Windows-XP-Migration: Die Anwendungs-Kompatibilität steht im Fokus

Beim Umstieg von Windows XP kommt es entscheidend auf die Anwendungs-Kompatibilität an. Wichtig für die Migration ist auch eine durchdachte Planung.

Während die Zeit für die Sicherheitsunterstützung von Windows XP ausgelaufen ist, kämpfen viele Unternehmen noch damit, den Windows-XP-Migrationsprozess in die Wege zu leiten oder den Übergang zu einer moderneren Plattform abzuschließen. 

Sicherheitsexperten bei Organisationen, die Windows-XP-Migrationen in großem Maßstab abgewickelt haben, empfehlen, sich am besten auf die Anwendungs-Kompatibilität zu konzentrieren und dabei das große Ganze nicht aus den Augen zu verlieren.

Microsoft beendete den Support für Windows XP im April 2014. Obwohl der Softwareriese aus Redmond bereits vor einigen Jahren erstmals Unternehmen und Verbraucher, die XP einsetzen, von seinem Entschluss informierte, die Unterstützung dafür einzustellen, bleibt XP populär. Und das trotz seiner zahlreichen Sicherheitsprobleme sowie der sich abzeichnenden Bedrohung durch Angriffe auf breiter Front, sobald Microsoft keine Sicherheits-Patches mehr bereitstellt.

Nach Angaben von Microsoft gibt es somit keine Entwarnung bei der Nutzung von Windows XP. Zwar ist der Marktanteil in den letzten zwölf Monaten kontinuierlich gesunken, dennoch sind die weltweiten Zahlen weiter bedenklich: Je nach Marktforschungsinstitut nutzen noch zwischen rund zehn (StatCounter) und 17 Prozent (NetApplications) das Betriebssystem. 

Bei deutschen Anwendern liegt der Marktanteil bei 5,4 Prozent. Damit ist immer noch eine beträchtliche Anzahl von Nutzer verschiedenen Sicherheitsrisiken ausgesetzt, die mir dem Support-Ende von Microsoft eingetzt haben.

Diese Zahlen beunruhigen auch den Chief Technology Officer des Sicherheitsanbieters Qualys, Wolfgang Kandek. Er hat Firmen davor gewarnt, dass Angreifer künftig im Rahmen des Microsoft-Patchdays veröffentlichte Fehlerbehebungen analysieren, um festzustellen, welche Lücken die Redmonder damit in Windows 7 und Windows 8 schließen, und anschließend in XP nach genau diesen Schwachstellen suchen.

„Windows XP wird weiterhin von der Mehrzahl der Schwachstellen, die man in anderen Windows-Versionen findet, betroffen sein, aber es gibt keine Möglichkeit mehr, diese Probleme anzugehen“, schrieb Kandek unlängst in einem Blogbeitrag. „Infolgedessen benötigen Sie eine Strategie für die XP-Rechner, die in Ihrer Infrastruktur verbleiben.“

Die größte Herausforderung liegt darin, sich eine Übersicht über den ‚Anwendungs-bestand‘ zu verschaffen.

Derrick Wood, CIO, Wood Group

Andere Organisationen scheinen das End-of-Life-Datum von XP gar nicht als Problem wahrzunehmen. Derrick Wood, Gruppen-CIO für die in Großbritannien ansässige und im Energiesektor tätige Wood Group, sagt, ihm sei im letzten Monat ein Zulieferer seines Unternehmens aufgefallen, der seine annähernd 9.000 PCs noch von XP umstellen muss. Dieser Lieferant habe sich, so Wood, erst kürzlich zu einer Migration entschlossen, weil dessen Prüfungsausschuss vor den ernsthaften Risiken im Zusammenhang mit dem End of Life von XP gewarnt hatte.

