Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine erneute Warnung bezüglich der Verwendung veralteter Betriebssysteme in kritischen Infrastrukturen herausgegeben. Betroffen sind insbesondere Systeme, die weiterhin als Desktop PC Windows 7 Professional betrieben werden, obwohl der offizielle Support durch den Hersteller Microsoft bereits vor Jahren endete. Die Bonner Behörde wies darauf hin, dass ohne regelmäßige Sicherheitsaktualisierungen die Gefahr von erfolgreichen Cyberangriffen auf staatliche und private Institutionen massiv ansteigt.
Laut einem Sprecher des BSI sind derzeit noch immer zehntausende Rechner in Deutschland im Einsatz, die auf dieser technologischen Basis arbeiten. Das Risiko betrifft vor allem spezialisierte Hardware in der Industrie und Medizin, die oft an ältere Softwarelösungen gebunden ist. Die Verantwortlichen betonen, dass eine Isolierung dieser Geräte vom öffentlichen Internet zwingend erforderlich ist, um die Integrität der Netzwerke zu gewährleisten.
Risiken der Weiternutzung von Desktop PC Windows 7 Professional
Die technischen Gefahren bei der Nutzung veralteter Plattformen sind vielfältig und betreffen primär die Ausnutzung von Schwachstellen, für die keine Patches mehr bereitgestellt werden. Das BSI dokumentiert in seinem Lagebericht zur IT-Sicherheit in Deutschland, dass Angreifer gezielt nach Systemen suchen, die bekannte Sicherheitslücken aufweisen. Da der Hersteller Microsoft den erweiterten Support am 14. Januar 2020 eingestellt hat, bleiben neu entdeckte Fehler in der Programmstruktur dauerhaft offen.
Experten der Cybersicherheitsfirma CrowdStrike bestätigten, dass Ransomware-Gruppen bevorzugt Umgebungen angreifen, in denen heterogene Softwarestände existieren. Ein einzelner Desktop PC Windows 7 Professional innerhalb eines modernen Unternehmensnetzwerks kann als Brückenkopf für eine seitliche Bewegung der Angreifer im System fungieren. Die Angreifer nutzen dabei oft Protokolle, die in neueren Versionen standardmäßig deaktiviert oder besser geschützt sind.
Kosten und Aufwand der Systemmigration
Die Umstellung auf moderne Betriebssysteme wie Windows 10 oder Windows 11 stellt viele Organisationen vor finanzielle Herausforderungen. In einer Analyse des Marktforschungsunternehmens Gartner wurde festgestellt, dass die Kosten für die Migration nicht nur die Softwarelizenzen, sondern vor allem die Prüfung der Anwendungskompatibilität umfassen. Viele Unternehmen zögerten den Wechsel hinaus, weil geschäftskritische Anwendungen auf der alten Architektur basieren.
Das Bundesfinanzministerium gab in einer Antwort auf eine kleine Anfrage im Bundestag bekannt, dass die Kosten für den sogenannten Extended Security Update Dienst von Microsoft erheblich waren. In den ersten Jahren nach dem Support-Ende zahlten Behörden Millionenbeträge, um weiterhin kritische Sicherheitsfixes zu erhalten. Diese Übergangsphase endete jedoch für die meisten Kunden im Januar 2023, wodurch die Systeme nun vollständig ungeschützt sind.
Kompatibilitätsprobleme in der Industrie
In industriellen Fertigungsanlagen steuern ältere Rechner oft Maschinen, deren Lebenszyklus auf 20 bis 30 Jahre ausgelegt ist. Der Austausch der Steuerungseinheit würde in vielen Fällen den kompletten Ersatz der Maschine erfordern. Ingenieure des Verbands Deutscher Maschinen- und Anlagenbau (VDMA) erklärten, dass Softwareanpassungen für neue Betriebssysteme oft teurer sind als die Hardware selbst.
Diese Situation führt dazu, dass Unternehmen versuchen, die alten Geräte durch sogenannte Air-Gapping-Maßnahmen abzusichern. Dabei werden die Rechner physisch von allen anderen Netzwerken getrennt. Die Effektivität dieser Methode wird jedoch durch den notwendigen Datenaustausch via USB-Sticks oder Wartungszugänge Dritter oft untergraben.
