XP ohne Ende? Über die Verbreitung von Windows XP

Ordnungsmerkmale

erschienen in: <kes> 2014#4, Seite 16

Rubrik: Bedrohung

Schlagwort: Windows XP

Zusammenfassung: Ungepatchte Systeme sind riskant – und für Windows XP gibt es seit einigen Monaten keinen allgemeinen Support mehr, ergo auch keine Security-Patches. Dennoch hält sich das Betriebssystem "wacker" – selbst in vielen Unternehmen.

Autor: Von Wolfgang Kandek, München

Die Nutzung von Windows XP hat in den vergangenen anderthalb Jahren zwar signifikant abgenommen, doch dieser Rückgang ist stetig und eher langsam: Es gab keinen radikalen "Migrationssprung" zu beobachten. So dürfte es in vielen Ländern noch bis ins Jahr 2015 dauern, bis XP von den Arbeitsplatzsystemen verschwindet – auch bei Business-PCs.

Anzeigen

Anzeige: SecuMedia-Verlag
Anzeige: NCP

Dabei hat Microsoft bekanntermaßen im April dieses Jahres den allgemeinen Support für das populäre Windows XP eingestellt. Das Betriebssystem war das erste mit einem ureigenen TCP/IP-Stack sowie eingebautem Web-Browser – und somit bereit für das Internet-Zeitalter, egal ob im privaten oder geschäftlichen Umfeld. Über 500 Millionen Systeme wurden damit über seine lange Lebensdauer hinweg betrieben.

Das "offizielle Ende" von XP kam keineswegs überraschend: Über Jahre hinweg hatte Microsoft gewarnt und den Support-Rahmen aufgrund der großen Bedeutung des Systems mehrfach verlängert.

Dennoch blieben viele Anwender Windows XP noch lange treu – auch Anwender mit mutmaßlich erhöhtem Sicherheitsbewusstsein: Qualys beobachtet monatlich mehr als 100 000 Schwachstellenscans auf Windows-PCs über das kostenlose Tool "BrowserCheck" ([externer Link] https://browsercheck.qualys.com) – im Januar 2013 liefen noch immer 30 % der damit geprüften Systeme unter Windows XP.

[Illustration]
Abbildung 1: Anteil von Windows XP in weltweiten kostenlosen Browser-Sicherheits-Scans von Qualys ([externer Link] https://browsercheck.qualys.com)

Seither hat die XP-Präsenz in vier Schlüsselländern – Großbritannien, den USA, Frankreich und Deutschland – stetig abgenommen. Dabei hatten die Deutschen zunächst die Nase vorn: Im zweiten Quartal 2013 wurde bei nur 12 % der Scans in Deutschland XP gefunden. Verglichen mit 23 % in Frankreich und 18 % in den USA sowie Großbritannien ein guter Wert.

Anschließend zeigten sich jedoch hierzulande die langsamsten Fortschritte in der betrachteten Vierergruppe (obwohl selbst diese zögerliche Migrationsrate noch über dem weltweiten Durchschnitt lag): In den vergangenen zwölf Monaten hat sich der XP-Anteil in Deutschland lediglich halbiert und liegt nunmehr bei knapp 6 %. Wenn sich der Rückgang in diesem Tempo fortsetzt, würde es also noch ein weiteres Jahr brauchen, bis die restlichen XP-Rechner mehr oder minder aus dem Verkehr gezogen oder umgerüstet sein werden.

Frankreich bleibt von den näher untersuchten IT-Nationen diejenige mit dem höchsten Risiko: Im ersten Quartal 2014 liefen noch immer rund 13 % aller BrowserCheck-Scans auf XP – wesentlich mehr als in den anderen Ländern (vgl. Abb. 2). Allerdings gab es hier im vergangenen Quartal einen größeren Sprung um mehr als 4,5 %-Punkte, sodass die Franzosen nunmehr fast die zuvor deutlich migrationsfreudigeren Briten eingeholt haben. Dennoch liegen die XP-Anteile in beiden Ländern noch über 7 %.

Auch in den USA war zuletzt ein etwas stärkerer Rückgang zu verzeichnen – das Land übernimmt damit erstmals knapp die Führung im Rennen "weg von XP", bleibt aber ebenfalls noch über der 5%-Marke.

