Regierungscomputer mit Windows XP sind nach dem 8. April anfällig für Hacker

Die Frist für die Installation sicherer Betriebssysteme auf Computern der Bundesregierung wird nächsten Monat verstreichen, da der Auftrag nicht abgeschlossen ist und Hunderttausende von Maschinen mit veralteter Software zurückbleiben und ungewöhnlich anfällig für Hacker sind.

Bundesbehörden wissen seit mehr als sechs Jahren, dass Microsoft seinen kostenlosen Support für Windows XP am 8. April 2014 einstellen wird. Trotz der jüngsten Eile, Upgrades abzuschließen, werden schätzungsweise 10 Prozent der Regierungscomputer – von mehreren Millionen – noch laufen das Betriebssystem an diesem Tag, sagten Unternehmensvertreter.

Dazu gehören Tausende von Computern in geheimen militärischen und diplomatischen Netzwerken, sagten US-Beamte. Solche Netzwerke verfügen im Allgemeinen über stärkere Abwehrmechanismen, enthalten jedoch sensibleres Material, was die Gefahr für Sicherheitsverletzungen erhöht, wenn sie auftreten.

Sicherheitsexperten warnen davor, dass sich Hacker auf das, was Microsoft das „End-of-Life“ von Windows XP nennt, vorbereitet haben, indem sie „Sicherheitslücken“ anhäufen, die auf Skelettschlüssel hinauslaufen, die Eindringlingen den Fernzugriff ermöglichen.

Hacker, die in einen einzelnen Computer in einem Netzwerk einbrechen, können die von ihnen gestohlenen Passwörter verwenden, um sich in andere Maschinen einzudringen, sogar in solche, die über aktualisierte Betriebssysteme und andere Schutzmaßnahmen verfügen, sagen Experten. Einbrüche sind oft beschränkt auf Spionage kann aber der erste Schritt in Richtung Cyberangriffe sein, die kritische Systeme lahmlegen können.

„Sobald XP nicht mehr unterstützt und nicht mehr gepatcht wird, haben Sie die Sicherheitsanfälligkeit auf der gesamten Windows-Plattform in Ihrem Unternehmen erheblich erhöht, wenn Sie XP nicht verlassen haben“, sagte Richard Spires, ein ehemaliger Chef des Heimatschutzministeriums Auskunftsbeamter. Er nannte das Problem „dringend“.



Einige Bundesbeamte sagten, sie hätten Microsoft gebeten, die Frist für die Beendigung des Supports für Windows XP zu verlängern. Das Unternehmen lehnte ab und bot stattdessen – gegen neue Gebühren – „benutzerdefinierte Supportvereinbarungen“ an, die einen Schutz bieten, der laut Experten wahrscheinlich hinter dem zurückbleibt, was das Unternehmen den meisten XP-Benutzern lange Zeit kostenlos angeboten hat.

Dazu gehörten routinemäßige Sicherheitspatches, wenn ein Cyberangriff, ein Virus oder ein anderer Eindringling irgendwo auf der Welt eine ausnutzbare Schwachstelle im Betriebssystem aufdeckte. Dieser umfassende Schutz, der einem globalen Frühwarnsystem auf der Grundlage von Daten von Hunderten von Millionen Computern gleichkommt, soll nach Ablauf der Frist im April verschwinden. Einige Agenturen haben es abgelehnt, benutzerdefinierte Supportvereinbarungen abzuschließen, weil sie diese als unnötige Kosten ansahen.

„Trotz all des Geldes, das wir Microsoft gemeinsam geben, waren sie nicht zu bereit, die Frist zu verlängern“, sagte ein hochrangiger Beamter des Außenministeriums unter der Bedingung der Anonymität, offen über die Beziehungen zu einem großen Anbieter zu sprechen. 'Es gab einige Murren, die sie nicht verlängern wollten.'

Microsoft geht davon aus, dass der Übergang in den nächsten Monaten fortgesetzt und bis Ende des Jahres praktisch abgeschlossen sein wird, obwohl Microsoft voraussichtlich bis 2015 eine kleine Anzahl von Windows XP-Rechnern in Betrieb nehmen wird.

„Weil wir eng mit unseren Kunden zusammenarbeiten und aufgrund der Arten von Systemen, die XP noch nicht verlassen haben, sehen wir am 9. April kein wesentlich größeres Risiko für die Bundesregierung als am 7. April.“ “, sagte Mark Williams, Microsofts Chief Security Officer für Bundessysteme, in einer E-Mail. „Aber am Ende des Tages ist es wichtig, sich daran zu erinnern, dass das sicherste System ein modernes ist.“

Windows XP, das 2001 veröffentlicht wurde, ist das letzte Betriebssystem, das Microsoft entwickelt hat, bevor das Unternehmen eine Reihe bedeutender Sicherheitsverbesserungen vornahm, darunter Systeme, die die Möglichkeit von Hackern einschränken, die in ein Programm einbrechen, in andere einzudringen und die Kontrolle über die meisten Computer zu erlangen Basisfunktionen.

