachpropaganda von ms und sämtlichen anderen am...


Folgen Sie uns
       


Nintendo Game Boy - ein kurzer Rückblick

Tetris, Pokémon, Super Mario - wir fassen die Geschichte des Game Boy im Video zusammen.

Nintendo Game Boy - ein kurzer Rückblick Video aufrufen
Bug Bounty Hunter: Mit Hacker 101-Tutorials zum Millionär
Bug Bounty Hunter
Mit "Hacker 101"-Tutorials zum Millionär

Santiago Lopez hat sich als Junge selbst das Hacken beigebracht und spürt Sicherheitslücken in der Software von Unternehmen auf. Gerade hat er damit seine erste Million verdient. Im Interview mit Golem.de erzählt er von seinem Alltag.
Ein Interview von Maja Hoock

  1. White Hat Hacking In unter zwei Stunden in Universitätsnetzwerke gelangen

Strom-Boje Mittelrhein: Schwimmende Kraftwerke liefern Strom aus dem Rhein
Strom-Boje Mittelrhein
Schwimmende Kraftwerke liefern Strom aus dem Rhein

Ein Unternehmen aus Bingen will die Strömung des Rheins nutzen, um elektrischen Strom zu gewinnen. Es installiert 16 schwimmende Kraftwerke in der Nähe des bekannten Loreley-Felsens.

  1. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
  2. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um
  3. Erneuerbare Energien Wellenkraft als Konzentrat

LTE-V2X vs. WLAN 802.11p: Wer hat Recht im Streit ums Auto-WLAN?
LTE-V2X vs. WLAN 802.11p
Wer hat Recht im Streit ums Auto-WLAN?

Trotz langjähriger Verhandlungen haben die EU-Mitgliedstaaten die Pläne für ein vernetztes Fahren auf EU-Ebene vorläufig gestoppt. Golem.de hat nachgefragt, ob LTE-V2X bei direkter Kommunikation wirklich besser und billiger als WLAN sei.
Eine Analyse von Friedhelm Greis

  1. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  2. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

    •  /