Windows XP: Bundesregierung sorgt sich um Sicherheit von Geldautomaten
Zum 8. April läuft Microsofts Support für Windows XP aus. Darum hält es das BSI laut Innenministerium für geboten, aktuelle Betriebssysteme einzusetzen, die mit Sicherheitsupdates versorgt werden.
Die Bundesregierung sieht Banken und Sparkassen gefordert, Geldautomaten mit nicht mehr von Microsoft unterstützten Betriebssystemen möglichst rasch umzurüsten. Andernfalls müsse der Betreiber die Versorgung mit Sicherheitsupdate gewährleisten, indem er einen "kostenpflichtigen, individuellen Supportvertrag" mit dem Softwarekonzern abschließt, schreibt das Bundesinnenministerium in einer heise online vorliegenden Antwort auf eine Anfrage der Linksfraktion im Bundestag.
Auch in Deutschland arbeiten offenbar fast alle Bankautomaten noch mit Windows 2000 oder Windows XP. Weltweit sollen 95 Prozent aller der rund drei Millionen öffentlich zugänglichen Geldautomaten unter Windows XP laufen. Microsoft will den Support für das 2001 eingeführte Betriebssystem in seiner allgemeinen Form am 8. April endgültig einstellen und keine Sicherheitsupdates mehr liefern. Betroffene Geräte können danach nur noch mit erhöhtem Risiko betrieben werden.
Komplexe Lage
Bei eingebettenen und damit für Geldautomaten relevanten Systemen stellt sich die Lage aber "aufgrund einer stark diversifizierten Produktpolitik von Microsoft komplexer dar", schränkt die Bundesregierung ein. Hier falle lediglich die Variante "Windows XP Professional for Embedded Systems" in diesem April aus der Herstellerunterstützung heraus. Daneben werde in Kassensystemen am "Point of Sale" (POS) und in Bankautomaten auch die XP-Version "Windows Embedded POSReady 2009" eingesetzt. Diese versorge die Microsoft noch bis April 2019 mit Sicherheitsupdates.
Finanzinstitute, die "Windows XP Professional for Embedded Systems" verwenden, müssten dagegen zumindest "sekundäre Sicherungsmaßnahmen ergreifen", um nach dem 8. April Angriffe gegen diese Systeme weiterhin abwehren zu können, mahnt das Innenministerium. Grundsätzlich empfehle das BSI jedoch "aufgrund der bestehenden hohen Risiken nicht", verwundbare Geräte allein durch Zusatzmittel und ohne die Installation von Updates abzusichern. Wie viele Geldautomaten noch mit anfälligen XP-Varianten arbeiten sagt das Ministerium nicht.
Bundesregierung widerspricht Kreditwirtschaft
Die Bundesregierung widerspricht damit einer Ansage einer Sprecherin der deutschen Kreditwirtschaft, wonach "die Art des Betriebssystems keine Rolle" spiele, da die hiesigen Bankautomaten im anders als Geräte in anderen Ländern "nicht am Internet hängen". Das hält sie nicht allein für entscheidend dabei, wie die Sicherheit der Systeme eingestuft wird.
Die Regierung geht davon aus, dass Angreifer derzeit für Windows XP verfügbare Exploits bewusst bis zum Stichtag im April zurückhalten. Damit könnten sie anschließend diese Systeme "erfolgreich und dauerhaft angreifen", ohne befürchten zu müssen, dass Sicherheitslücken geschlossen werden. Mit Mechanismen des Betriebssystems seien derlei Angriffe dann nicht mehr abzuwehren. Da aktuell noch zahlreiche Rechner mit XP betrieben würden, seien diese "anschließend massiv gefährdet". (anw)