Bundesbeamte arbeiten seit mehr als zwei Jahren an der Umstellung – die den Kauf Hunderttausender neuer Computer, die Aktualisierung von Betriebssystemen auf älteren Computern und die Überarbeitung benutzerdefinierter Software für Windows XP umfasst – und äußern sich optimistisch, dass der Großteil der Arbeit wird rechtzeitig fertig.

Sie stellen fest, dass private Unternehmen und einzelne Nutzer noch weiter zurückliegen. Analysten berichten, dass auf fast 20 % der Computer weltweit immer noch das veraltete Betriebssystem ausgeführt wird.

Die Abkehr der Regierung von Windows XP wurde durch Haushaltskrisen und einen Mangel an Koordination auf höchster Ebene behindert, trotz regelmäßiger Warnungen hochrangiger US-Beamter, dass die Bedrohung durch Cyberangriffe eines der führenden nationalen Sicherheitsbedenken der Nation, derzeitiger und ehemaliger Bundesbeamter, ist genannt.

„Es ist etwas kaputt im Prozess, wenn sie so viele Maschinen zu diesem Zeitpunkt nicht aktualisieren lassen“, sagte Steve Bellovin, ehemaliger Cheftechnologe der Federal Trade Commission, jetzt Informatikprofessor an der Columbia University. „Einige davon sind Budgetkürzungen. Einiges davon ist kein sehr gutes Management, vermute ich.“

Die Verantwortung für die Überwachung der Cybersicherheitspolitik der Bundesbehörden wird – etwas unbehaglich – vom Department of Homeland Security und dem Office of Management and Budget des Weißen Hauses geteilt. Im April 2012 schickte DHS OMB einen Planentwurf, um Bundesbehörden zu warnen, dass sie ihre Computer vorrangig von Windows XP entfernen müssen, bevor Microsoft den Support beendet, aber OMB-Beamte haben den Plan nie umgesetzt, sagten mehrere aktuelle und ehemalige Cybersicherheitsbeamte der Regierung.

DHS-Beamte sagten, dass sie Daten auf Bundescomputern mit Windows XP sammeln, lehnten es jedoch ab, diese preiszugeben, weil dies die Sicherheit gefährden würde, indem sie Hackern helfen, ihre Angriffe zu bekämpfen. Beamte lehnten es auch ab, die Anzahl der Computer der Bundesregierung insgesamt bekannt zu geben, aber mehrere Experten schätzten die Zahl auf mehr als 4 Millionen.

Mehrere einzelne Agenturen teilten auf Anfrage der Washington Post Schätzungen mit, wie viele ihrer Computer bis zum Stichtag aktualisiert werden würden. Das DHS sagte, dass alle seine Systeme bis zum 8. April von Windows XP getrennt sein würden.

Verteidigung und Staat sagten, dass fast alle ihre nicht klassifizierten Maschinen dies sein würden, auch wenn einige in geheimen Netzwerken hinterherhinkten. Das Justizministerium sagte, sein Ziel sei es, mehr als 75 Prozent seiner fast 230.000 Computer aufrüsten zu lassen, sodass Zehntausende mit XP arbeiten. Das Department of Veterans Affairs wird bis zum Stichtag noch etwa 2 Prozent seiner Computer (bis zu 6.000 Einheiten) auf dem veralteten Betriebssystem haben.

Die Verwaltung des kostspieligen, logistisch aufwendigen Übergangs von Windows XP obliegt den Chief Information Officers der Regierungsabteilungen auf Kabinettsebene, unabhängigen Behörden und in einigen Fällen den einzelnen Büros innerhalb der Abteilungen.

Das Handelsministerium sagte zum Beispiel, dass „die Mehrheit“ seiner Büros von Windows XP abgerückt sei, aber dass die Beamten insgesamt nicht wussten, wie viele der 85.000 Computer des Ministeriums das veraltete Betriebssystem verwendeten, da die Aktualisierungen überlassen wurden Beamte auf Büroebene.

„Alle Behörden sind nach Gesetz und Richtlinie für die Sicherheit ihrer Netzwerke und Systeme verantwortlich, und dazu gehört auch die Behebung dieser bekannten Software-Schwachstellen durch fortlaufende Patches“, sagte DHS-Sprecher S.Y. Lee sagte in einer E-Mail-Erklärung.

