Diese Nachricht vor wenigen Tagen war ein Paukenschlag: Unbekannte stellten den Quellcode von Windows XP und Windows Server 2003 auf dem anonymen Messageboard 4chan öffentlich ins Internet. Keine große Sache, wird sich so mancher denken. Niemand nutzt sie mehr, immerhin feiert Windows XP am 25. Oktober seinen 19. Geburtstag und ist – technisch gesehen – alt wie Methusalem. Doch weit gefehlt, sagen nicht nur ESET-Experten. Die beiden Betriebssysteme laufen immer noch auf vielen privaten und geschäftlich genutzten Geräten. Auch in Deutschland erfreut es sich noch an Beliebtheit: Als prominentes Beispiel nutzt der Hauptstadt-Flughafen BER in Berlin Windows XP Embedded zur Steuerung der Aufzüge.

Was lange währt, wird nicht immer gut

Ab Ende Oktober 2020 sollen nun die ersten Flugzeuge und Passagiere dort abgefertigt werden. Vorab erhielten einige Journalisten die Möglichkeit, sich die Anlagen und Gebäude anzuschauen. Einem IT-affinen Kollegen fiel dabei auf, dass die Aufzüge offensichtlich noch mit Windows XP Embedded betrieben werden. Da stellt sich die Frage nach dem „Wieso?“ recht schnell. Schließlich wird Windows XP seit April 2014 von Microsoft nicht mehr unterstützt.

Das Zauberwort heißt „Embedded“. Es ist eine spezielle, modular nutzbare Version des Betriebssystems, welche auf Kassensystemen, Packstationen, vereinzelt in Autos oder eben Aufzugsteuerungen verwendet wurde. Eigentlich sollte es nicht mehr eingesetzt werden. Schließlich gehört Windows XP Embedded seit letztem Jahr ebenfalls zu den nicht mehr mit Updates versorgten Betriebssystemen.

Wieso vertraut ein moderner Flughafen einem uralten Betriebssystem?

Der Grund dafür liegt in der ungewöhnlich langen Planungs- und Bauphase des Hauptstadt-Flughafens. Als die Konzepte zur Anlagensteuerung entwickelt und zu Papier gebracht wurden, war Windows XP (Embedded) quasi „state of the art“. Da bekanntlich die Probleme zahlreich und teilweise gravierend waren, die zu den mehrfachen Startverzögerungen des Flughafens führten, hat sich offenbar niemand mehr um den bereits abgehakten Punkt „Aufzugsteuerung“ gekümmert.

Mit der XP-Problematik steht der BER allerdings nicht allein da. Auch in der produzierenden Industrie gehört die Embedded-Variante weiterhin auf Desktop-Rechnern, Thin Clients und Embedded PCs zum Inventar. Sie steuern (Groß-)Maschinen und Fabrikationsstrecken, deren Laufzeit oftmals auf 10-15 Jahre ausgelegt und betriebswirtschaftlich entsprechend durchgerechnet ist.

Oftmals funktioniert die für den speziellen Einsatz entwickelte Software nur mit dem einen Betriebssystem fehlerfrei. Hinzu kommen Skripte und Applikationen, die aufgrund modifizierter Anwendungsziele im Laufe der Jahre integriert werden. „Mal eben schnell“ lassen sich diese Rechner dann eben nicht auf neue Betriebssysteme umstellen. Dies würde hohe Kosten verursachen, lange dauern und könnte vor allem potenziell neue Fehlerquellen enthalten.

Der XP-Leak wird zum Sicherheitsproblem

Als die ersten Berichte über möglicherweise legitimen Quellcode älterer Windows Versionen kursierten, war noch nicht klar, ob er komplett einsatzfähig sein würde. Im Falle von Windows XP fehlt winlogon.exe, so dass nur fortgeschrittene Anwender mit dem System etwas anzufangen wissen. Im Falle der Serverversion scheinen nach aktuellem Kenntnisstand jedoch die Grundlagen für ein funktionsfähiges System gegeben.

Cyberkriminelle haben immer ein Auge auf aktuelle Geschehnisse und Entwicklungen. Der Leak des Quellcodes dürfte ihnen sicher nicht entgangen sein. Es ist davon auszugehen, dass Hacker derzeit nach neuen Lücken in den alten Systemen suchen: Denn es sind immer noch viele Windows XP-Systeme im Einsatz, auf die sich ein Angriff lohnt. Wie der Online-Dienst netmarketshare.com zeigt, besitzt das Betriebssystem immer noch eine Verbreitung von 1,3% weltweit. Damit ist es ähnlich populär wie Linux und macOS 10.13.

Die größere Gefahr lauert vielleicht ganz wo anders. Durch den Einblick in den Quellcode erhalten nämlich Hacker tiefe Einblicke in das Innerste der Windows-Programmierung. Experten können nicht ausschließen, dass die „Microsoft-DNA“ auch in aktuellen Betriebssystemen zum Einsatz kommen könnte. So würden Sicherheitslücken aus Ur-Alt-Systemen plötzlich zur Gefahr für Windows 10 oder anderen Versionen werden.

Mit Besorgnis registrieren wir zunehmende Fälle von Siegeware, die zielgerichtet Steuerungsanlagen und deren Komponenten zur Haus- und Anlagensteuerung angreift. Anschließend verlangen die Kriminellen Lösegeld, und die Opfer zahlen es, im Glauben, wieder Zugang zum Haus zu bekommen oder unter Umständen den Aufzug wieder normal benutzen zu können.

Der Flughafen BER ist sicherlich das prominenteste Beispiel, von dem wir wissen, dass veraltete Betriebssysteme es Angreifern viel zu leicht machen. Die Masse an Kassen- und Buchungsterminals, die Packstationen und viele Anwendungsfälle mehr, bei denen Windows XP Embedded immer noch im Einsatz ist, wandelt sich so mehr oder minder zur tickenden Zeitbombe. Der zunehmende Grad der Vernetzung, der durch die Einführung von 5G noch zusätzlichen Schub erhalten wird, tut dabei sein Übriges, solche Systeme potentiellen Angreifern „zur Verfügung zu stellen“.

Was also tun?

Es ist offensichtlich, dass Handlungsbedarf besteht. Wer aus berechtigten Gründen immer noch auf Windows XP und Windows Server 2003 setzt, sollte unsere Ratschläge beherzigen:

  • Stellen Sie jedoch möglichst sicher, dass die letzten Updates und Service Packs eingespielt wurden.
  • Isolieren Sie die Maschinen vom Rest des Netzwerks.
  • Prüfen Sie genau Sinn und Unsinn einer Internetanbindung und sichern Sie diese mit starker Verschlüsselung auf Protokollebene und Mehrfach-Authentifizierungen.
  • Sperren Sie physische Zugriffe auf USB- und andere Schnittstellen.
  • Verwenden Sie keine Standardzugänge („admin“) und stattdessen Benutzerkonten mit starken Passphrasen.
  • Planen Sie einen zeitnahen Umstieg auf ein modernes Betriebssystem mit Langzeitunterstützung.