Das Ende von Windows XP wird uns noch bis im April, und vermutlich auch darüber hinaus beschäftigen. Ich habe gestern beim Tagi online ausführlich analysiert, warum sich Windows XP so lange gehalten hat: Warum war XP bloss so erfolgreich?.
Auch bei der Kummerbox treffen weiterhin viele Fragen ein – wobei man grob drei Kategorien unterscheiden kann. Nämlich:
a) Wie steige ich um?
b) Worauf steige ich um?
und c) Steige ich wirklich um?
Die Leute aus der Kategorie c) haben keine Lust, etwas an ihrem System zu verändern. Es läuft, es erfüllt seinen Zweck und basta.
Fatale Schützenhilfe
Die erhalten Schützenhilfe von verschiedenen Seiten, beispielsweise vom Konsumentenschutzmagazin «Saldo». Im Beitrag Windows XP: Weiterhin vor Viren geschützt schreibt Marc Mair-Noack:
Ab April stellt Microsoft keine Sicherheits-Updates mehr für Windows XP zu Verfügung. Trotzdem sind Computer mit diesem Betriebssystem noch eine Zeit lang vor Viren geschützt. Das deutsche IT-Fachmagazin «c’t» fragte bei den Herstellern von Antivirensoftware nach, wie lange sie Windows XP noch unterstützen. Resultat: Die Schutzsoftware von AVG oder F-Secure ist noch bis 2016 für XP kompatibel. Avira, Kaspersky oder McAfee planen, den Dienst im Lauf des Jahres 2015 abzuschalten. Microsoft selbst beendet den Virenschutz gleichzeitig wie die Sicherheits-Updates, also bereits im April dieses Jahres.
Das ist eine brandgefährliche Empfehlung. Ich habe im Kummerbox-Beitrag Sind Norton, Kaspersky und McAfee nicht Schutz genug? auf einen Beitrag von Microsoft-Sicherheitsexperte Tim Rains verwiesen (The Risk of Running Windows XP After Support Ends April 2014):
Nach dem 8. April 2014 werden Unternehmen [und Privatpersonen, meine Anmerkung], die Windows XP verwenden, keinen Vorsprung auf die Angreifer mehr haben. Im allerersten Monat, in dem Microsoft Sicherheits-Updates für unterstützte Versionen von XP veröffentlicht, werden Angreifer diese per Reverse Engineering analysieren, die Sicherheitslücken finden und überprüfen, ob Windows XP diese Angriffspunkte teilt.
Wenn das der Fall ist, werden die Angreifer versuchen, Schadcode zu entwickeln, der diese Sicherheitslücke in Windows XP ausnutzt. Weil keine Updates diese Sicherheitslücken schliessen, wird Windows XP bis ans Ende aller Tage eine Zero day-Sicherheitslücke aufweisen.
Wie oft könnte dieses Szenario auftreten? Zwischen Juli 2012 und Juli 2013 wurde Windows XP in 45 Sicherheits-Bulletins, als betroffen aufgeführt, wobei 30 auch Windows 7 and Windows 8 einschlossen.
Der Bericht von «Saldo» bezieht sich auf den Artikel Support ins Ungewisse (von meinem Nachnamensvetter Jan Schüßler). Dort wird zwar tatsächlich erklärt, dass die Virenhersteller weiterhin Signaturen liefern. Aber:
Nach April 2014 würden zwar Signaturen für Installationen auf Windows XP zur Verfügung stehen, aber der darüber hinausgehende Support für zum Beispiel Bugfixes könnte durchaus Einschränkungen erfahren. «AVG kann keine Sicherheitslücken schliessen, die Microsoft offen lässt», erklärte ein Sprecher ausserdem. Auch Kompatibilitätsprobleme könnten bestehen bleiben, falls AVG für deren Beseitigung auf Microsofts Mithilfe angewiesen wäre. McAfee erläutert dieses Problem ebenfalls, allerdings nur auf seiner Website für Unternehmenskunden. Der Anbieter will für Produkte auf Windows XP noch «für eine begrenzte Zeit» Support bieten – solange das technisch und wirtschaftlich sinnvoll sei. McAfee schreibt zudem, dass im Falle einer «externen Abhängigkeit», also der Erfordernis zum Beispiel eines Microsoft-Patches, der Support jäh enden könne.
Ich halte es für einen Irrweg, dass die Hersteller von Antivirenprogrammen nach dem Ende von Windows XP weiterhin Virensignaturen anbieten. Diese Signaturen wiegen die standhaften XP-Nutzer in falscher Sicherheit. Man kann den Herstellern unterstellen, dass es ihnen in diesem Fall weniger um die Sicherheit der XP-User als vielmehr um ihre eigenen Pfründe geht: Bekanntlich hat Windows 8 mit Defender einen integrierten Virenschutz. Es kann somit durchaus passieren, dass XP-Nutzer den Umstieg auf Windows 8.1 zum Anlass nehmen, auf ein Drittprogramm zu verzichten und mit Defender vorlieb zu nehmen. Darum könnte den Antivirenherstellern daran gelegen sein, die Leute noch möglichst lang bei der Stange zu halten.
«Saldo» verbreitet Halbwahrheiten
Was «Saldo» angeht, muss man der Zeitschrift in diesem Fall die Verbreitung von Halbwahrheiten vorwerfen. Im «c’T»-Beitrag sind die Risiken klar erwähnt. Daraus leitet sich meines Erachtens als zwingender Schluss ab, dass man von XP nun endlich die Finger lassen muss. Die Zusammenfassung von «Saldo» impliziert das Gegenteil: Dass man XP bedenkenlos weiter betreiben darf. Und das ist leider auch das Gegenteil von Konsumentenschutz.
Grundsätzlich völlig richtig, nur ein kleiner Einwand: Normalerweise hat das Betriebssystem bei Privatanwendern keinen direkten Kontakt zum “gefährlichen” Internet. Man surft mit dem Browser, holt Mails ab im Mailclient etc. Wenn man da konsequent aktuelle Drittsoftware verwendet und Sachen wie die Bildvorschau im Explorer deaktiviert, gibt es fast keine Angriffsfläche für Schadcode.
Wobei das natürlich auch nur eine Verlängerung der Gnadenfrist ist: früher oder später wird es aktuelle Versionen von Firefox oder Chrome nicht mehr für XP geben.
Man weiss halt nicht, welche Sicherheitslücken nach dem 8. April 2014 auftauchen werden. Eine Lücke des Kalibers der WMF-Sicherheitslücke von 2006 würde auch in Drittbrowsern Drive-by-Downloads ermöglichen. Auch eine Lücke in der Firewall wäre problematisch…
Ausserdem habe ich bei der Kummerbox erlebt, dass die User, die XP weiter nutzen wollen, meist nicht die versierten Anwender sind, die über die Gefahren Bescheid wissen.