Die jüngste Nachricht, dass der XP-Quellcode öffentlich zugänglich gemacht wurde, hat unterschiedliche Reaktionen hervorgerufen. Verständlicherweise gehen einige Leute davon aus, dass es schon so lange nicht mehr unterstützt wird, dass es nicht wirklich von Bedeutung ist. Es gibt jedoch einige Möglichkeiten, wie diese Enthüllung ernsthafte Auswirkungen haben kann.

Erstens gibt es ein Risiko für kritische Branchen

Diese Nachricht hat mich dazu gebracht, über das Problem nachzudenken, das immer noch im Zusammenhang mit auslaufenden Betriebssystemen besteht, die verschiedene Sektoren durchdringen. Der weltweite Marktanteil von Windows XP-Rechnern liegt zwar nur bei 0,82 %, aber in bestimmten Industriesegmenten – darunter Geldautomaten und medizinische Geräte – ist er noch höher.

Als ich mich also hinsetzte, um diesen Artikel zu schreiben, wandte ich mich an Freunde aus dem Finanz- und Gesundheitssektor, um das Problem etwas genauer zu untersuchen. Während die ideale Antwort auf die Frage „Wie viele Geldautomaten und medizinische Geräte laufen noch mit Windows XP?“ 0 % wäre, ist die Realität nicht so einfach.

Am 8. April 2014 beendete Microsoft den Standardsupport für Windows XP. Zu diesem Zeitpunkt schätzte das Payment Card Industry Security Standards Council (PCI SSC), dass 95 % der Geldautomaten weltweit mit Windows XP betrieben wurden, und so begann die Migration auf Windows 7. Trend Micro Research und Europol untersuchten 2017 die Cybersicherheitsrisiken für Geldautomaten.

Spulen Sie sechs Jahre vor bis zum 14. Januar 2020, wenn Microsoft das End-of-Life (EoL) von Windows 7 in Kraft setzt. Es wird geschätzt, dass 85 % der über 3,5 Millionen Geldautomaten mit Microsoft-Betriebssystemen weltweit von diesem Schritt betroffen sein werden. Diesmal müssen die Geldautomatenbetreiber jedoch sowohl die Software als auch die Hardware aufrüsten. Die Kosten dieses Upgrades für Finanzinstitute und Geldautomatenbetreiber sind hoch, sowohl in Bezug auf die tatsächlichen Ausgaben als auch auf die Gesamtressourcen für die Unterstützung einer so weit verbreiteten Umstellung.

Nach Angaben derjenigen, mit denen ich gesprochen habe, beläuft sich die geschätzte Quote der Geldautomaten, die auch nach sechs Jahren noch mit Windows XP arbeiten, auf etwa 25 %. Nach grober Schätzung könnten das weltweit über 750 Tausend Geräte sein, was ein beträchtliches Risiko darstellt.

Aufgrund der erheblichen Kosten für die Aktualisierung dieser Geräte fordern einige im Finanzsektor Windows-Betriebssysteme. Dies mag die Kosten und den Aufwand für die Aufrüstung der Geldautomaten alle paar Jahre verringern, aber das Risiko von Angriffen auf Geldautomaten ist damit nicht gelöst. Erst in diesem Sommer veröffentlichte Diebold eine Warnung, in der eine neue Jackpot-Kampagne beschrieben wurde, bei der Cyberkriminelle eine angeschlossene Blackbox nutzten, um unzulässige Ausgabebefehle zu senden, die möglicherweise proprietäre Teile des Diebold-Software-Stacks enthielten. Egal, ob es sich um Windows, Linux oder einen proprietären Software-Stack handelt, die Kosten, die im Laufe der Zeit entstehen, wenn die Software nicht aktualisiert wird, sind viel größer als die anfängliche Umstellung, sowohl in Bezug auf die Gefährdung als auch auf das Risiko.

Im Gesundheitswesen ist die Gefährdung viel größer, und offen gesagt ist auch das Risiko größer. Laut einem Bericht von Trend Micro Research aus dem Jahr 2017 läuft ein großer Teil der mit dem Internet verbundenen bildgebenden Geräte in Krankenhäusern in den USA und weltweit mit veralteten Betriebssystemen.

Zu den medizinischen Geräten, auf denen Windows XP läuft, gehören Maschinen, die Röntgenaufnahmen, MRTs, Mammogramme und CAT-Scans machen. Das Risiko wird greifbar, wenn der Zugriff auf diese Geräte unterbrochen, beeinträchtigt oder verweigert wird.

Es gibt auch ein Risiko jenseits kritischer Branchen

Während das Risiko für kritische Branchen und Maschinen hoch ist, ist dies nicht der einzige Bereich, in dem Windows XP noch ein Risiko darstellt. Es gibt zwei weitere Möglichkeiten, wie die Offenlegung des Quellcodes breitere Auswirkungen haben kann.

1. Einige Teile der Welt verlassen sich immer noch stark auf dieses Betriebssystem. Trotz des Auslaufens des Supports ist Windows XP auf einigen globalen Märkten noch weit verbreitet. Dies ist ein großes Ziel für Cyberkriminelle, die auf einen schnellen Gewinn aus sind.
2. Legacy-Systeme von Windows XP sind in Windows 10 noch vorhanden. Cyberkriminelle könnten in diesem Legacy-Code nach XP-Fehlern suchen, die noch unterstützt werden, und so eine praktikable Exploit-Kette schaffen, die auch auf modernen Betriebssystemen funktioniert.

Dustin Childs, Communications Manager für die Zero Day Initiative von Trend Micro, sagte zu den möglichen Auswirkungen:

„Im Moment durchforsten Exploit-Entwickler wahrscheinlich den Code nach Fehlern, die sie gegen moderne Betriebssysteme einsetzen können. Es handelt sich jedoch nicht um eine 1:1-Übersetzung. Moderne Betriebssysteme verfügen über zusätzliche Schutzmechanismen, die eine Ausnutzung erschweren. Dies ist ein weiterer Grund, warum Sie auf das neueste Betriebssystem aktualisieren sollten, um von den neuen Verteidigungsfunktionen zu profitieren.“

Aktualisierungen sind nie einfach. Die Umstellung einer typischen Unternehmensumgebung auf ein neues Betriebssystem erfordert einen erheblichen Aufwand und ein hohes Budget. Multipliziert man dies mit der Größe einer Regierung, eines Krankenhauses, einer Fabrik oder weltweit verteilten Geldautomaten, steht man vor einem Problem, das viele nicht lösen können.