BSI-Chef: IT-Mindesthaltbarkeitsdatum würde wichtige Signale setzen

Arne Schönbohm, Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), hat sich nach den jüngsten weltweiten Cyberattacken mit der Ransomware WannaCry zu Wort gemeldet. In einem Interview regte er die Idee an, auch für IT künftig so ... mehr... Deutschland, Bsi, Bundesamt für Sicherheit in der Informationstechnik Bildquelle: Bundesamt für Sicherheit in der Informationstechnik Deutschland, Bsi, Bundesamt für Sicherheit in der Informationstechnik Deutschland, Bsi, Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
MS (und sicherlich auch andere Firmen) geben doch gleich von Anfang an an, bis wann ein OS supported wird und welche Hardware-Mindestanforderungen erfüllt werden müssen. Wer das danach weiter nutzt begibt sich da schon etwas "in Feindes Hand". Anders sieht es jetzt bei Windows 10 aus, das ja kontinuierlich (bis wann?) weiterentwickelt werden soll. Ich denke, das ist doch schon mal so etwas wie ein Verfallsdatum. Aber klar, mehr Sicherheit wäre wünschenswert. Jedoch, dieses Hase- und Igel-Spiel wird wohl nie aufhören, solange kriminelle Elemente damit Geld abzocken können. Isso...
 
@DioGenes: Windows 10 hat Support bis Oktober 2020 und erweiterten Support bis Oktober 2025, wenn die da nicht noch mal die Uhr weiter drehen.

https://support.microsoft.com/de-de/help/13853/windows-lifecycle-fact-sheet
 
@otzepo: Du verstehst da was leicht Falsch.
Die Aktuelle Major Version die Win 10 1703 die hat Support bis 2020 nicht Windows 10 das Datum gilt falls jemand das ab dem Fall Creators Update im Herbst nur noch Sicherheitsupdates mitnehmen würde.
Man muss sich die Major Updates so wie ein Service Pack vorstellen denn nichts anderes sind diese auch nur der Name wurde geändert.
Bei XP war das Support Ende auch viel Früher wie für XP SP3 und so ist es bei Windows 10 auch.
Aber die einzigen die sich dafür Interessieren müssen sind Nutzer der LTSB dieses sind die einzigen die Major Updates auslassen können von den Leuten abgesehen wo die Hardware nicht mitspielt.
Das Support Ende Datum ändert sich bei jedem Major Release und gilt immer für die Aktuellste Version.
Der große Unterschied ist einfach das man halt kein Echtes Globales Ende mehr hat außer Microsoft verwirft den Plan mit Windows is a Service.
 
@Freddy2712: Den Grunde nach schon, aber du glaubst doch selbst nicht daran, dass Microsoft tatsächlich niemals wieder ein neues Betriebssystem auf den Markt wirft, ihm einen neuen Namen gibt und versucht es zu verkaufen.
Bei der Idee Windows als Service anzubieten haben die nicht an die Rechtsprechung anderer Länder gedacht - die Lizenz darf in vielen Ländern auf andere Geräte oder auch Personen übertragen werden und die Verkaufszahlen brechen daher in Zukunft wohl oder übel zusammen aber Updates müssen die immer noch teuer erstellen (sonst müssten die OEM den ganzen Spaß bezahlen).
Daher gehe ich sehr stark davon aus, dass Microsoft genau das tut, was du in deinem letzten Satz ja auch als Option nennst. Solange betrachte ich immer das letztgenannte Supportende als Ende von Windows 10 und korrigiere bei jedem Major-Release das Datum für den Grabstein - ich habe es "Uhr weiter drehen" genannt.
 
@DioGenes: Ganz einfach jedes Feature Release hat 18 Monate Support (zumindest ab September)
Grundsätzlich hat Windows 10 wie otzepo schon schrieb bis 2020/2025 Support. Ich gehe aber davon aus, dass es nochmal verlängert wird.
 
Mit den ganzen Software-Jahreslizenzen (z.B. Office 365) gibt es das doch praktisch schon.
 
