Mit einem ungewöhnlichen Schritt reagiert Microsoft auf Erkenntnisse über „ein erhöhtes Risiko staatlicher Cyberattacken“. Die Redmonder veröffentlichten am gestrigen Dienstag Sicherheits-Updates für Windows XP und Windows Vista, obwohl der offizielle Endkunden-Support für die beiden in den Jahren 2001 und 2007 erschienenen Betriebssysteme längst abgelaufen ist. Bereits Mitte Mai hatte das Unternehmen im Laufe der brisanten WannaCry-Attacken Patches bereitgestellt, mit denen sich ältere Windows-Versionen gegen die erpresserische Ransomware absichern ließen.
Im Zuge verschiedener Veröffentlichungen der Enthüllungsplattform Wikileaks waren Details über mehrere Tools ans Licht gekommen, die offenbar von verschiedenen Geheimdiensten entwickelt und zur Kompromittierung bestimmter Sicherheitslücken genutzt wurden. Pikanterweise gelangten zudem anscheinend einige der Tools in die Hände von Hackern und Erpressern, oder diese entwickelten auf einer vergleichbaren Grundlage ähnliche Trojaner und Malware. Microsoft hatte die Behörden in diesem Zusammenhang heftig kritisiert. Mit der ausbleibenden Unterrichtung über entdeckte Sicherheitslücken und der Ausnutzung der Schwachstellen gefährde man letztendlich nur die eigenen Bürger und Unternehmen.
Nähere Details zum Umfang der Sicherheits-Updates für Windows XP und Windows Vista nennt Microsoft verständlicherweise kaum, schließlich möchte man keinerlei Hinweise auf die Vorgehensweise liefern und dadurch weitere Nachahmer motivieren. Der explizite Hinweis auf WannaCry und die ungewöhnliche Ausnahme vom Supportzyklus dürfte aber deutlich machen, dass die von den Sicherheitslücken ausgehende Gefahr nicht zu unterschätzen ist.
Im Zuge der Vorstellung von Windows 10 hatte Microsoft immer wieder betont, dass das neue Betriebssystem ein völlig überarbeitetes Sicherheitskonzept verwende und dementsprechend wesentlich besser gegen Attacken geschützt sei. Die erste große Feuerprobe hat das OS bestanden, tatsächlich waren Rechner mit Windows 10 nicht von WannaCry, Adylkuzz & Co. betroffen.
Zugleich stellte das Unternehmen klar, dass man mit Windows 10 der Notwendigkeit nachkomme, alle verfügbaren Ressourcen in puncto Sicherheit zukünftig auf ein konstant gepflegtes Betriebssystem zu konzentrieren. Mit dieser Begründung erklärt Microsoft auch die von einigen Nutzern früh bemängelten “Zwangs-Updates”, die sich unter Windows 10 nur noch sehr eingeschränkt zurückstellen lassen. Letztendlich zeigen die letzten Angriffe, dass schon ein einziges veraltetes System mit Sicherheitslücken ganze Netzwerke und darüber hinaus andere Systeme im Internet infizieren kann.
Wiederum andere Nutzer beschweren sich nun über die eigentlich lobenswerte Absicherung der veralteten Software. Sie vertreten die Ansicht, dass Microsoft die offenbar beratungsresistenten Nutzer veralteter Vista- und XP-Systeme lieber “ins offene Messer laufen lassen” sollte, um sie auf breiter Front zu einem Update ihrer Systeme zu zwingen, nur so erziele man mittel- und langfristig den eigentlich gewünschten Effekt zur Absicherung aller Nutzer. Eine weitere Gruppe weigert sich trotz der potentiellen Sicherheitsrisiken, das empfohlene Update des Systems durchzuführen, da sie sich von Windows 10 “ausspioniert” sehen – offenbar sind ein paar Cyber-Erpresser und Geheimdienste für diese Gruppe immer noch vertrauenswürdiger als Microsoft. Wiederum andere vertrauen irrtümlich darauf, dass sie mit Betriebssystemen wie macOS oder Linux ohnehin vor jeglichen Angriffen geschützt seien.
Der Rollout der Sicherheitsupdates läuft, die Installation sollte bei Bedarf über die Systemsteuerung der beiden Betriebssysteme manuell angestossen werden.
via microsoft.com
