Die Verwendung von Windows 10 ist ab 14. Oktober 2025 datenschutzrechtlich unzulässig!

/in , , , , , , , , , , , /von

von Joachim Jakobs

Das Betriebssystem Windows ist beliebt:
„Dank seiner benutzerfreundlichen Oberfläche, seiner umfangreichen Softwarekompatibilität und seiner verfahrenstechnischen Vielseitigkeit ist Windows zum bevorzugten Betriebssystem von Millionen von Privatpersonen und Unternehmen weltweit geworden.“
Nicht verwunderlich ist, dass sich Windows nicht nur bei den Nutzerinnen, sondern auch bei Kriminellen großer Beliebtheit erfreut. So wird gewarnt, eine Schadsoftware würde „sensible Daten auf einen externen FTP-Server“ exfiltrieren. Dabei wird eine „Kritische LDAP-Schwachstelle“ ausgenutzt, „die mit einem CVEv3 Score 9.8 als kritisch bewertet wurde“. Diese Lücke hatte Microsoft erst im Dezember bekanntgegeben.

Bild: Microsoft

Apropos Lücke — Bekannt wurde ausserdem eine „neue Zero-Day-Sicherheitslücke in Windows“ die den „Diebstahl von Zugangsdaten durch einfache Dateivorschau“ ermöglichen soll: „Die Sicherheitsforscher von 0patch haben eine kritische Zero-Day-Schwachstelle aufgedeckt, die alle wichtigen Windows-Versionen betrifft und es Angreifern ermöglicht, über die NTLM-Authentifizierung Anmeldedaten zu stehlen. Was diese Schwachstelle besonders besorgniserregend macht, ist ihre Einfachheit – allein die Vorschau einer bösartigen Datei im Windows Explorer kann die Schwachstelle auslösen, ohne dass eine zusätzliche Benutzerinteraktion erforderlich ist.“

Noch mehr Löcher: „Microsoft schließt am Patchday im Oktober 2024 knapp 120 Sicherheitslücken. Insgesamt sind drei Schwachstellen als kritisch definiert und 150 als wichtig oder mittelschwer. Betroffen sind mal wieder verschiedene Produkte, auch nahezu alle Windows-Versionen, bis hin zu Windows 11 24H2 und Windows Server 2022.“

Bild: Pixabay

Insgesamt soll Microsoft im vergangenen Jahr „über 1.000 Sicherheitspatches“ veröffentlicht haben. Dafür gibts Gründe: „Der rasante technologische Wandel hat neue Schwachstellen geschaffen, die wir schnell beheben müssen.“
Wenigstens mit Windows 10 möchte sich Microsoft nicht mehr beschäftigen und hat „das Jahr 2025 zum ‚Jahr der Windows 11 PC-Aktualisierung‘ ausgerufen. Und für 400 Millionen Nutzer bedeutet das, dass sie in die Läden gehen sollten, bevor es zu spät ist.“
Microsoft bestätigt einen „Übergang zu einer neuen Ära des Computings“: „Windows 10 erreicht das Ende des Supports (EoS) am 14. Oktober 2025. Dieser Leitfaden hilft Ihnen, sich auf den Übergang zu Windows 11 vorzubereiten, um sicherzustellen, dass Sie nach dem Ende des Supports für Windows 10 produktiv und sicher bleiben.“

An Neujahr 2025 legte Forbes nochmal ordentlich Einen drauf: „65 % aller Windows-Nutzer sind jetzt gefährdet“ — die absolute Prozentzahl ist dabei schlimm genug. Noch beängstigender ist, dass die Entwicklung auch noch in der falschen Richtung unterwegs zu sein scheint:

„Bis Oktober letzten Jahres lief alles relativ gut, als Windows 11 seine bisher besten Zahlen verzeichnete und die 35 %-Grenze überschritt, während Windows 10 zum ersten Mal in Richtung 60 % abfiel. Das waren keine guten Zahlen, ganz im Gegenteil, aber ein Jahr vor dem Stichtag im Oktober 2025 sah es so aus, als würde sich das Blatt endlich wenden. Doch zwei Monate später hat sich Windows 10 um 3 % erholt, während Windows 11 wieder auf 34 % zurückgefallen ist. Diese umgekehrten Trendlinien sind nun eindeutig. Die Zahl der gefährdeten Windows-Nutzer liegt derzeit bei über 65 % und steigt monatlich an.“