Ersten Absatz gelesen und schon was anderes verstanden als der Autor. Nein, es geht nicht um die Zeit, die ein System maximal eingesetzt werden soll und dann auf dem Schrott landet, sondern um einen Zeitraum, in dem der Hersteller garantieren soll Sicherheitsupdates zu liefern und auch dafür gerade stehen müssen, wenn die Elkos hoch kommen. Wer lesen kann ist klar im Vorteil. Genug Produkte aus der Rubrik IoT sind schon veraltet, wenn es auf den Markt kommt, werden nicht gepflegt und gehen direkt nach der gesetzlichen Gewährleistung kaputt.

/edit: An die lustigen Minusklicker: lernt lesen. Wie gesagt, wer lesen kann ist klar im Vorteil.

"Meines Erachtens braucht es auch für Hard- und Software so etwas wie ein Mindesthaltbarkeitsdatum, einen Zeitraum, in dem der Hersteller einwandfreien Zustand garantiert und bei Mängeln auch haftet. Das wirkt in beide Richtungen. Zum einen erhöht es den Druck auf die Hersteller bessere, also sicherere Produkte zu entwickeln. Und es macht den Käufern von Anfang an klar, dass die Technik, die sie anschaffen, ein Verfallsdatum hat, nach dem sie - spätestens - selbst für Sicherheit sorgen müssen. Weil sonst nämlich sie für Schäden haften, die ihre veraltete Technik gegebenen falls bei Dritten verursacht."

Wenn der Joghurt abgelaufen ist kann man ihn noch essen (auf eigene "Gefahr"), wenn er schon vorher schimmelt nicht (Hersteller in der Haftung) - aber einen verschimmelten und abgelaufenen Joghurt sollte man entsorgen. Soft- und Hardware ist aber kein Hackfleisch und sollte dementsprechend auch eine realistische Funktions- und Sicherheitsgarantie des Herstellers haben.
Nehmen wir ein IT-Beispiel: Smartphones. Man kauft eins bei dem schon auf der Packung steht, dass es keine Sicherheitsupdates geben wird oder eins bei dem drei Jahre Sicherheitspatches garantiert werden - welches kauft man wohl? Dann kann man auch gleich verschimmelten Joghurt kaufen, wenn man sich für Option 1 entscheidet.
 
Bei den vielen Android-Smartphones könnte das Mindesthaltbarkeitsdatum dann sogar noch vor dem Herstellungsdatum liegen, schliesslich werden diese Teile gerne mit veralteten Versionen ausgeliefert und der Hersteller hat ja eh nicht vor auch nur ein einziges Update zu veröffentlichen.
 
Was bringt das ?
Wenn Firmen aufgrund von fehlenden Patches bei Software keine Updates machen.
Dann gibt es Leute die generell Updates als Schlecht ansehen und diese aus Prinzip nicht machen.
Gesetzliche Änderungen die nur zu Lasten der Hersteller gehen halte ich hier für Falsch, weil die einfach nichts bringen werden.
Man müsste eine Gesetzliche Vorgabe haben die Hersteller wie auch Nutzer zum Update zwingt.
Smartphones/Tablet sowie IoT Geräte werden teilweise überhaupt nicht Gepflegt oder mit Veralteter Software ausgeliefert, billig Androiden werden Heute noch immer mit Android 4.1.1 Verkauft obwohl Android 7 da ist.
Sicherheitsupdates gerade bei Android werden nicht ausgeliefert speziell bei den nicht Flaggschiffen ist es ganz schlimm.

Microsoft macht da mit Windows 10 und den Automatischen Updates einiges richtig.
Gibt eigentlich nur einen Logisch richtigen Schritt das Systeme ohne Support keine Netzwerkfunktionen mehr haben, Sprich weder Zugriff auf Lan und WWW durch Deaktivierung der Komponenten seitens der Hersteller.
Fakt ist Systeme ohne Support und ohne Updates gehören nicht ans Internet sondern in ein eigenes Separates Lan.
Schon ein nicht Aktueller Computer kann ein ganzes Netzwerk Angreifbar machen daher gehören diese halt völlig Offline oder abgetrennt betrieben.
 
