Warum arbeiten im professionellen Bereich immer noch mehr als 30% mit Windows XP!?
3 Antworten
"Arbeiten mit" und "einsetzen" sind zwei unterschiedliche Dinge.
Gerade Systeme wie Geldautomaten oder Rechner zur Steuerung von Industrieanlagen laufen oft mit relativ alten Betriebssystemen. Das liegt in diesem Fall daran, dass diese PCs immer genau ein Programm ausführen. Es ist völlig egal, welches Betriebssystem beispielsweise ein Geldautomat hat, da es hier lediglich die Funktion hat, das Programm des Geldautomats auszuführen. Solche Systeme sind in der Regel auch nicht ans Internet angeschlossen, sondern "physisch" gegen Angriffe geschützt. So können sie auch nicht gehackt werden, daher ist es auch aus dieser Sicht egal, wenn das OS veraltet ist.
Bleiben wir beim Beispiel des Geldautomaten, hier die Vor- und Nachteile, wenn man ein neueres Windows installieren würde:
Nachteile:
- Man müsste ein Programm, dessen Sicherheit und Zuverlässigkeit geprüft und bewiesen ist nochmal anpassen für ein neues Betriebssystem, und dann erneut viele Sicherheitsprüfungen und Tests durchführen. Zudem müssten Techniker des Geldautomatenherstellers zu allen Banken fahren, die einen entsprechenden Automaten haben, um diesen zu aktualisieren. Das würde sehr viel Zeit und Geld kosten.
- Eventuell sind die verbauten Rechner gar nicht mit neueren Betriebssystemen kompatibel, das würde bedeuten, man müsste den ganzen Automaten überarbeiten oder durch ein neues Modell ersetzen und neue, zuverlässige Hardware finden und auch hier wieder etliche Test durchführen.
Vorteile:
- ?
Ich weiß zwar nicht, wo du die Zahl her hast und ob die akkurat ist, aber es gibt sicherlich noch viele Windows XP-Computer im Einsatz. Diese werden aber eben nicht wie ein typischer PC-genutzt, bzw. Windows selbst wird nicht wirklich benutzt, sondern dient nur dazu, ein spezielles Programm auszuführen. Deshalb ist es hier auch völlig egal, welches Windows/OS darunter läuft, da man es nur selten zu Gesicht bekommt.
Und falls es eine globale Statistik ist, dann kann das auch ärmere Länder betreffen, in denen man kaum an einen PC rankommt - wenn man da das Glück hat, einen zu bekommen, dann ist es auch egal, wie alt der ist, ein veralteter Computer ist schonmal besser als gar kein Computer.
Wir haben ja gerade erst gesehen, wie ein Sicherheitsupdate schnell mal die halbe Wirtschaft lahmlegen kann.
Theorie und Praxis sind natürlich zwei paar Schuhe. Wenn ein Rechner "Air Gapped" ist, dann ist es kein Problem, wenn das Betriebssystem veraltet ist. Da wäre dann die Aktualisierung das größere Risiko, da man eben Gefahr läuft, neue Fehler einzubauen.
Wie genau der von dir beschriebene Fehler aufgetreten ist, weiß ich nicht. Aber ich würde erwarten, dass bei einem System wie einem Geldautomaten nochmal eine zusätzliche Sicherheitsbarriere vorhanden ist, z.B. könnte der Automat mit einem anderen Rechner vor Ort kommunizieren, und erst dieser Rechner, der aktuellere/sicherere Software hat, kommuniziert über das Internet. Da müsste aber sichergestellt sein, dass selbst wenn jemand in den am Internet angeschlossenen PC eindringt, dieser dann noch keine Kontrolle über den Geldautomaten bekommen kann. Aber da hat wohl jemand in der Praxis gepfuscht.
Worauf ich nicht eingegangen bin, aber was auch noch ein Punkt ist: Viel davon liegt vermutlich auch einfach daran, dass man meint, Windows für kritische Systeme einsetzen zu müssen. Windows ist nunmal unüberschaubar und fehleranfällig. Würde man hier direkt auf ein Linux mit der minimal benötigten Funktionalität setzen, hätte man deutlich weniger Angriffsvektoren und es wäre vermutlich auch einfacher, solche Systeme zu aktualisieren, ohne dass es zu Problemen kommt. Je weniger Softwarekomponenten, desto weniger potentielle Konflikte.
Windows kommt nunmal standardmäßig mit einer Unzahl an Softwarekomponenten, von denen man 90% in so einer Anwendung gar nicht braucht.