Thorsten Urbanski, IT-Sicherheitsexperte bei Eset bestätigt:“Es ist fünf vor zwölf, um ein Security-Fiasko für das Jahr 2025 zu vermeiden. Wir raten allen Anwendern dringend, nicht bis Oktober zu warten, sondern umgehend auf Windows 11 umzusteigen oder ein alternatives Betriebssystem zu wählen, falls ihr Gerät nicht auf das neueste Windows-Betriebssystem aktualisiert werden kann. Andernfalls setzen sich Nutzer erheblichen Sicherheitsrisiken aus und machen sich anfällig für gefährliche Cyberangriffe und Datenverluste“

Bild: ChatGPT 1

Die Konsequenz: „Der Betrieb von Windows 10 nach dem Ende des Supports könnte zu Problemen bei der Einhaltung von Vorschriften führen.“
Kein Zweifel: „Die Verwendung eines nicht unterstützten Betriebssystems kann zur Nichteinhaltung von Vorschriften wie DSGVO und HIPAA führen, was Geldstrafen und rechtliche Konsequenzen nach sich ziehen kann.“
Mit dem Umstieg auf Windows 11 sind die Verantwortlichen jedoch nicht zwingend alle Probleme los: Ich befürchte andauernden Ärger mit der Abwärtskompatibilität  — der Konzern selbst betont: „Die meisten Apps (und andere Programme wie Spiele oder Dienstprogramme), die für frühere Windows-Versionen entwickelt wurden, funktionieren auch in den neuesten Versionen von Windows 10 und Windows 11, aber einige ältere Programme laufen möglicherweise schlecht oder gar nicht.“ Immerhin scheint es möglich zu sein, sogar noch „Windows 95/98-Scheiben“ zum  Laufen  zu  bringen. Das ist bemerkenswert: Am 24. August feiert Windows 95 seinen 30. Geburtstag.

Das Problem zeigt sich an der genannten NTLM-Lücke — die soll „eine breite Palette von Windows-Betriebssystemen, von älteren Windows 7- und Server 2008 R2-Versionen bis hin zu den neuesten Windows 11 24H2- und Server 2022-Versionen“ betreffen!

Mit anderen Worten:
„Der Fokus auf Abwärtskompatibilität birgt jedoch auch Sicherheitsrisiken. Fakt ist: Heutzutage besteht für viele Unternehmen die Gefahr, dass sie kompromittiert werden. Kriminelle könnten dann nach Belieben sensible Daten abgreifen, darunter auch Ihr wertvolles geistiges Eigentum, und das oft, ohne dass Sie es bemerken.“

Die Schadsoftware die ursprünglich für Windows 95 gedacht war, könnte also Windows 11 infizieren. Das ist so bedrohlich weil Microsoft „für seine Betriebssysteme der älteren Generationen wie Windows 95, NT 4.0, 98, Me, 2000 oder XP […] schon seit Jahren keine Updates mehr“ bereitstellt. „So hat Microsoft etwa für Windows 95 schon seit 2001 keine Updates mehr veröffentlicht.“

Bild:  Archive.org

Eine Studie zur Anfälligkeit von Antiviren-Software für „alte“ Schädlinge kommt zu dem Ergebnis: „Etwa die Hälfte der 12 getesteten AV-Engines konnte weniger als die Hälfte der Malware-Varianten erkennen, vier AVs genau die Hälfte der Varianten, während nur zwei der übrigen alle Varianten bis auf eine erkannten.“
Man kann darauf hoffen,  in  der  Masse  der  Lücken  unsichtbar zu  sein — allzugroß  ist  die Hoffnung  jedoch  nicht:  „Mass Exploitation-Angriffe sind automatisierte Kampagnen, die das öffentliche Internet kontinuierlich auf der Suche nach leichten Opfern durchsuchen. Diese Kampagnen werden von Bots durchgeführt, die automatisierte Cyberangriffe in großem Maßstab ausführen. CloudFlare behauptet, dass nur 7 % des Internetverkehrs auf bösartige Bots entfallen, während anderen Berichten zufolge bösartige Bots bis zu 32 % der gesamten Internetaktivitäten ausmachen. Nach dem Eindringen missbrauchen die Angreifer diese kompromittierten Ressourcen für bösartige Aktivitäten.“

Crowdstrike weiß, wie:
„Angreifer konzentrieren sich oft auf Systeme und Geräte, die entweder weit verbreitet sind oder bekannte Schwachstellen aufweisen. Im Folgenden sind einige der häufigsten Ziele von Massenangriffen aufgeführt.“
Deshalb ist „das rechtzeitige Erledigen von Windows-Aktualisierungen […] eine der Hauptaufgaben für IT-Administratoren, um die Sicherheit und Leistungsfähigkeit von Windows 10 Desktops zu erhalten.

