Es sollte klar sein, dass ein Betriebssystem, für das es keine Updates mehr bekommt, nur eine gewisse Zeit lang noch nutzbar ist.
Windows XP in einer sicheren Umgebung
Eine "sichere Umgebung" für XP ist eine virtuelle Box und/oder ein in sich geschlossenes Netzwerk.
Für Firmen gibt es eine relativ einfache Lösung:
Arbeitsstationen mit XP dürfen einfach keinen direkten Kontakt zur Außenwelt mehr bekommen. Der "Weg nach außen" muss in dem Fall einfach durch besondere Rechner/Server erfolgen, die für die Sicherheit der LAN-Rechner zu sorgen haben.
Jede Eingabe und jeder Dateneingang muss über einen "Filter-Rechner" (Sandbox) laufen. Die XP-Rechner wählen zwar dann direkt eine Internetseite an, können jedoch nur die Sandbox erreichen. Dieser Rechner fungiert als Proxy, hinter dem sich die anderen Rechner befinden.
Wählt man also mit einem XP-Rechner eine Internetseite an, so wird dieser Befehl vom Proxy aufgenommen und weitergeleitet. Die Antwort wird entsprechend so gefiltert, dass Malware und Fremdzugriffsversuche "im Sande verlaufen" (deshalb der Begriff "Sandbox") und nicht direkt beim XP-Rechner ankommen können.
Der Server bietet sowohl Zugriffsschutz von außen als auch Schutz vor Malware. Dazu muss er auch mit entsprechenden Malware-Filtern ausgestattet werden.
Ein weiterer Rechner regelt den E-Mail-Verkehr außerhalb des LAN. Er sorgt dafür, dass Mails ungehindert gesendet werden können, filtert jedoch alle eingehenden Mails auf Malware und andere Sachen.
Das hört sich relativ kompliziert an, ist (mit der richtigen Software) jedoch ein Klacks. Die für den Server nötige Hardware muss nicht einmal besonders leistungsfähig sein. Da seine Hauptaufgabe im Filtern liegt, halten sich die Ansprüche an die Hardware in Grenzen.
Mehr Aufwand muss man jedoch damit betreiben, die Filter so einzustellen, dass eben wirklich alles gefiltert wird. Es darf keine "Hintertür für eilige Notfälle geben".
Gleichzeitig muss man auch dafür sorgen, dass alle bisher nötigen Hintergrunddienste an jedem Rechner deaktiviert sind.
Mit Ende des XP-Supports werden die meisten von ihnen überflüssig.
Einzelne Virenscanner und deren automatischen Updates werden genauso überflüssig wie Firewalls auf den einzelnen Rechnern. Prüfungen auf Updates erübrigen sich genauso wie die Prüfung ob eine Internetverbindung besteht oder ob man eine legale Version benutzt.
Dazu kommen noch viee anderen Hintergrunddienste von XP, die nun keinen Sinn mehr ergeben und nur das LAN belasten würden.
Hier ist also seit langer Zeit erstmalig wieder das Wissen und Können des hauseigenen Admins gefragt. Er nuss wissen was wirklich noch nötig ist und einen Sinn ergibt. Alles andere muss er deaktivieren und deinstallieren.
Ein weiterer Punkt gewährleistet zusätzlich die Sicherheit des LAN:
Ab jetzt müssen alle Rechner so eingestellt werden, dass sie keine externen Datenträger mehr annehmen.
CD/DVD-Laufwerke müssen abgeklemmt werden und USB-Anschlüsse müssen entfernt oder gesichert werden.
Eigentlich ist es technisch relativ einfach zu bewerkstelligen. Man öffnet das Gehäuse und zieht einfach Strom- und Datenkabel ab. Schon sind die Eingänge und Geräte nicht mehr nutzbar.
Um zu verhindern, dass ein USB-Anschluss anderweitig genutzt wird, versieglt man (z.B. einen Keyboatrdanschluss) einfach mit etwas Heißkleber am entsprechenden Anschlusskabel.
Gleichzeitig schränkt man die Benutzerrechte so ein, dass der User keine Software mehr installieren kann und deaktiviert im BIOS alle nicht nötigen Anschlüsse.
Der Aufwand für diese Maßnahmen kann relativ hoch sein. Man kann ihn aber damit rechtfertigen ( oder aufrechnen) , dass es bedeutend mehr Aufwand bedeutet, wenn man alle Rechner umrüstet.
Viele Firmen haben ihre Hauptsoftware in der Regel im Laufe der Jahre so anpassen lassen, dass sie exakt auf den eigenen XP-Rechner-Verbund eingestellt ist.
Nur ein einziges zentrales Hauptprogramm kostet in der Regel mehr als ein Dutzend komplett neuer Rechner inklusive neuer Software.
---
Alternativ zu diesem Änderungsaufwand kann man aber auch einen Hauptserver so konfigurieren, dass er jeden Tag alle angeschlossenen XP-Rechner mit einem neuen Betriebssystem ausstattet. Die Rechner werden dann einfach so eingestellt, dass sie automatisch alle Daten auf einem zentralen Datenserver ablegen.
---
Eine andere Kombination ist, dass die XP-Rechner einfach nur noch reine Arbeitsstationen sind und alle andere Software sich auf einem zentralen Server befindet. Die XP-Rechner enthalten also nur noch ein Betriebssystem mit dem man die Software auf dem Server ansteuert.
