Windows 7, das mehr als angestaubte Microsoft-Betriebssystem, das 2009 als Nachfolger von Windows Vista herausgekommen war, läuft noch auf Rechnern der Bundesverwaltung in Bern.
watson hat nachgehakt.
Die Bundesverwaltung betreibt weiter Rechner mit einem uralten Betriebssystem, das gemäss den eigenen IT-Sicherheitsfachleuten ein Sicherheitsrisiko darstellt.
Den Beleg dafür gibt es im «Bericht Informationssicherheit 2024», den der Bundesrat am Mittwoch zur Kenntnis genommen hat. Eine Passage auf Seite 9 des Berichts lässt aufhorchen. Der Abschnitt dreht sich um die «Ablösung von veralteten Systemen und Netzwerk-Protokollen» und dort steht schwarz auf weiss:
Vor fünf Jahren berichteten Medien weltweit über das nahe Ende des Microsoft-Betriebssystems Windows 7 und warnten die User vor drohender Gefahr.
SRF titelte damals: «Windows 7 wird zum Sicherheitsrisiko.» Der Grund: Per 14. Januar 2020 stellte der Softwarekonzern aus Redmond die Sicherheits-Updates für das PC-System ein. Auch watson und sein Mutterhaus CH Media berichteten über die sich abzeichnende Gefahr für Millionen Nutzerinnen und Nutzer. Der Titel des entsprechenden Beitrags sprach – zugegeben etwas dramatisch formuliert – von einer tickenden Zeitbombe.
Etwas früher, im Dezember 2019, hatten die IT-Sicherheitsfachleute des Bundes die Öffentlichkeit auf das Problem hingewiesen. Die Melde- und Analysestelle Informationssicherung (Melani), die heute zum Bundesamt für Cybersicherheit (BACS) gehört, warnte eindringlich vor der weiteren Verwendung von Windows 7. Es sei davon auszugehen, dass die nicht mehr länger durch Sicherheits-Updates des Herstellers geschützten Produkte verstärkt im Fokus von Angreifern stehen.
Die gute Nachricht damals: Für Unternehmen und andere Organisationen gab es zumindest einen Aufschub. Denn diese Microsoft-Firmenkunden konnten noch bis 2023 Support und Sicherheits-Updates erwarten.
Das war vor zwei Jahren.
Aber aktuell läuft das uralte Windows-Betriebssystem, das im Oktober 2009 als Nachfolger von Windows Vista herausgekommen war, immer noch auf Rechnern der Bundesverwaltung. Wo genau, ist nicht bekannt.
watson-Redaktor Daniel Schurter ist über die verschlüsselte Messenger-App Threema auch anonym zu erreichen. Seine «Threema ID» lautet: ACYMFHZX. Oder du schreibst an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann verschlüsselte E-Mails verschicken.
Die Begründung folgt in einem weiteren Satz des oben erwähnten Berichts zur Informationssicherheit:
watson hat bei den Verantwortlichen nachgefragt. Die Antwort kommt von der Kommunikationsleiterin des Staatssekretariats für Sicherheitspolitik SEPOS:
Wichtig zu wissen: Das SEPOS koordiniert die Cyber-Sicherheitspolitik des Bundes und hat den weiter oben zitierten Bericht «Informationssicherheit Bund 2024» herausgegeben. Die Behörde gehört zum Eidgenössischen Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) und dort ist auch das neu geschaffene Bundesamt für Cybersicherheit angesiedelt.
In der IT-Branche wird das Vorgehen, Detailinformationen zu Systemen und deren Funktionsweise geheimzuhalten, um sich nicht angreifbar zu machen, als «Security through obscurity» bezeichnet. Das ist verpönt, denn Geheimhaltung oder Verschleierung von Informationen haben sich bezüglich Sicherheit «oft als ungenügend herausgestellt», wie bei Wikipedia nachzulesen ist.
Die Sprecherin des Bundes betont, sicherheitskritische Informationen über interne IT-Infrastrukturen würden grundsätzlich nicht veröffentlicht. Und weiter:
Die Öffentlichkeit erfährt also nicht, welche Bundesämter oder anderen Institutionen des Bundes mit spezialisierten Fachanwendungen arbeiten, die zwingend auf Windows 7 angewiesen sind, um zu laufen.
In der Stellungnahme heisst es beruhigend: Die Bundesverwaltung begegne «der Bedrohungslage im Bereich Cybersicherheit mit hoher Priorität und grossem Verantwortungsbewusstsein». Dazu gehöre insbesondere, «sicherheitsrelevante Schwachstellen systematisch zu identifizieren und wirksam zu beheben».
Interessantes Detail zum Schluss: 2020 berichtete inside-it.ch unter dem Titel «Deutsche Ämter verschlafen das Aus von Windows 7» über den Umgang der Bundesverwaltung mit der bekannten Problematik. Damals liess das zuständige Bundesamt für Informatik (BIT) noch verlauten, dass die Migration im Laufe desselben Jahres «komplett abgeschlossen» sein werde. Anmerkung: Kommentatoren weisen zu Recht darauf hin, dass das BIT nicht der alleinige IT-Leistungserbringer sei.
Wie alt ist deine System-Software? Und hast du den Schritt auf eine Open-Source-Alternative gewagt?
Schreib uns via Kommentarfunktion.
Solange die dazugehörige Maschine existiert und funktioniert, wird da auch nichts mehr dran gemacht.
Seitens der Hardware stehen auch noch zwei PCs in Reserve.
Never change a running system...
Ich kenne auch Kunden, welche noch mit DOS arbeiten. Absolut sicher, weil keine Internetanbindung oder USB-Anschlüsse. Heruntergefahren werden muss da auch nichts.
Und jetzt alles noch schnell auf Linux umzustellen ist sicher auch nicht so einfach und kostet auch, vor allem wenn man dafür dann noch Spezial Lösungen entwickeln muss.
Viele User rasten ja schon aus wenn sie ihr geliebtes Outlook nicht mehr haben, wenn es nur noch Open Office gibt. Wenn Sie dann aber feststellen, dass die Formeln in Ihren Excel-Tabellen nicht zu 100 % kompatibel sind, gibt es hoffentlich einen sicheren Panikraum im Gebäude. 😅