Und selbst dann muss die Verantwortliche dafür sorgen, dass ihr Personal auf der Hut bleibt — Dr. Datenschutz erklärt: „Die vielfach erwähnte Abwärtskompatibilität und somit die Möglichkeit der Verwendung von älteren Systemen, auf die ein Unternehmen ggf. zwingend angewiesen ist, bleiben in vielen Unternehmen unabdingbar. Oft lassen sich diese Systeme nicht ohne weiteres bzw. gar nicht mehr auf den neusten Stand bringen. Ist ein Unternehmen auf ein solches System angewiesen, gilt es dieses zumindest anderweitig abzusichern und bestenfalls vom Rest des Netzwerks weitestgehend abzukapseln. Andernfalls kann das System von Angreifern als Einfallstor und Sprungbrett zu möglicherweise sensiblen Systemen im Netzwerk dienen.“

Für Jacqueline Neiazy, Director Datenschutz bei der ISiCO GmbH ergibt sich aus den Risiken die Konsequenz: „Der ‚risikobasierte Ansatz‘ ist in der DSGVO tief verwurzelt. Je höher die Risiken, die mit der Verarbeitung personenbezogener Daten einhergehen, desto strenger die Anforderungen an den Datenschutz.“ Diese Schlußfolgerung ergibt sich aus der „Rechenschaftspflicht„. Und wird mit zunehmender Leistungsfähigkeit einerseits und der Anzahl der breitbandig vernetzten Dinge (etwa den stählernen Rechenzentren auf Rädern) andererseits weiter zunehmen.“Netze der fünften Generation schaffen somit eine stark erweiterte, multidimensionale Verwundbarkeit durch Cyberangriffe. Diese neu definierte Natur der Netze – ein neues ‚Ökosystem von Ökosystemen‘ – erfordert eine ebenso neu definierte Cyber-Strategie. Die Netzwerk-, Geräte- und Anwendungsunternehmen sind sich der Schwachstellen bewusst, und viele bemühen sich zweifellos in gutem Glauben, die Probleme zu lösen.“

„Technische Schutzmaßnahmen sollten als mehrstufiges Schutzkonzept (Defense in Depth) nach der IEC 62443 implementiert werden, damit das Netzwerk auch beim Ausfall einer einzelnen Maßnahme geschützt bleibt.

Ein wichtiger Ansatz für IIoT-Security ist die Vorgabe von Security-Anforderungen an die Hersteller  oder Lösungsanbieter. Schon heute beinhalten die meisten Ausschreibungen Security-Vorgaben. Die Auftragsvergabe hängt beispielsweise auch ab von Security by Design, sichere Produktentwicklungsprozesse nach der IEC 62443 oder Ressourcen für ein kompetentes Management von Sicherheitslücken.“

In dem Maß, in dem die Risiken wachsen, wachsen die Forderungen der Aufsichtsbehörden — mit der Folge, dass sogar der Betrieb von Windows 11 aus datenschutzrechtlicher Sicht „nur unter bestimmten Bedingungen DSGVO-konform“ ist. Wann kommt die Erste auf die Idee,  den Verantwortlichen die Verwendung Windows grundsätzlich zu untersagen?


Bild: ChatGPT 2

Dr. Datenschutz empfiehlt statt Windows „sog. freie Software als datenschutzfreundliche Lösung“:

„Die Verwendung einer freien Software ist datenschutzrechtlich zu empfehlen. Der frei zugängliche Quellcode kann ausgeführt, kopiert, verbreitet, geändert  und untersucht werden. Insbesondere wird dieser von der freiwillig programmierenden Community stets verbessert, da Fehler oder kritische Dinge schneller entdeckt und behoben werden können. Anders als am Markt erhältliche Komplettpakete, kann quelloffene Software zudem auf individuelle Bedürfnisse angepasst und administriert werden. Die meisten Tools kommerzieller Dienstleister genügen datenschutzrechtlichen Anforderungen nicht. Wer freie Software auf schuleigenen Servern selbst hostet, befindet sich bereits auf dem Weg zu einer datenschutzfreundlichen Lösung.“

Der frühere Bundesdatenschutzbeauftragte Ulrich Kelber bestätigt: „Open Source ist kein Dogma. Auch mit proprietärer Software können natürlich alle datenschutzrechtlichen Anforderungen erfüllt werden. Die inhärente Transparenz von Open Source führt aber typischerweise zu einer einfacheren und möglicherweise besseren Nachweisbarkeit der Datenschutzkonformität. Open Source hat also das Potenzial, zu einem echten Vertrauensanker der Digitalisierung zu werden.“

