F

Was das Support-Ende von Windows XP für die Compliance mit PCI DSS 6.2 bedeutet

PCI-DSS-zertifizierte Unternehmen, die auf Windows XP setzen, müssen nach dem Support-Ende um ihre Compliance fürchten. Hier hilft nur die Migration.

Dieser Artikel behandelt

PCI-Standards

Viele Unternehmen, vor allem mittelständische und kleine Firmen, nutzen trotz des bevorstehenden Support-Endes immer noch Windows XP. Ein Grund besteht zum Beispiel darin, dass Mitarbeiter ohnehin hauptsächlich mit branchentypischen Anwendungen arbeiten, weniger mit dem Betriebssystem selbst. Interessant ist dabei, wie sich das Support-Ende auf die Compliance hinsichtlich des Payment Card Industry Data Security Standard (PCI DSS) auswirkt. Wird es bei einem PCI-Audit Compliance-Probleme geben und gibt es einen Weg, auch nach dem Support-Ende mit Windows XP PCI-DSS-konform zu bleiben?

Wenn eine Organisation weiterhin Windows XP  einsetzt, auch nachdem Microsoft nach dem  8. April 2014 den Support vollständig eingestellt hat, werden das System, die dazugehörige Hardware und das Netzwerk auf keinen Fall mehr im Einklang mit den PCI-Sicherheitsstandards sein. Wenn ein Unternehmen also nicht bereits mit der Migration auf ein neueres Betriebssystem begonnen hat oder zumindest einen Migrations-Plan erstellt hat, sollte dies schleunigst in Angriff genommen werden.

Warum ist die Migration auf ein neueres System und die Ablösung von Windows XP so wichtig? Diese Frage können sich Unternehmen leicht selbst beantworten: Microsoft hat inzwischen klargestellt, dass nach dem 8. April 2014 keinerlei Sicherheitspatches mehr für Windows XP zu erwarten sind. Das gilt sowohl für bekannte als auch für neu entdeckte Sicherheitslücken. Zudem wird es von Microsoft auch keinerlei Support mehr geben, weder kostenlosen noch kostenpflichtigen. Einfach ausgedrückt stehen Unternehmen, die nach dem Support-Ende weiterhin Windows XP einsetzen, völlig ohne die Unterstützung des Herstellers da.

Im Rahmen der PCI-DSS-Compliance gilt allerdings folgende Anforderung: „Stellen Sie sicher, dass alle Systemkomponenten und Software von bekannten Schwachstellen geschützt sind.  Installieren Sie von Herstellern bereitgestellte Sicherheitspatches und sonstige kritischen Patches innerhalb eines Monats nach Veröffentlichung, um Ihr System zu schützen.“ Damit wird schnell klar, dass hier Konfliktpotential lauert.  

Sobald nach dem 8. April die ersten neuen Sicherheitslücken in Windows XP entdeckt werden, fällt eine Organisation automatisch aus der Compliance mit den PCI DSS, denn ohne Support durch Microsoft dürfte es unmöglich sein, Windows XP im eigenen Unternehmen gegen Exploits und Angriffe zu schützen. Da auch Hacker und Malware-Entwickler wissen, dass der Support von Microsoft am 8. April endet, ist nach dem Support-Ende erst Recht mit neuen Angriffen zu rechnen. Vor allem weil sicher ist, dass diese nicht mehr geschlossen werden und noch viele Unternehmen auch nach diesem Datum weiter auf Windows XP setzen werden. Hier lauern also ungeahnte Risiken für Unternehmen und Organisationen.

Windows XP wurde im August 2001 veröffentlicht, damit ist das Betriebssystem mittlerweile über 12 Jahre alt. Ab April wird es keine Möglichkeit mehr geben, verantwortungsbewusst Windows XP auf einem System zu betreiben, dass auf irgendeine Art mit einem Netzwerk verbunden ist. Sicherheitslücken in Windows XP und Angriffe auf das Betriebssystem werden sich auf das komplette Netzwerk auswirken und auch neue Sicherheitsmaßnahmen in Windows 7 und Windows 8.1, darunter aktualisierte Versionen von Address Space Layout Randomisierung, Smartscreen-Filter, die Benutzerkontensteuerung oder die Verwendung von Secure Boot und vieles mehr, schützen beim gleichzeitigen Einsatz von Windows XP in Unternehmensnetzwerken nicht zuverlässig vor solchen Gefahren.

Gleichzeitig sind diese Mechanismen aber deutliche Sicherheitsvorteile der neuen Betriebssysteme, die nicht ignoriert werden sollten. Ohne Windows XP im Netzwerk können diese neuen Technologien durchaus effizient die Sicherheit im Netzwerk erhöhen. Einfach ausgedrückt ist es Zeit, dass sich Unternehmen von Windows XP verabschieden, auch wenn das vielen schwerfallen wird. Die Zeit dafür ist mehr als reif.

Artikel wurde zuletzt im April 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über PCI-Datensicherheitsstandards

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close