Am 10. Januar 2023 endete der Support für Windows 8.1. [1] Damit sind für diese Betriebssystemversion künftig u.a. keine Sicherheitsupdates und keine Fehlerbehebungen mehr verfügbar. In der Folge werden insbesondere zukünftig gefundene Schwachstellen nicht mehr behoben. Diese können bspw. für die Infektion der Systeme mit Schadsoftware genutzt werden.
Ein Patch-Management, wie es in § 16 Abs. 3 KDG-DVO vorgesehen ist, u.a. verstanden als zeitnahes Einspielen von verfügbaren Sicherheitsupdates bei exponierten Systemen, ist damit für diese Systeme nicht mehr möglich.
Der Anteil der betroffenen Systeme an allen Desktop-PCs lässt sich nur schätzen: Gemäß den Daten der Webseite Statcounter z.B. lag der Anteil aller Windows-Versionen im Bereich der Betriebssysteminstallationen auf Desktop-PCs im Dezember 2022 bei rund 75 %; von den Windows-Installationen wiederum entfallen gemäß der Erhebung 2,6 % auf Windows 8.1 [2]. Insgesamt ist auf Grundlage dieser Zahlen also auf etwa 1,96 % (oder rund jedem fünfzigsten) der Desktop-PCs ein Windows 8.1 installiert. Statcounter erhebt seine Daten über die Auswertung von Webseitenbesuchen [3]. Um in der Statistik aufzutauchen ist es daher erforderlich, dass der jeweilige Desktop-PC für Webrecherchen o.ä. verwendet wird.
Dass das Ende des Supports von Windows 8.1 mit Sicherheitsupdates praktische Relevanz hat, zeigt z.B. ein Blick auf die von der Cybersecurity & Infrastructure Security Agency (CISA) bereitgestellte Übersicht von "Known Exploited Vulnerabilities", also Schwachstellen, die bekanntermaßen aktiv für die Kompromittierung von Diensten und Systemen ausgenutzt werden. [4], [5]
Für die Schwachstelle mit der Kennung CVE-2023-21674, die allgemein Microsoft Windows Systeme betrifft und am 10. Januar 2023 aufgenommen worden ist, findet sich unter den Details [6] ein Link zur Herstellerseite [7], auf der deutlich wird, dass auch Windows 8.1 betroffen ist - und für diese Schwachstelle noch mit einem Update versorgt wird. Nach dem 10. Januar 2023 würde diese Schwachstelle nicht mehr mit einem Sicherheitspatch versehen und die betroffenen Systeme diesbezüglich dauerhaft verwundbar bleiben.
Der "Known Exploited Vulnerabilities Catalog" der CISA [5] ist dabei keineswegs auf Windows beschränkt., Voraussetzung für die Aufnahme einer Schwachstelle ist zunächst das Bestehen einer CVE-Nummer (Hintergrundinformationen sind unter [4] zu finden). Auch das Bundesamt für Sicherheit in der Informationstechnik bietet mit seinen Cyber-Sicherheitswarnungen Informationen zu neuen, bedrohlichen Angriffsvektoren oder zu Maßnahmen seitens der Hersteller gegen bekanntgewordene Sicherheitslücken. [8]
Dabei kann allein die Information, dass Schwachstellen aktiv ausgenutzt werden, die Priorisierung von Gegenmaßnahmen unterstützen.
Externe Links
[1] https://learn.microsoft.com/de-de/lifecycle/products/windows-81
[2] https://gs.statcounter.com/os-market-share/desktop/worldwide
[3] https://gs.statcounter.com/faq#methodology
[4] https://www.cisa.gov/known-exploited-vulnerabilities
[5] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[6] https://nvd.nist.gov/vuln/detail/CVE-2023-21674
[7] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21674