Da eröffnen sich mit GNU/Linux auch noch neue Chancen für alte Hardware:

„Sie können Ihre alte Hardware behalten und Windows 10 durch die von Ihnen bevorzugte Linux-Variante ersetzen. Wenn Sie über das technische Know-how und die Erfahrung verfügen, um die Umstellung zu bewältigen, ist diese Option eine Überlegung wert.“


Bild: Storware

So soll sich auch „ein sehr altes Notebook mit Linux nützlich halten“ lassen:
„Mein Lenovo T400 war schon alt, als ich es vor vier Jahren als Refurbishment kaufte. Mit verschiedenen Linux-Distributionen läuft es aber immer noch ganz gut. Hier sind die Details.“

15 GNU/Linux-Distributionen sollen noch 32-Bit-Architekturen unterstützen:
„Glücklicherweise gibt es einige Distributionen, die auch für ältere Geräte geeignet sind. Wenn Sie mit solchen Betriebssystemen arbeiten möchten, können Sie sich einige der führenden Linux-Distributionen ansehen, die noch die 32-Bit-Architektur unterstützen.“

„Online-Dozent, Blogger und IT-Professional“ René Fürst schwört auf GNU/Linux Mint:
„Linux Mint ist großartig. Ich weiß nicht was Sie von Ihrem Betriebssystem erwarten, aber für mich funktioniert es. Sie müssen mich nicht beim Wort dafür nehmen, probieren Sie es einfach selbst aus. Sie müssen Ihr Windows-Setup nicht durcheinander bringen. Installieren Sie einfach die neueste Linux Mint Version auf einem USB-Stick oder einer Virtuellen Maschine. Ich empfehle die Cinnamon Edition, aber wenn Ihr PC älter ist, probieren Sie die MATE Edition. Wenn Sie also Windows auf Ihrem PC ersetzen möchten, schauen Sie sich Linux Mint an. Linux Mint ist ausgereift, schneller, sicherer und benutzerfreundlicher als je zuvor.“

Und wer sich allein nicht traut, könnte beim Verein „CH Open“  fündig  werden  —  der  betreibt das „OSS Directory“, das
„Verzeichnis für Open Source Anbieter, Produkte, Kunden, Success Stories und vieles mehr!“:

„Der Verein CH Open fördert seit 1982 offene Systeme (Open Source Software) und Standards (Open Standards) in der Schweizer ICT-Landschaft. Mit zahlreichen aktiven Working Groups und Events informiert und vernetzt die CH Open Unternehmen, öffentliche Verwaltung, Bildungsinstitutionen und Einzelpersonen und setzt sich politisch für mehr Offenheit und Nachhaltigkeit in der Informatik ein. CH Open hat rund 200 Einzelmitglieder sowie rund 100 Kollektiv- und Premiummitglieder (Firmen und Behörden). Zahlreiche Kooperationen mit Schweizerischen und ausländischen ICT-Verbänden, Communities sowie Hochschulen und Behörden tragen zur Umsetzung der Anliegen von CH Open auf allen Ebenen bei.“

Compliance 4.0 berichtet einmal wöchentlich über Digitalisierung, ihre Risiken und Rechtsfolgen auf dem Weg in die regelkonforme Vollautomatisierung der Welt.

 

Ähnliche Beiträge

In eigener Sache – BizSpark rulez Existiert die Internetseite Deiner Firma morgen noch? Open Source fördert Agilität, Flexibilität, Innovation und Sicherheit Störung der Wasserversorgung durch „intelligente“ aber böse Bienen
Das könnte Dich auch interessieren
„Der Name ‚Decision Engineering‘ ist für uns Programm. Unser gesamtes Tun ist darauf aufgebaut, Unternehmen zu unterstützen und nachhaltige Entscheidungen effizient zu treffen“, bringen es Günther Angerbauer (li.) und Markus Müller (re.) auf den Punkt.Alle Risiken im Griff?
Ausblick: EuGH entscheidet über Datenströme in die USA
Risk & Compliance 2020 Chancen und Risiken erkennen
Digital Workplace
„Wer als Arbeitgeber im Wettbewerb um die besten Talente attraktiv bleiben will, muss handeln“
Go Agile: Projektteams und Unternehmenskultur mit agilen Werten voranbringen