„Sie kamen zu dem Schluss, dass der Zeitpunkt zum Wechsel von Windows XP auf Windows 7 oder Windows 8 gekommen sei, haben aber vorher nichts diesbezüglich unternommen“, erklärt Wood weiter. „Daher war der einzige Weg, dies zu erreichen, die Dienste eines Dritten in Anspruch zu nehmen, und das war mit immensen Kosten verbunden.“

Andrew Hertenstein ist führender Architekt für das Rechenzentrums- und Cloud-Management bei dem auf Microsoft spezialisierten IT-Beratungsunternehmen En Pointe Technologies in Gardena, Kalifornien. Er erklärt, er sei auf Organisationen gestoßen, die versuchten, vor dem April letztens Jahres noch die einfach erreichbaren Ziele zu schaffen, indem sie so viele relativ unkomplizierte XP-Migrationen wie möglich abarbeiteten. 

Dazu zählen beispielsweise Computer in Call-Center-Umgebungen, die sich recht leicht von einer Plattform auf eine andere umstellen lassen, so dass eine Migration solcher Systeme einer Firma keine allzu großen Kopfschmerzen bereitet.

Anwendungs-Kompatibilität Schlüssel für Windows-XP-Migration

Nach Aussage von Hertenstein nimmt die Anzahl dieser einfacheren Migrationen jedoch jeden Tag ab. Viele Unternehmen bleiben bei XP, da es geschäftskritische Anwendungen gibt, die nur unter dem veralteten Betriebssystem funktionieren. Zum Beispiel kann ein Finanzinstitut, das auf eine Windows-XP-basierte Anwendung angewiesen ist, um sensible Transaktionen und Geschäfte auszuführen, nicht mal eben an einem Wochenende von XP auf Windows 7 umsteigen.

Tatsächlich sei, so Hertenstein, die Anwendungs-Kompatibilität der größte Stolperstein für Kunden von En Pointe, wenn es um den Wechsel von XP geht. Ein weicher Übergang, erklärt er, verlange ein hohes Maß an Vorausplanung, was eine besonders leidige Herausforderung für Organisationen darstellt, die in der Anfangsphase ihrer XP-Migrationen stecken.

Hertenstein hat großen Organisationen geraten, das Microsoft Application Compatibility Toolkit oder ein vergleichbares Tool zu nutzen, um herauszufinden, welche XP-basierten Apps ordnungsgemäß unter einem neueren Windows-Betriebssystem funktionieren. 

Nach den Tests lassen sich die Anwendungen in verschiedene Kategorien einteilen: für die Migration geeignet, Anpassung vor der Migration notwendig oder absolut inkompatibel. Auf Grundlage dieser Daten können Organisationen entscheiden, ob sie eine Anwendung aussondern, sie neu konzipieren oder eine alternative Option nutzen, etwa Virtualisierung, um sie weiter zu verwenden.

„Es dreht sich alles um die Planung“, erklärt Hertenstein. „Sie müssen äußerst strategisch vorgehen, wenn es um diese Art von Migrationen geht.“

Noch vor dem Start des Migrationsprozesses sollten nach Angaben von Hertenstein große Unternehmen eine Vorstellung davon entwickeln, wo sie IT-technisch gesehen 6 bis 18 Monate später stehen wollen. Zum Beispiel ist für Firmen, die von XP umsteigen, Windows 7 noch immer die populärste Option. 

Aber für Organisationen wie Kliniken, die keine umfangreichen, desktopgebundenen Umgebungen haben, sei es laut Hertenstein womöglich die bessere Wahl, das eher auf den mobilen Einsatz zugeschnittene Windows 8 zusammen mit Tablet-Geräten bereitzustellen. Ferner gibt er zu bedenken, dass eventuell die Zeit gekommen ist, um zu überlegen, ob bestimmte User besser mit virtuellen Desktops arbeiten.

Migration von Anwendungen erfordert Vorlaufzeit

Selbst die grundlegenden Schritte bei der Migration von Anwendungen auf Windows 7 oder 8 erfordern nach den Erfahrungen von Hertenstein eine gewisse Vorlaufzeit. Er betont, dass eine umfangreiche Windows-XP-Migration nicht überstürzt werden darf, falls die Organisation damit erfolgreich sein will.