Rechtliche Konsequenzen für Unternehmen
Rechtsexperten weisen darauf hin, dass die Nutzung unsicherer Software gegen die Sorgfaltspflichten der Datenschutz-Grundverordnung (DSGVO) verstoßen kann. Artikel 32 der Verordnung verlangt von Unternehmen technische und organisatorische Maßnahmen nach dem Stand der Technik. Ein Betriebssystem, das seit Jahren keine Sicherheitsupdates mehr erhält, entspricht laut Einschätzung verschiedener Landesdatenschutzbeauftragter nicht mehr diesem Standard.
Bei einem Datenabfluss, der durch eine bekannte Lücke in einem veralteten System ermöglicht wurde, drohen empfindliche Bußgelder. Die Aufsichtsbehörden betonen, dass Unkenntnis oder wirtschaftliche Erwägungen nicht von der Pflicht zur Absicherung personenbezogener Daten entbinden. Versicherungsunternehmen prüfen zudem im Schadensfall genau, ob die IT-Infrastruktur ordnungsgemäß gewartet wurde, bevor sie Zahlungen leisten.
Technologische Alternativen und Virtualisierung
Eine mögliche Lösung für den Weiterbetrieb notwendiger Software ist die Virtualisierung. Dabei wird die alte Umgebung in einer gesicherten, virtuellen Maschine auf einem modernen Host-System ausgeführt. Laut Dokumentationen von Microsoft Deutschland ermöglicht dies eine bessere Kontrolle über den Netzwerkzugriff und schützt die physische Hardware.
Dennoch bleibt die Virtualisierung nur eine Zwischenlösung, da der Kern der Software weiterhin anfällig bleibt. Cloud-basierte Lösungen bieten mittlerweile oft Möglichkeiten, alte Workflows in moderne Webanwendungen zu transformieren. Dieser Prozess erfordert jedoch eine grundlegende Überarbeitung der Geschäftsprozesse und ist mit hohen Initialinvestitionen verbunden.
Die Rolle der Hardware-Hersteller
Die Anbieter von Computerhardware haben die Produktion von Treibern für die Architektur von 2009 längst eingestellt. Neue Prozessorgenerationen von Intel und AMD werden von den alten Kernel-Strukturen nicht mehr unterstützt. Dies führt dazu, dass ein Defekt an einem alten Rechner oft zum Totalausfall führt, da Ersatzteile nicht mehr mit der Software harmonieren.
Hardware-Analysten von IDC berichteten, dass der Markt für gebrauchte Komponenten für spezialisierte Altsysteme floriert, aber hohe Risiken birgt. Die Zuverlässigkeit dieser Komponenten sinkt mit zunehmendem Alter der elektrolytischen Bauteile. Ein plötzlicher Systemausfall kann in der Produktion zu Stillstandskosten führen, die die Kosten einer rechtzeitigen Migration bei weitem übersteigen.
Internationale Perspektive auf die IT-Sicherheit
Andere europäische Staaten stehen vor ähnlichen Problemen wie Deutschland. Die europäische Agentur für Cybersicherheit (ENISA) veröffentlicht regelmäßig Leitfäden für den Umgang mit Legacy-Systemen. In ihrem Jahresbericht zur Bedrohungslage hebt die Agentur hervor, dass staatliche Akteure gezielt nach Schwachstellen in älterer Software suchen, um Spionage zu betreiben.
Besonders kritisch wird die Situation in Krankenhäusern eingestuft, wo medizinische Großgeräte wie MRT-Scanner oft auf veralteten Plattformen laufen. Ein Angriff auf diese Systeme gefährdet nicht nur Daten, sondern unmittelbar die Patientenversorgung. Die Bundesregierung hat deshalb das Patientendaten-Schutzgesetz verschärft, um Krankenhäuser zu höheren Investitionen in moderne IT zu zwingen.
In den kommenden Monaten wird sich zeigen, wie schnell die verbliebenen Lücken in der staatlichen und privaten IT-Infrastruktur geschlossen werden können. Die Überwachung durch das BSI wird intensiviert, wobei insbesondere Betreiber kritischer Infrastrukturen strengere Nachweise über ihre IT-Sicherheit erbringen müssen. Die technologische Entwicklung drängt darauf, die Abhängigkeit von Softwarearchitekturen des vergangenen Jahrzehnts endgültig zu beenden.