@Freddy2712: naja man muss aber schon schauen welche updates. klar sicherheitsupdates sind gut und wichtig aber mir jetzt ein mehrere GB großes "Creators update" mit "Game Mode" und so nem Kram sehe ich als sinnfrei an, und dann kommt noch die reboot problematik, es nervt halt einfach. im linux kann selbst der Kernel rebootfrei geupdatet werden. Windows sollte Modularer werden und dass man module die man nicht braucht (game mode zum beispiel) einfach deinstallieren kann und das somit anpassbarer ist
 
@My1: Du hast es doch schon selbst erkannt Windows ist Windows und Linux ist Linux !
So ein Baukasten Bastel OS zu Supporten ist deutlich aufwendiger und Komplexer wie ein klar Definiertes wo es so gut wie keine Unterschiede gibt.
Kenne übrigens kein Linux wo man Support bekommt zumindest guten Qualifizierten da gibt es nur Community und die will oft nicht Helfen.
Bei Windows haben wir eh schon das Problem der unzähligen Hardware Konfigurationen und die dementsprechenden Treiber Version Unterschiede.
Ja selbst auf 2 eigentlich gleichen Modellen des selben Herstellers kann man Unterschiede beobachten je nach Rev Version der Hauptplatine und der notwendigen Basis Hardware.
Dann dazu die Unterschiedlichen Patch Zustände des System zumindest bis einschließlich Windows 8.1.
Wäre das ganze dann auch noch Modular und jeder hätte dann Faktisch eine eigene Windows Version würde es das ganze Höchstens Verkomplizieren stat vereinfachen.
Steht ja jedem Frei eine Enterprise LTSB zu nutzen sofern sich die Leisten kann.
Da sind wir nun aber noch lange nicht bei der Problematik Software die es auch in unzähligen Versionen und Konstellationen gibt, und auch gerne untereinander Problematisch wird.
Und dann forderst du jetzt ernsthaft ein Modulares Windows du siehst doch selber wie schwierig es ist ein Linux vernünftig zu betreiben geschweige es überhaupt ans Laufen zu bekommen.
Unter Linux können in Firmen Essentielle Geräte wie Drucker und Scanner von Kombi Geräten fangen wir gar nicht erst an für Massive Probleme sorgen.
Die meisten hier würden sogar mit Linux fertig werden aber Tante Inge oder Oma Gertrud wohl eher nicht und das sind zu 99% die Nutzer sei es Privat oder in Firmen.
Wenn für dich Linux besser ist dann nutze es aber hör auf so einen Mist zu Fordern.
Ich bin seit Windows 3.1 dabei und kann dir aus eigener Erfahrung sagen das beste Microsoft System ist und bleibt Windows 10.
Was Performance und Zuverlässigkeit angeht da kommt kein bisheriges Windows an 10 heran.
Aber am Rande selbst einem Linux tut ein Regelmäßiger Reboot gut und selbst ein Linux gehört nach einem Update Neugestartet.
Android ist übrigens auch Linux und das wird auch generell nach Updates Neugestartet.
 
@Freddy2712: enterprise LTSB hat nicht nur was mit geld zutun, das gibts nur im volumenvertrag.

dass android neubooten muss liegt teils am alten kernel (3.10 bei meinem) und ggf. an anderen sachen.
dass reboots hier und da ganz nett sein können ist klar aber wenn das system zum ungünstigsten zeitpunkt ever rebooten will ist das nicht gerade lustig.

und mal ganz nebenbei gesagt, teile von Windows sind ja schon Modular, ich kann bspw den Media Player rauswerfen.

und man kann ja den Modulkram ja auch ausschließlich auf Pro und höher (haben die DAUs idr eh nicht) machen.
 
@My1: Natürlich gibt es Enterprise LTSB nur im Volumen daher ja auch wer das Geld hat da, wird auch Microsoft wenig gegen haben wenn sich jemand ein Volumen von 150 Lizenzen für einen einzigen PC kauft.

Windows haut in der Regel den Neustart auch nicht ungefragt raus man kann eine Nutzungszeit einstellen und außerhalb dieser finden dann Neustarts stat.
Mir kann niemand erzählen das den Rechner 24 Stunden ohne Pause benötigt es gibt immer einen Zeitraum wo der ungenutzt steht.
Zumal ja auch bekannt ist wann der Patch Day ist da lässt sich doch einiges Planen.
Auch kann man den Neustart selber noch ganz gezielt Planen sobald das Update kommt.

