19 Jahre Windows XP – (K)ein Glückwunsch

Am 25. Oktober 2020 feiert das Betriebssystem Microsoft Windows XP seinen 19. Geburtstag. Das ist aber kein Grund zur Partylaune, finden die Security-Experten von ESET. Denn der Methusalem unter den Microsoft Betriebssystemen ist weltweit immer noch im Einsatz – und das, obwohl keine Updates oder anderen Dienstleistungen mehr verfügbar sind.

Neu gefundene Sicherheitslücken bleiben bestehen und bieten Hackern freien Eintritt auf die mit XP betriebenen Rechner. Der Einsatz in Gebäudetechnik und Anlagensteuerung ist daher nicht unproblematisch und kann langfristig sogar gefährlich werden. Ein prominentes Beispiel ist der Flughafen BER in Berlin, der seine Aufzüge laut Medienberichten mit dem veralteten Betriebssystem Windows XP Embedded betreibt, obwohl der neue Airport noch gar nicht gestartet ist.

Wer Windows XP bereits im digitalen Ruhestand wähnt, wird eines Besseren belehrt. Laut dem Online-Dienst netmarketshare.com besitzt das Betriebssystem immer noch eine Verbreitung von 1,3 Prozent weltweit. Damit ist es ähnlich populär wie Linux und macOS 10.13. Was Sicherheitsexperten zusätzlich Schweißperlen auf die Stirn treibt, sind die Einsatzorte von Windows XP. Es handelt sich dabei nicht nur um klassische PCs, sondern um Kassen- und Buchungsterminals, Packstationen und sogar große Industrieanlagen.

„Die Nutzungsdauer von Industrieanlagen und Gebäudetechnik liegt nicht selten bei weit über 30 Jahren. Was für Gebäude, Rolltreppen oder Kühltürme aus ökonomischer Sicht sinnvoll ist, muss aber bei der IT-Sicherheit der verwendeten Betriebssysteme überdacht werden“, warnt Thomas Uhlemann, ESET Security-Experte. „Wenn für die sogenannten Embedded-Betriebssysteme der Service ausläuft, sollten die Verantwortlichen handeln, um Schaden frühzeitig abzuwehren.“

Es kommt aber noch dicker: Vor kurzem stellten Unbekannte den Quellcode von Windows XP und Windows Server 2003 auf dem anonymen Messageboard 4chan öffentlich ins Internet. Welche zusätzlichen Gefahren sich dadurch ergeben und wie man Rechner mit Windows XP möglichst sicher einsetzt, beschreibt Sicherheitsexperte Thomas Uhlemann auf dem ESET Security-Blog Welivesecurity:

Diese Nachricht vor wenigen Tagen war ein Paukenschlag: Unbekannte stellten den Quellcode von Windows XP und Windows Server 2003 auf dem anonymen Messageboard 4chan öffentlich ins Internet. Keine große Sache, wird sich so mancher denken. Niemand nutzt sie mehr, immerhin feiert Windows XP am 25. Oktober seinen 19. Geburtstag und ist – technisch gesehen – alt wie Methusalem. Doch weit gefehlt, sagen nicht nur ESET-Experten. Die beiden Betriebssysteme laufen immer noch auf vielen privaten und geschäftlich genutzten Geräten. Auch in Deutschland erfreut es sich noch an Beliebtheit: Als prominentes Beispiel nutzt der Hauptstadt-Flughafen BER in Berlin Windows XP Embedded zur Steuerung der Aufzüge.

Ab Ende Oktober 2020 sollen nun die ersten Flugzeuge und Passagiere dort abgefertigt werden. Vorab erhielten einige Journalisten die Möglichkeit, sich die Anlagen und Gebäude anzuschauen. Einem IT-affinen Kollegen fiel dabei auf, dass die Aufzüge offensichtlich noch mit Windows XP Embedded betrieben werden. Da stellt sich die Frage nach dem „Wieso?“ recht schnell. Schließlich wird Windows XP seit April 2014 von Microsoft nicht mehr unterstützt.

Das Zauberwort heißt „Embedded“. Es ist eine spezielle, modular nutzbare Version des Betriebssystems, welche auf Kassensystemen, Packstationen, vereinzelt in Autos oder eben Aufzugsteuerungen verwendet wurde. Eigentlich sollte es nicht mehr eingesetzt werden. Schließlich gehört Windows XP Embedded seit letztem Jahr ebenfalls zu den nicht mehr mit Updates versorgten Betriebssystemen.