So etwas ist dann ein Intranet .. sozuagen das eigene kleine Internet der Firma in dem der einzelen Rechner keine besonderen Aufgaben mehr hat. Theoretisch kann er also sowohl ein MAC, Linux oder Windows-Betriebssystem enthalten. Es spielt keine Rolle mehr.
Ein Intranet aufzubauen und zu konfigurieren erfordert natürlich etwas Vorarbeit. Auf lange Sicht spart es aber Kosten und viel Arbeitszeit. Dadurch sind Entwicklungsänderungen bei PC-Software auch nicht mehr relevant. So lange der Rechner läuft, kann er immer alles benutzen, was das Intranet zur Verfügung stellt.
Jetzt kommen wir zur "Sicheren Umgebung im Privathaushalt"
Wer die technischen Möglichkeiten hat, kann die gleichen Maßnahmen wie eine Firma ergreifen. Während es bei einer Firma aber auf lange Sicht viel Geld einsparen kann, kann der Privathaushalt dadurch nur selten Geld einsparen.
Bevor man sich ein eigenes geschlossenes LAN/Intranet aufbaut, sollte man das dafür nötige Geld besser in einen neuen Rechner investieren.
Der alte XP-Rechner sollte dann als Einzelplatzrechner genutzt werden. Ohne Internetanbindung oder Zugang zu anderen Rechnern, besteht kaum Gefahr. Man muss eben nur darauf achten, dass man jeden Datenträger erst auf Malware kontrolliert, bevor man den XP-Rechner mit neuen Daten versorgt.
Etwas einfacher und günstiger geht es, wenn man das alte XP nur noch als zweites System benutzt. Als Hauptsystem dient ein modernes Betriebssystem. Beim Starten des Rechners kann man dann in einige Sekunden auf XP umschalten. Macht man es nicht, so startet der Rechner mit dem sicheren neuen Hauptsystem.
Alternativ installiert man das XP gleich in einer sicheren Umgebung = man installiert sein geliebtes XP einfach in einer virtuellen Box. Hat man einen genügend leistungsfähigen Rechner, kann er dieses "Huckepacksystem" recht gut betreiben. Ein paar Einschrnkugnen muss man jedoch in Kauf nehmen:
XP steuert nicht die echte Hardware an, sondern nur noch eine simulierte virtuelle. .
Volles Risiko: Weiterhin mit Windows XP ins Internet
Der Rechner ist zu alt für ein neues Betriebssystem, man will aber trotzdem damit noch weiterhin ins Internet gehen.
Machen wir uns nichts vor. Das kann/wird eine gewisse Zeit lang noch gut gehen - am Ende wird dein XP aber immer wieder korrumpiert werden.
Wie lange ist mein XP noch sicher ?
Am 8. April 2014 wird es das letzte Update geben. Der nächste Patchday ist einen Monat später. So lange besteht genau so viel Gefahr für dein XP, wie in den vergangenen Jahren. Rund einen Monat hast du also noch Zeit.
Die nächste Gnadenfrist beruht auf deinem Antiviren-Programm
Sobald die Updates für XP-Versionen eingestellt werden, endet auch diese Frist.
Eine letzte Frist gibt dir deine Firewall
Ich spreche nicht von der Windows-Firewall, sondern vor einer zusätzlichen, die die betriebssystemeigene ersetzt. Sie kann jetzt (für eine gewisse Zeit) wenigstens noch dafür sorgen, dass dein XP sich zwar Malware fängt, sie aber nicht weiter verbreitet. Doch diese Frist ist ohne funktionierendes Antivirensystem relativ kurz bemessen.
Ich persönlich habe mal rund 1 Jahr ein altes Windows 98 völlig schutzlos im Internet benutzt. Es gab kein Antivirensystem mehr und der Rechner war auch zu alt um noch genug Power für eins zu haben. Trotzdem habe ich mir keine Malware eingefangen.
Aus Sicherheitsgründen hatte ich in dieser Phase aber alle Daten auf einer anderen Festplatte abgelegt und immer eine fertig eingerichtete zu Hand. Sobald nur die leisesten "Ungereimheiten" auftauchten, wurde die Platte mit W98 ausgetauscht.
Mein aktuelles XP läuft faktisch seit Ende 2008 ohne alle MS-Updates. Seine einzige Sicherheit beruht auf einem AV und einer alternativen Firewall. Bis heute habe ich mir auch noch keine Malware eingefangen..Sobald das AV aber kein XP mehr unterstützt, ist es mit dieser Sicherheit völlig vorbei.
Dann muss ich wieder die gleichen Tricks wie damals mit W98 benutzen:
Keinerlei Javascrpte automatisch zulassen, keine Flashinhalte nutzen, keine unbekannten Dateien annehmen.
Das bedeutete aber, dass ich bei jedr Inetrnetseite dutzende Male gefragt wurde, ob ich eine Funktion zulassen wollte. Ich muss genau überlegen (oder ausprobieren) ob die entsprechende Funktion wirklich nötig war und auf meine Entscheidungkam es dann an, ob ich mir einen Virus einfangen würde.
Der Aufwand ist dabei so hoch, dass man nicht von Surfen sprechen kann. Man konnte es aber noch benutzen. Besser als gar kein Internet.
Völlig ungesichert kann man ein Windows XP auf gar keinen Fall weiter benutzen.
Selbst die besten Tricks halten nicht lange genug vor, um es dauerhaft vor Schaden zu schützen. Bleibt also alternativ nur noch, dass man mit einem XP-Rechner nicht mehr ins Internet geht und damit die größte Gefahrenquelle meidet.