Die Unfähigkeit, den Übergang von Windows XP rechtzeitig abzuschließen, hat Kritiker auf sich gezogen, die sagen, dass dies umfassendere Mängel bei der Bereitstellung von Informationstechnologie und der Verwaltung kritischer Ressourcen durch die Bundesregierung in einer Zeit zunehmender Cybersicherheitsbedrohungen aufzeigt.

„Es ist beunruhigend, dass eine Liste aktueller [Computersysteme] nicht leichter verfügbar ist“, sagte ein mit der Cybersicherheitspolitik vertrauter Kongressassistent, der unter der Bedingung der Anonymität sprach, da er nicht befugt war, sich öffentlich zu äußern.

Die Bundesregierung ist seit Jahren ein regelmäßiges Ziel von Hackern – hauptsächlich ausländischen Geheimdiensten – mit erheblichen Verstößen bei vielen Behörden. Die Marine kämpfte kürzlich gegen einen Einbruch, bei dem iranische Cyberspione mehrere Monate lang im nicht klassifizierten System des Dienstes unterwegs waren, bevor sie entdeckt und ausgewiesen wurden.

Die Risiken von Windows XP wurden 2009 deutlich, als es chinesischen Hackern gelang, eine Schwachstelle im Browser auf XP-Computern bei Google auszunutzen und so wertvollen Quellcode zu stehlen. Die Operation Aurora, wie sie von Sicherheitsforschern genannt wurde, zielte auf mehr als 30 andere US-Unternehmen ab.

Die Notwendigkeit, Computerbetriebssysteme zu aktualisieren, entstand zu einer Zeit großer neuer Investitionen in die Cybersicherheit, einschließlich der Schaffung des neuen militärischen US-Cyberkommandos mit Sitz in Fort Meade. Aber die glanzlose Arbeit, Betriebssysteme zu aktualisieren, habe eine geringere Priorität als der Kauf teurer High-Tech-Systeme, um Cyberangriffe zu überwachen und abzuwehren, sagten Kritiker.

„Niemand wird befördert, wenn man von XP auf Windows 7 umsteigt“, sagte Christopher Soghoian, Computersicherheitsexperte und leitender Technologe der American Civil Liberties Union. 'Es ist so banal, aber so wichtig.'

Das Betriebssystem eines Computers ist nur ein Faktor für die Sicherheit eines Systems. Auch Überwachungssysteme, Antivirensoftware und strenge Zugangsregeln tragen zu mehr Sicherheit bei.

„Mit Windows XP zu arbeiten ist wie in einer schlechten Nachbarschaft zu leben. Es gibt andere Dinge, die Sie tun können, um sich zu schützen. Ich kann Schlösser für mein Haus besorgen und meine Wahrscheinlichkeit verringern, ausgeraubt zu werden. Ich kann nur tagsüber ausgehen“, sagte Michael Silver, Analyst bei Gartner Research, einem Beratungsunternehmen. „Hoffentlich hat die Regierung etwas unternommen, um diese Maschinen weniger anfällig zu machen.“

DHS ist dabei, ein regierungsweites Programm bereitzustellen, mit dem Behörden automatisch erkennen können, welche Hardware und Software in ihren Netzwerken ausgeführt wird und ob sie richtig konfiguriert sind und ob Programme gepatcht werden müssen.

Obwohl das Verteidigungs- und das Außenministerium zusammen Tausende von Computern haben werden, die mit klassifizierten Netzwerken unter Windows XP verbunden sind, sind solche Netzwerke laut offiziellen Angaben weniger anfällig, da sie nicht mit dem Internet verbunden sind, das die Quelle der meisten Hackerangriffe ist und dies nicht zulassen die Verwendung von Flash-Laufwerken, eine weitere wichtige Infektionsquelle.

Der Übergang von Windows XP wurde durch die große Menge benutzerdefinierter Regierungssoftware, die für die Ausführung auf dem Betriebssystem entwickelt wurde, verlangsamt. Noch vor einem Jahr sagte ein hochrangiger Beamter des Außenministeriums, dass fast alle seiner 85.000 Computer auf nicht klassifizierten Systemen unter XP liefen, obwohl drei Generationen neuerer, sichererer Windows-Betriebssysteme von Microsoft erhältlich waren.

Richard Hale, stellvertretender Chief Information Officer des Pentagon, sagte, dass die wenigen Computer des Verteidigungsministeriums, auf denen im nächsten Monat noch Windows XP ausgeführt wird, auf Software angewiesen sind, die für das Betriebssystem entwickelt wurde und bei starker Nutzung, zum Beispiel auf Marineschiffen, schwer zu ersetzen sind. Ihre Systeme können nicht abgebaut werden, ohne die operative Effektivität zu beeinträchtigen, sagte er. „Die Migration erfordert also eine Neugestaltung der gesamten Plattform“, sagte er.