CIO Derrick Wood erklärt, die Wood Group sei am Ende des Umstiegs von Windows XP und Vista angekommen. Dieser Prozess begann Mitte 2011. Von den zirka 20.000 Rechnern im Netzwerk der Wood Group liefen ab Mitte März nur noch 200 PCs mit XP. Die weiteren Pläne sehen vor, diese entweder ebenfalls zu migrieren oder diese Systeme als Vorbeugemaßnahme zu sichern, was auch einschließt, sie aus dem Unternehmensnetz zu entfernen.

Am Anfang des über mehrere Jahre dauernden Migrationsvorgangs seien nach Informationen von Wood in seinem Unternehmen ungefähr 2.300 Anwendungen im Einsatz gewesen, darunter unterschiedliche Versionen derselben Anwendungen. 

Die Firma musste viele dieser Anwendungen einzeln überprüfen, um sagen zu können, ob sie angepasst oder ausgesondert werden mussten. Vor der Migration habe das Unternehmen „nicht wirklich den Umfang des Anwendungsbestandes begriffen“, erinnert sich Wood. Jetzt ist die IT-Umgebung der Wood Group auf zirka 700 bis 900 Anwendungen geschrumpft.

„Die größte Herausforderung liegt darin, sich eine Übersicht über den Anwendungsbestand zu verschaffen sowie außerdem sicherzustellen, dass die Hauptanwendungen ohne Weiteres kompatibel sind und standardisierte Tests der Anwendungen, die auf der neuen Plattform laufen sollen, durchgeführt wurden“, erklärt Wood.„In vielen Fällen konnten wir auf diese Weise Anwendungen aussondern, die irgendwann einmal wichtig waren und von vielleicht ein oder zwei Usern genutzt wurden, aber die Migration zwang uns zu dieser Entscheidung.“

Auch das im australischen Adelaide ansässige Öl- und Gasexplorationsunternehmen Santos hat Ende 2013 eine große, über mehrere Jahre laufende Windows-XP-Migration abgeschlossen. Dabei hat die Firma annähernd 8.200 Computer von XP auf Windows 7 umgestellt.

Nicht alle dieser Rechner ließen sich erfolgreich migrieren. Ungefähr 40 Maschinen laufen auch nach dem End of Life von Windows XP unter diesem Betriebssystem, erläutert Andrew Speer, IT-Sicherheitskoordinator bei Santos. Um die Sicherheit dieser Computer zu gewährleisten, werden sie nach Speers Angaben einen eingeschränkten Internetzugang haben. 

Außerdem werde man weitere Schritte ergreifen, um potenzielle Infektionsvektoren auszuschließen, zum Beispiel indem man Programme wie Microsoft Outlook entfernt. Santos arbeitet darüber hinaus mit einem Drittanbieter von Antimalware zusammen, der versprochen hat, auch weiterhin XP-Systeme zu unterstützen, während das Unternehmen Wege untersucht, seine Legacy-Rechner auszusondern, merkt Speer an.

Selbst bei der Mehrzahl der XP-basierten Systeme, die das Unternehmen migriert hat, traf seine Firma auf eine Reihe von Problemen im Zusammenhang mit der Anwendungskompatibilität, so Speer weiter. Beispielsweise entschied Santos sich dafür, das Anwendungs-Whitelisting-Tool AppLocker zu nutzen, ein in Windows 7 neu hinzugekommenes Sicherheitsfeature. 

Dabei traf man aber auf etliche unerwartete Hürden in Form von speziellen Utilities und kleineren Produktivitäts-Tools, die an Speicherorten installiert waren, die nicht dem Standard entsprechen. Letzten Endes gelang es der Firma, AppLocker auf allen Windows-7-Rechner auszurollen, bemerkt Speer.

Ärgerlicher war, dass Santos auf eine Reihe von schlecht geschriebenen Anwendungen stieß, die voraussetzten, dass User auf ihren Computern Administratorberechtigungen besitzen, was allen seit langem bekannten Best Practices im Sicherheitsbereich widerspricht. 

Das Unternehmen hatte sich bereits zu einer konzertierten Maßnahme entschlossen, um die Zahl der Nutzer mit Admin-Berechtigungen zu reduzieren, so Speer. Das bedeutete, Software von Drittanbietern wie AppSense einzusetzen, um virtuelle Instanzen von XP zu erstellen und so die entsprechenden Legacy-Anwendungen sicher ausführen zu können.