[Illustration]
Abbildung 2: Anteil von Windows XP in vier IT-Schlüsselländern (anhand von BrowserCheck-Scans)

Branchenweise Unterschiede

Dass Windows XP selbst auf professionell genutzten Systemen weiterhin eine bedeutende Rolle spielt, unterstreichen auch andere Zahlen, die Qualys in der weltweiten Wirtschaft anhand von Daten ermittelt hat, die bei QualysGuard-Scans in 6700 Unternehmen gewonnen wurden.

Dabei haben sich zudem auch erhebliche Unterschiede zwischen der XP-Nutzung in verschiedenen Branchen gezeigt: Obwohl der Finanzsektor in den vergangenen Monaten deutliche Fortschritte bei der Ablösung von Windows XP gemacht hat, ist dessen Nutzungsgrad weiterhin noch sehr hoch – vor allem für eine Branche, die äußerst heikle Daten verarbeitet. Im 2. Quartal 2014 wurden noch immer in 17 % der Scans Rechner entdeckt, auf denen Windows XP läuft (–4 %-Pkt. zum Vorquartal).

Damit ist der Finanzsektor noch immer stärker gefährdet als etwa das Transportwesen (12 %, –2 %-Pkt. ggü. Q1), das im längerfristigen Vergleich die besten Fortschritte vorzuweisen hat (–43 %-Pkt. binnen 12 Monaten), oder auch der Einzelhandel, wo es gerade einen deutlichen Sprung zu beobachten gab und der nunmehr nur noch 6,2 % XP-Systeme aufweist (–7,8 %-Pkt.).

Im Dienstleistungsbereich ging die Bedeutung des abgekündigten Betriebssystems zuletzt hingegen nur sehr schwach zurück und liegt nun bei 6,6 %. Erfreulich gering zeigt sich die verbliebene XP-Durchdringung im Gesundheitswesen (1 %, –2 %-Pkt. ggü. Q1)

Bedrohungspotenzial

Seit nunmehr vier Monaten müssen XP-Systeme ohne Patches gegen neue Sicherheits-Schwachstellen auskommen – mit einer Ausnahme: Am 1. Mai hatte Microsoft nach nur fünf Tagen einen Patch gegen eine Zero-Day-Verwundbarkeit im Internet Explorer verbreitet und dabei auch noch einmal XP-Anwender bedacht. Doch bereits bei der nächsten, ähnlich drastischen Lücke drei Wochen später gab es keine Ausnahme mehr und der IE unter XP blieb verwundbar.

Natürlich ist aber Windows XP dennoch weiterhin von neuen Schwachstellen betroffen, was sich deutlich an den nach wie vor erscheinenden Patches für das Schwestersystem Windows Server 2003 sowie die Embedded-Variante von XP zeigt, die beide noch ein Jahr Restsupportlaufzeit besitzen.

All das – verbliebene Verbreitung und fortgesetzte Verwundbarkeit – ist natürlich auch den Angreifern bekannt. So werden auch heute noch Exploits für diese Plattform entwickelt und verbreitet. Zu bedenken ist: Ganz gleich, wie gut es einem Unternehmen gelingt, den prozentualen Anteil seiner XP-Rechner zu senken, so genügt doch gegebenenfalls schon ein einziger verwundbarer PC mit diesem Betriebssystem, um das Unternehmensnetz anfällig für Angriffe zu machen.

Dass die Zahlen aus dem Qualys BrowserCheck tatsächlich eine eher konservative Abschätzung sein dürften, weil vermutlich vorrangig sicherheitsbewusste Anwender dieses Tool einsetzen, legt etwa der Vergleich mit den Erkenntnissen von Net Applications nahe, die auf einer Analyse von Web-Zugriffen basieren ([externer Link] http://netmarketshare.com/operating-system-market-share.aspx): Während der weltweite XP-Anteil bei den Qualys-Nutzern mittlerweile bei 9 % angekommen ist, sieht Net Marketshare noch immer über ein Viertel Marktanteil von Windows XP im Desktopsegment (25,3 % im Juni 2014).

Wonfgang Kandek ist Chief Technology Officer (CTO) von Qualys.