Ich verstehe zwar, warum der Wechsel bzw. die Aktualisierung des Betriebssystems bei solchen Systemen problematisch sein kann. Es bleibt mir aber ein Rätsel, warum überhaupt so viele Systeme dieser Art mit Windows laufen.
z.B. könnte der Automat mit einem anderen Rechner vor Ort kommunizieren, und erst dieser Rechner, der aktuellere/sicherere Software hat, kommuniziert über das Internet
Das kann sinnvoll sein, aber in diesem Fall wäre das daran gescheitert, da die fragliche Sicherheitslücke gerade dadurch bestach, dass sie automatisch über das Netzwerk ausgenutzt werden kann.
Aber ja, es muss gepfuscht worden sein, vor allem, da es Sicherheitsupdates - auch für XP - gab, die die Betreibern "nur" hätten installieren müssen. Es wäre nicht mal ein vollwertiges Windows-Update nötig gewesen, das fragliche Update konnte man einzeln installieren.
Viel davon liegt vermutlich auch einfach daran, dass man meint, Windows für kritische Systeme einsetzen zu müssen.
Ich finde dieses pauschale Windows-Bashing ziemlich nervig, muss ich sagen.
Windows ist nicht mehr oder weniger sicher, als Linux.
Der wesentlichste Unterschied ist die Verbreitung von Windows, es wird auf weit mehr Geräten eingesetzt und die meisten dieser Geräte werden von wenig IT affinen Menschen genutzt. Es ist daher einfach interessanter, Sicherheitslücken in Windows zu suchen, weil man mehr Geräte erreicht und die Nutzer tendentiell leichter manipuliert werden können.
Darüber hinaus unterscheiden sich Windows und Linux im wesentlichen in der Konfiguration und wie man beides nutzt. Jemand, der weiß, was er tut, kann auch ein Windows-System sicher gestalten und jemand, der nicht weiß, was er tut, bekommt auch ein Linux-System unsicher.
Bei Windows-Systemen fällt es bloß viel eher auf, da es viel mehr Malware gibt.
Wenn aber nun alle Firmen einfach pauschal auf Linux umsteigen, obwohl ihre Kompetenzen hauptsächlich bei Windows liegen, dann würde 1. die Verbreitung von Linux-Systemen stark zunehmen und 2. würde es mehr Linux-Systeme geben, die unklug konfiguriert wurden. Mit anderen Worten: Das ganze Phänomen dreht sich um und Linux wird interessanter für kriminelle Personen (bei Firmen ist ja auch mehr Geld zu holen), Du hast also nichts gewonnen, sondern nur dein ganzes bisheriges KnowHow verloren.
Beide Systeme haben ihre Vor- und Nachteile, man muss sie je nach Anwendungsfall auswählen, darf dabei aber auf keinen Fall übersehen, wo das meiste KnowHow im Team liegt.
Linux mit der minimal benötigten Funktionalität setzen
Das setzt aber auch voraus, dass man mehr vorbereiten/einstellen muss, bis das System so genutzt werden kann, wie es benötigt wird. Das wiederum räumt aber mehr Raum für Fehler und damit auch Angriffsvektoren ein, besonders wenn die Anwender sich nicht so gut mit Linux auskennen. Letzteres kommt aber häufig vor, da Windows in den meisten Fällen einfacher zu nutzen ist, als Linux.
Windows kommt nunmal standardmäßig mit einer Unzahl an Softwarekomponenten, von denen man 90% in so einer Anwendung gar nicht braucht.
... was in der Realität aber ziemlich egal ist.
Software, die nur rum liegt und nicht genutzt wird, stört in der Regel auch nicht bei einem Update. Diese ungenutzte Software könnte nach so einem Update zwar kaputt sein, aber das stört nicht, sie ist ja ungenutzt. Und ein Sicherheitsrisiko ist sie auch nicht, da sie nicht genutzt wird.
Wichtig ist natürlich, dass sie wirklich nicht genutzt ist und nicht noch irgendwo im Hintergrund vor sich hin läuft, aber das kann man anpassen, sofern nötig.
Das, was bei einem Update zum Problem werden kann, sind viel eher die *genutzten* Komponenten und davor schützt auch Linux nicht.
Wenn die eingesetzte Software z.B. die Windows-API nutzt, dann birgt die bei einem größeren Update natürlich auch einiges an Fehlerpotential. Das Problem hast Du bei Linux aber auch. Ich könnte mir sogar vorstellen, dass das Risiko bei Linux größer ist, da das Gesamtpaket nicht aus einer Hand kommt, sondern aus vielen Community-Projekten besteht.