„Es war eine Herausforderung, die Mitarbeiter davon zu überzeugen, dass sie ihren Aufgaben auch dann noch nachkommen konnten, wenn sie nicht mehr als Administrator arbeiteten“, erinnert sich Speer. „Anderen, die sich in der gleichen Lage befinden, würde ich raten, die höchste Sicherheitsstufe als Ausgangspunkt zu nehmen und Ausnahmen nur bei Bedarf zuzulassen. Das ist besser, als nach Abschluss des Rollouts zu versuchen, erweiterte Sicherheitsfunktionen nachträglich umzugestalten oder zu aktivieren.“

Erweiterter Support als Option?

Obwohl Microsoft die Unternehmen beharrlich zum Umstieg auf neuere Betriebssystem drängt, haben die Redmonder den Organisationen, die einfach nicht migrieren können, eine kostspielige Option offengehalten: erweiterter Support gegen Bezahlung.

Kundenspezifische Supportpläne für Unternehmen, die Windows XP einsetzen, werden üblicherweise pro Computer verhandelt. Laut einem Bericht des IT-Marktforschungsinstituts Gartner hat Microsoft solche Pläne recht teuer gestaltet. Demnach zahlen Kunden je nach der Anzahl der unterstützten Rechner oder sogar der erforderlichen Patches Preise zwischen 600.000 und fünf Millionen US-Dollar allein für das erste Jahr.

Die Wood Group erwog, für Microsofts erweiterten Support für die gut 200 Maschinen mit XP zu zahlen, aber CIO Derrick Wood erklärt, die Führungsebene habe die Idee wegen der ausufernden Kosten rasch zu den Akten gelegt. Microsoft bot nach Aussage von Wood zwei unterschiedliche Support-Modelle an. 

Mehr zum Thema Windows XP:

Von Windows XP bis Windows 8: Gruppenrichtlinien versionsübergreifend einsetzen.

Support-Ende von Windows XP: Ressourcen zur schnellen Migration auf Windows 7/8.

Windows XP: Banken bleiben vorerst vor Sicherheitsproblemen verschont.

Was das Support-Ende von Windows XP für die Compliance mit PCI DSS 6.2 bedeutet.

Eines für mindestens 700 Rechner über 12 Monate, das andere pro Arbeitsplatz. Das Unternehmen sah sich, so Wood, mit Kosten von 150.000 US-Dollar für das erste Jahr Support konfrontiert, und abhängig von der Anzahl der benötigten Patches hätte dieser Betrag leicht 2 Millionen US-Dollar pro Jahr überschreiten können.

Laut Wood waren die Kosten allerdings nicht der einzige Faktor bei der Entscheidung der Wood Group, für den erweiterten XP-Support nicht zu zahlen. Nun könne er bis 2020 alle IT-Projekte auf einer soliden Plattform von Windows 7 aus aufbauen.

„Ich war auch deshalb gegen den erweiterten Support, weil er suggeriert, sich um nichts weiter kümmern zu müssen. Dadurch hätten wir den Antrieb verloren, uns vollständig von XP zu lösen“, erläutert Wood.

Hertenstein bestätigt, dass Microsoft viele Organisationen in eine Lage gebracht habe, in der ihnen kaum andere Optionen offenstehen, als für den erweiterten XP-Support extra zu zahlen. Das gelte besonders, wenn eine solche Vereinbarung über ein Jahr hinausgeht. Er räumt jedoch ein, dass es für Organisationen, die „bis zum letzten Drücker“ mit der Migration gewartet haben, möglicherweise die beste Option sein könnte, weil ihnen dadurch mehr Zeit für die Planung zur Verfügung steht.

„Ich stimme Unternehmen nicht zu, die einfach sagen Ich muss wegen der Support-Frage weg von XP und zu Windows 7 wechseln. Denn das grundlegende Problem stellt sich erneut, wenn man irgendwann gezwungen ist, von Windows 7 umzusteigen. Hier bietet sich eine gute Gelegenheit, um so strategisch wie möglich vorzugehen“, gibt Hertenstein zu bedenken.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close