Der Grund dafür liegt in der ungewöhnlich langen Planungs- und Bauphase des Hauptstadt-Flughafens. Als die Konzepte zur Anlagensteuerung entwickelt und zu Papier gebracht wurden, war Windows XP (Embedded) quasi „state of the art“. Da bekanntlich die Probleme zahlreich und teilweise gravierend waren, die zu den mehrfachen Startverzögerungen des Flughafens führten, hat sich offenbar niemand mehr um den bereits abgehakten Punkt „Aufzugsteuerung“ gekümmert.

Mit der XP-Problematik steht der BER allerdings nicht allein da. Auch in der produzierenden Industrie gehört die Embedded-Variante weiterhin auf Desktop-Rechnern, Thin Clients und Embedded PCs zum Inventar. Sie steuern (Groß-)Maschinen und Fabrikationsstrecken, deren Laufzeit oftmals auf 10-15 Jahre ausgelegt und betriebswirtschaftlich entsprechend durchgerechnet ist.

Oftmals funktioniert die für den speziellen Einsatz entwickelte Software nur mit dem einen Betriebssystem fehlerfrei. Hinzu kommen Skripte und Applikationen, die aufgrund modifizierter Anwendungsziele im Laufe der Jahre integriert werden. „Mal eben schnell“ lassen sich diese Rechner dann eben nicht auf neue Betriebssysteme umstellen. Dies würde hohe Kosten verursachen, lange dauern und könnte vor allem potenziell neue Fehlerquellen enthalten.

Als die ersten Berichte über möglicherweise legitimen Quellcode älterer Windows Versionen kursierten, war noch nicht klar, ob er komplett einsatzfähig sein würde. Im Falle von Windows XP fehlt winlogon.exe, so dass nur fortgeschrittene Anwender mit dem System etwas anzufangen wissen. Im Falle der Serverversion scheinen nach aktuellem Kenntnisstand jedoch die Grundlagen für ein funktionsfähiges System gegeben.

Cyberkriminelle haben immer ein Auge auf aktuelle Geschehnisse und Entwicklungen. Der Leak des Quellcodes dürfte ihnen sicher nicht entgangen sein. Es ist davon auszugehen, dass Hacker derzeit nach neuen Lücken in den alten Systemen suchen: Denn es sind immer noch viele Windows XP-Systeme im Einsatz, auf die sich ein Angriff lohnt. Wie der Online-Dienst netmarketshare.com zeigt, besitzt das Betriebssystem immer noch eine Verbreitung von 1,3% weltweit. Damit ist es ähnlich populär wie Linux und macOS 10.13.

Die größere Gefahr lauert vielleicht ganz wo anders. Durch den Einblick in den Quellcode erhalten nämlich Hacker tiefe Einblicke in das Innerste der Windows-Programmierung. Experten können nicht ausschließen, dass die „Microsoft-DNA“ auch in aktuellen Betriebssystemen zum Einsatz kommen könnte. So würden Sicherheitslücken aus Ur-Alt-Systemen plötzlich zur Gefahr für Windows 10 oder anderen Versionen werden.

Mit Besorgnis registrieren wir zunehmende Fälle von Siegeware, die zielgerichtet Steuerungsanlagen und deren Komponenten zur Haus- und Anlagensteuerung angreift. Anschließend verlangen die Kriminellen Lösegeld, und die Opfer zahlen es, im Glauben, wieder Zugang zum Haus zu bekommen oder unter Umständen den Aufzug wieder normal benutzen zu können.

Der Flughafen BER ist sicherlich das prominenteste Beispiel, von dem wir wissen, dass veraltete Betriebssysteme es Angreifern viel zu leicht machen. Die Masse an Kassen- und Buchungsterminals, die Packstationen und viele Anwendungsfälle mehr, bei denen Windows XP Embedded immer noch im Einsatz ist, wandelt sich so mehr oder minder zur tickenden Zeitbombe. Der zunehmende Grad der Vernetzung, der durch die Einführung von 5G noch zusätzlichen Schub erhalten wird, tut dabei sein Übriges, solche Systeme potentiellen Angreifern „zur Verfügung zu stellen“.