Und wenn Du noch selbst entwickelte Hardware verwendest (wie auch in einem Geldautomaten), dann muss diese Hardware (bzw. Treiber) auch mit dem Betriebssystem zusammen funktionieren und sehr teure Hardware kannst Du nicht mal eben so modernisieren.
Es bleibt mir aber ein Rätsel, warum überhaupt so viele Systeme dieser Art mit Windows laufen.
- Es ist einfacher in der Bedienung und es gibt mehr mit Windows vertrautes Personal
- Es ist viel weiter verbreitet, was insbesondere beim Thema Kompatibilität wichtig wird
- Microsoft bietet umfangreichen Support, auch für alte Versionen, die eigentlich nicht mehr supportet werden - das nötige Kleingeld vorausgesetzt
- Es gibt nur *ein* Windows und die Tools bleiben im wesentlichen gleich, viele unterschiedliche Distributionen und Tools bedeutet auch komplexere Einarbeitung für neues Personal und hohe Risiken in Verbindung mit eingesetzter Software
- Viele der damit betriebene Software/Hardware ist sehr alt, damals war Linux bei weitem nicht so verbreitet, wie heute
- Microsoft hat einen guten Ruf - bei Themen über das übliche Windows-Bashing hinaus natürlich
Das setzt doch eigentlich voraus, dass die Automaten zumindest untereinander verbunden sind und vermutlich auch am Internet hängen, da der Virus ja auch irgendwie drauf gekommen sein muss.
Vergiss nicht zu Unterscheiden zwischen Intranet und Internet.
Banken können es sich leisten Leitungen anzumieten zu den jeweiligen Filialen die nicht mit dem Internet zusammenhängen. Können so ein Netz aufbauen mit z.B. Bankautomaten das Autark Arbeitet. Lediglich ein Router z.B. wäre dann dafür zuständig zwischen Internet und Intranet zu verbinden .Das Konzept ist ähnlich wie unser eigenes Heimnetzwerk. Da Fungiert der Router als Bridge. Nur mit dem Unterschied das das Netz von der Größe her Größer als unser Heimnetzwerk ist :-)
Linux mit der minimal benötigten Funktionalität setzen
Das setzt aber auch voraus, dass man mehr vorbereiten/einstellen muss, bis das System so genutzt werden kann, wie es benötigt wird. Das wiederum räumt aber mehr Raum für Fehler und damit auch Angriffsvektoren ein, besonders wenn die Anwender sich nicht so gut mit Linux auskennen. Letzteres kommt aber häufig vor, da Windows in den meisten Fällen einfacher zu nutzen ist, als Linux.
Ist eigentlich nicht richtig.
Man erstellt ein oder Image(s) und muss dafür die Zeit Investieren. Darin erstellt man alles Notwendige was man dazu braucht. Weniger ist mehr ,das ist korrekt ,ist aber unter Linux auch leicht zu erreichen. Es lässt nicht zwangsweise Lücken offen wie bei Windows XP. Man hat alles aktuell kann sogar per Remote (wenn man will) alles aktualisieren und muss obendrein keine Lizenzgebühren zahlen .Würde sogar Geld einsparen und mehr Gewinn ermöglichen z.B. bei den Banken. In der Regel reicht ein einfacher RasPi mit 4GB und eine kleine Linux Distri drauf um alles an den Bankenterminals z.B. zu realisieren.Selbst auch ein Kontoauszugsdrucker wäre damit nutzbar. Ich hatte 2 Kontoauszugsdrucker und 2 EC Terminals eine Filiale mir aneignen können die Abgerissen wurde.
Darin konnte ich mir die Technik ansehen und Verstehen lernen wie so ein Gerät funktioniert.
Zusammen wäre es einfach das man so einfach das Image Drauf Aufsetzt und danach über Tastatur und Maus lediglich die IP Adresse Systemname,Benutzer und Passwort Editieren muss ,Rest bleibt gleich. Im schnitt wären das vielleicht 10-15 Min . Pro Tag bei 8 Stunden wären das für ein Team (2 Mann) ca. 32-64 Automaten . Bei 10 Teams 320-640 Automaten . Bei den Größten Banken würde das vielleicht maximal 1 Woche in Anspruch nehmen um das alles umzustellen. Kosten die man Vermeiden hätte können wenn man früher dies schon genutzt hätte.
Vergiss nicht zu Unterscheiden zwischen Intranet und Internet.
Solange es eine physische Verbindung gibt, kann sie geknackt werden.