Naja also wirklich rauswerfen tut man den WMP nicht genauso wie den IE man entfernt das Icon und legt Schaltet die Dienste ab.
Aber WMP wie auch IE bleiben vorhanden da manche Komponente von anderen verwendet wird.
Natürlich ist Windows Modular aufgebaut aber so Modular wie du es gerne hättest ist es nicht.
Niemand Programmiert Heute noch alles an einem Stück das wird dann in Modulen erledigt die dann von einem Framework zusammen gehalten werden.
Aber dennoch ist alles so stark Verwoben das man kaum von Modular sprechen kann.

Naja ob das mal so stimmt wage ich anzuzweifeln hab gerade bei XP damals bei den größten IT Legasthenikern komischerweise Pro Versionen gesehen.
Auch bei Windows 7 wurden viele Pro Versionen genutzt schon wegen dem XP Mode war das eine recht gerne benutzte Version.
Aber da eine Win 7 Pro im Gratis Jahr zur Win 10 Pro wurde ergibt sich da halt das gewohnte Bild Nutzer haben ohne echten Sinn eine Pro.
Wenn dann wäre es sinnvoll das für die Enterprise Version zu machen alles andere wäre sinnlos.
Da durch die Reißerischen und schlicht Falschen Berichte zu viele unbedingt eine Pro Version von Windows 10 haben müssen.
 
@Freddy2712: naja ich möchte schon dass solche sachen auch in für Normalsterbliche Leute verfügbare Version ist, udn die Pro ist ja mit 270 UVP nicht gerade günstig im Neukauf. und ich denke es sollten nicht ständig die geilen features nur auf große Firmen beschränkt werden.

und man muss es ja nicht nutzen. oder nutzen die DAUs mit proversion groß bspw gpedit oder so?
 
@My1: Gruppenrichtlinien dürften für die große Masse der Privat Anwender so Nützlich sein wie Schuhe für einen Fisch.

Das was du als geiles Feature siehst halte ich für unnötig bei der Masse die Handvoll die das wirklich braucht wird zur Pro greifen.
Denn genau für diese Handvoll ist die Pro eigentlich gedacht.

Ich habe selber damals Xp Pro gehabt und muss sagen für das reine Privat hätte die Home völlig gereicht.
Bei Win 7 hätte mir Privat sogar für 95% der dinge die Starter gereicht ansonsten war meine Home Premium völlig Ausreichend.
Bei Windows 8 hatte ich dagegen durchaus Abstriche gemacht in der Home fehlten mir einfach Windows to Go und XP Mode aber da rechnete sich kaum der Mehrpreis für mich um eine Pro zu holen.

Ein Typisches Scenario ist doch wohl bei Privat Anwendern Surfen, Spielen, Video, Musik und Facebook.
Wozu braucht da ein Privater eine Pro ?
Der einzige Punkt wo ich jetzt wirklich die Pro brauchen könnte wäre bei der Benutzer Steuerung die Home ist da leicht unzulänglich aber das ist ein Komfort Problem.
Ich brauche an meinem Desktop ein Gast Konto was die Home nicht bietet aber nur dafür eine Pro ist mir zu Teuer.
Hab das recht simpel Gelöst einfach einen Benutzer Gast mit eingeschränkten Rechten erstellt ohne Passwort dauerte halt 5 Minuten stat 30 Sekunden.

Das Problem der DAU ist man Klickt auf alles ohne sich auszukernen und dann entstehen Probleme.
Etwas Funktioniert nicht mehr so wie es soll oder das ganze System wird unbrauchbar.
Und um genau das zu vermeiden werden wirklich mächtige Werkzeuge und Einstellungen immer mehr zur Enterprise verschoben.
Finde ich eigentlich gut nur die Entwertung der Pro halte ich für Fragwürdig.
Im Grunde haben wir mit der Pro eigentlich nur noch die von 7 bekannte Home Premium wobei die Home dann die Home Basic ist.
 
@Freddy2712: ich finde das mit dem verschieben wie gesagt nicht geil, denn wie du schon sagst ist pro haltt fpr die hand voll leute oder eben für unternehmen die zu klein für enterrise sind.
und wenn dau keine pro braucht warum sollte er so viel geld für eine ausgeben, neue kommen eh eher selten mit pro und man kann die einstellugen für sowas ja nicht sofort offensichtlich machen, gpedit nutzt ja auch keiner.
 
