Ab April 2014 wird es keine neuen Patches mehr für Windows XP und Office 2003 geben. Am morgigen “Patch-Dienstag” von Microsoft wird der letzte XP-Patch ausgeliefert. In der Zwischenzeit hast sich das Windows-Patching neben den Home-Use-Rechnern vor allem in spezialisierten Märkten wie bei Kassen und medizinischen Geräten als großen Problem herauskristallisiert. Android und das Internet erlangen dieser Tage die verdiente Aufmerksamkeit, sodass man schon mal vergessen kann, dass auf über einer Milliarde Computer noch Windows ausgeführt wird. Während die automatisierten Aktualisierungstool von Microsoft viele dieser Systeme mit Patches versehen und auf dem neuesten Stand halten, gibt es doch große und besorgniserregende Lücken. In diesem Abschnitt werden wir uns auf drei Probleme konzentrieren: Das bevorstehende Ende der Unterstützung für Windows XP und Office 2003 durch Microsoft, Kassensysteme, die nicht über Patches verfügen oder diese nicht anwenden können, und das weit verbreitete Vorhandensein von Malware auf medizinischen Geräten ohne Patches, auf denen verschiedene Windows-Versionen ausgeführt werden.
Mit zunehmender Sorge um ungepatchte Systeme richtet sich die Aufmerksamkeit auf andere Kategorien von Geräten, auf denen Windows ausgeführt wird, von denen zahlreiche nicht zuverlässig oder konsequent gepatcht werden. In einigen Fällen laufen sie unter Windows XP (oder sogar älteren Windows-Versionen wie Windows 2000). Für diese System werden keine Patches mehr verfügbar sein, auch nicht für Organisationen, die entsprechende Patching-Verfahren eingerichtet haben. In anderen Fällen werden auf diesen Geräten neuere Versionen von Windows ausgeführt, für die es weiterhin Patches gibt, deren Eigentümer oder Herstellern ein Patching aber nicht direkt vorsehen. Kassensysteme laufen häufig unter Windows für die Verarbeitung von Kreditkartendaten und anderen Transaktionen. Trotz der Industriestandards, die eine schnelle Anwendung von Sicherheitspatches verlangen, werden einige dieser Systeme nicht regelmäßig aktualisiert. Dies ist insbesondere bei kleineren Einzelhandelsumgebungen der Fall, die nicht über eine ausgefeilte IT-Organisation verfügen. Aufgrund der Beliebtheit und Langlebigkeit verwenden viele Kassensysteme Windows XP. Einige dieser Systeme können auf neuere Windows-Versionen aktualisiert werden, aber laut dem branchenführenden Consultant Walter Conway wurden andere nur für Windows XP getestet und geprüft.
Ein Grund: Zahlreiche Hersteller, deren Geräte unter Windows und anderen PC-Plattformen laufen, haben darin versagt, „rechtzeitig Sicherheitssoftware-Updates und Patches bereitzustellen“. Genau wie bei den Kassensystemen liegt die Verantwortlichkeit für die rechtzeitige Anwendung von Patches auf medizinische Geräte nicht bei Microsoft. Hier sind es die Hersteller der Ausrüstung, die zertifizieren müssen, dass ihre Geräte zuverlässig mit den neuesten Fehlerbehebungen von Microsoft funktionieren. Wenn Microsoft jedoch die Windows XP-Sicherheitsupdates einstellt, stehen auch Herstellern, die ihre Zertifizierungsprozesse verbessern, keine neuen Windows XP-Patches mehr zum Testen zur Verfügung.
Wie realistisch ist das Problem? Wie MIT Technology Review Ende 2012 berichtete, ist die medizinische Ausstattung „mit Malware gespickt“. Im Medical Center Beth Israel Deaconess in Boston „laufen 664 medizinische Geräte unter älteren Windows-Betriebssystemen, die der Hersteller nicht ändern wird oder die das Krankenhaus nicht austauschen darf, auch nicht, um Antiviren-Software hinzuzufügen. Daher sind diese häufig mit Malware infiziert und ein oder zwei müssen jede Woche vom Netz genommen werden, um sie zu bereinigen.“
Und zu guter Letzt ist zu erwähnen, dass Windows XP nicht das einzige allgegenwärtige Microsoft-Produkt ist, das seine Sicherheitsupdates ab dem 8. April 2014 verlieren wird. Microsoft Office 2003 ergeht es ebenso. Das ebenfalls noch weit verbreitete Office 2003 war die letzte Office-Version, die auf den alten Dokumentformaten von Microsoft basierte, die heutzutage auch nach drei Service Packs als unsicher angesehen werden. Da Office 2003 auch unter Vista und Windows 7 läuft, werden Sie unter Umständen noch Jahre eine voll-gepatchte Windows-Version ausführen und müssen doch weiterhin mit Office-Sicherheitsanfälligkeiten rechnen.
Die Risiken sind keineswegs rein theoretischer Art. Im Dezember 2012 setze Visa Kaufleute über die jüngste Meldungen zu Dexter in Kenntnis, eine schädliche Windows-Malware, die eigens dazu entwickelt wurde, Kassensysteme zu befallen, Magnetstreifendaten zu stehlen und diese an einen zentralen Command-and-Control-Server zu senden. Besorgniserregende Windows-Sicherheitsrisiken sind auch in medizinischen Geräten aufgetreten. Im Juni 2013 ermittelte die US-Bundesbehörde zur Lebens- und Arzneimittel-Überwachung nach umfassender Öffentlichkeitsarbeit weit verbreitete Schwachstellen in medizinischen Geräten, die entweder „durch Malware infiziert oder deaktiviert“ waren, einschließlich Malware, die auf „Patientendaten, Überwachungssysteme und implantierte Patientengeräte“