Ein zuverlässiger Schutz ist nur eine physische Trennung und das machen die sicher nur in ihren eigenen Fillialen, bei allen anderen Automaten müssten sie dafür ein komplett neues Netzwerk aufbauen, da die Kommunikation ansonsten früher oder später wieder über das Internet müsste - und das kann ausgenutzt werden.
Man erstellt ein oder Image(s) und muss dafür die Zeit Investieren.
Und was ändert das an meinen Aussagen?
Nur weil ein System einmal eingerichtet ist, ist man nicht plötzlich fertig und muss das nie wieder anfassen. Außerdem muss man so ein Image auch erst einmal aufbauen können, was wieder KnowHow erfordert und gute Linux-Admins sind Mangelware.
Man hat alles aktuell kann sogar per Remote (wenn man will) alles aktualisieren
... was vermutlich Konfigurationen verlangt, die - falsch konfiguriert - wieder Sicherheitsrisiken öffnen können.
Und aktualisieren kannst Du wegen der verwendeten Hard- und Software häufig sowieso nicht, also hängst Du nicht auf einem uralten Windows herum, sondern auf einem uralten Linux, nur Du bei Microsoft für das nötige Kleingeld verlängerte Support-Verträge für Uralt-Windows-Versionen bekommen kannst.
und muss obendrein keine Lizenzgebühren zahlen
... bekommt dann aber auch keinen Support-Service, gerade das ist vielen Firmen aber einiges an Geld wert.
In der Regel reicht ein einfacher RasPi mit 4GB und eine kleine Linux Distri drauf um alles an den Bankenterminals z.B. zu realisieren.
Bestimmt, wenn die Hardware und Software dafür entwickelt worden wäre, es im letzten Jahrhundert bereits RaspberryPis gegeben hätte und es Firmen geben würde, die einen Tag- und Nacht-Service zum Reparieren/Tauschen dieser Pis anbieten würden.
Viele Firmen brauchen sowas, ich hab mal für ein Logistik-Unternehmen gearbeitet, die haben ausschließlich Geräte und Software von HP verwendet, weil HP dafür einen Tag- und Nacht-Service, im Notfall mit Helikopter-Flug, angeboten haben. So wurde es mir zumindest gesagt, selber erlebt habe ich das nie.
Pro Tag bei 8 Stunden wären das für ein Team (2 Mann) ca. 32-64 Automaten
Plus Fahrerei und die Probleme, die es immer gibt und die meistens mehr Zeit kosten, als alles bisher geschaffte zusammen.
Und dann hast Du immer noch die Hard- und Software, die MIT den neuen Geräten laufen müssen. Und vermutlich haben die Support-Verträge mit dem Hersteller dieser Hard- und Software, die dir dann natürlich den Vogel zeigen oder die Preise ver10fachen, wenn Du einfach die Computer durch einen Pi ersetzt.
Es ist eben nicht so einfach.
Bei sich zuhause im heimischen Bastelkeller klingt das immer ganz toll, in der Realität gibt's aber meistens noch diverse Details, die Du übersehen hast.
Und das ist noch nicht mal mein Job, ich rede nur mit Kollegen darüber, die können da sicher noch einiges mehr auflisten, was Du nicht bedacht hast.
Nö. Nicht arbeiten. Im Einsatz. Keiner sitzt live an nem Windows XP rechner, mit internet, und ist damit innem Zoom meeting.
PCs die nicht am Internet angeschlossen sind, und isoliert laufen. Dessen System zu ändern macht keinen Sinn, wenn das ganze System damit funktioniert und sich nicht ändert
Du solltest deine Quelle mal auf das aktuelle Jahrzehnt anpassen.
Ich erinnere mich an die als "EternalBlue" bekannte Sicherheitslücke, die unter Anderem von der WannaCry-Ransomware genutzt und auch viele Geldautomaten infiziert hat.
Das setzt doch eigentlich voraus, dass die Automaten zumindest untereinander verbunden sind und vermutlich auch am Internet hängen, da der Virus ja auch irgendwie drauf gekommen sein muss.
Außerdem:
Die Automaten arbeiten ja nicht nur lokal, um Geld auszugeben, sondern müssen Berechtigungen prüfen, Einzahlungen und Auszahlungen an die Bank übertragen, etc.
Das alles setzt voraus, dass die Geräte am Internet hängen müssen, hoffentlich halbwegs brauchbar abgesichert.
Insofern gibt es schon einen Vorteil, wenn man auf ein modernes Betriebssystem aktualisiert:
Aber mir ist natürlich auch bewusst, dass das nicht mal eben so gemacht ist.