Ich habe noch nicht mal einen Schimmer wie man es besser machen kann, aber die Siegel Idee ist mit der Realität unvereinbar.

Ein MDH gibt es schon längst bei den meisten Softwareanbietern, was aber keinerlei Einfluss auf die Sicherheit der noch "Haltbaren" Software hat.

Gütesiegel für Software sind solange Hirnriss, wie die Potentiellen Siegelverteiler keine Möglichkeit haben Software vollumfänglich zu testen, weil kein Zugang zum Quellcode.
Selbst wenn sie ihn hätten, ist es sehr Fraglich ob sie Programmierfehler erkennen, sowie der daraus entstehenden Codeübergreifenden Lücke die erst die Nutzung ermöglicht.
Intrigierte Dienste, die Mit oder Nachinstalliert werden, Potenzieren die Möglichkeiten von Angriffsmöglichkeiten.

Aber selbst wenn sie Zugang hätten und die Technische Möglichkeit alle Fehler und die daraus entstehenden Möglichkeiten zu erkennen, reist das nächste nicht im Zusammenhang installierte Software eine neue Lücke auf.

Hinzu kommen noch Hardware Fehler bzw. Fimwarefehler, Nutzungsfehler etc. pp..

Da die Möglichkeiten von Fehlern/Lücken in Richtung Unendlich gehen, ist jedes Gütesiegel ein Placebo.
 
und die Lobby feiert Party ... die Branche hätte schon immer gern ein kleines Schild an jede Ware geklebt "bitte regelmäßig wegwerfen und aus der nächsten Generation nachkaufen." Jetzt darf sie mit Unterstützung der Politik auch gleich noch hinzufügen "WARNUNG, wer sich nicht daran hält: Gesetzlich haftet für Schäden durch Sicherheitslücken ab Datum xx.xx.xxxx der KUNDE!!" In Deutschland lässt sich dazu bestimmt auch gleich noch ne Versicherung verkaufen. Je nach Alter wirds teurer (der Betrieb von Windows-XP vermutlich astronomisch) aber ein guter Call-Center-Agent bringt's schon unter die Leute. Lasst die Korken Knallen: Umsatz, Gewinne, PROST !!!
 
@call_me_berti: naja dass nach der gewährleistung und so weiter der Hersteller nix mehr verantwortet is doch nix neues

und wenn man per gesetz dieses datum auf mindestens 2 Jahre nach dem letzten produzierten und/oder verkauften Gerät setzt hilft es schonmal
 
@My1: keine Verantwortung beim Hersteller ist nicht neu. Übergang der Haftung auf den Kunden im Anschluss wäre es aber zweifellos!

Bei Veröffentlichung von Windows XP wären 10 Jahre problemlos, nur 2 Jahre Haltbarkeit ein schlechter Witz gewesen. Kurz vor Ende des Support wären 2 Jahre aber schon wieder viel zu viel gewesen. Wie soll man das Jahre vorher schon wissen, um ein passendes Ablaufdatum zu bestimmen ... IT ist nicht wie Käse und Joghurt.

Statt echter Verbesserung der Sicherheit kommt letztlich nur Geldmacherei mit der Angst vor Lücken oder Angst vor Haftung dabei heraus ...
 
@call_me_berti: es heißt ja auch extra mindestdatum und man kann es ja wie MS machen, X jahre nach veröffentlichung oder wenn Y passiert, bspw der 2 Nachfolger erschienen sind je nachdem was später kommt.
 
@My1: So Flexibel ist und wird nie ein Gesetz.
Das wäre so als wolltest du das ein Politiker auch nur einen Moment über das nachdenkt was da sagt.
 
Ist das der richtige Ansatz? Sollten nicht in erster Linie jene, die das Produkt Internet anbieten, in die Pflicht genommen werden? Kaufe ich beispielsweise ein Programm, habe ich doch keinen Anspruch auf 10 Sicherheits-layer mit Schutzgarantie sondern lediglich darauf, daß es tut, was es verspricht.
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.