Es gibt zwei Arten, die derzeitige Situation nach dem globalen Ransomware-Angriff mit der Malware WannaCry zu beschreiben. Die Kurzform lautet, pardon: Die Kacke ist mächtig am Dampfen.

Die etwas längere, diplomatischere Formulierung kommt von Microsoft, sie steht in diesem bemerkenswerten Blogpost: Es sei "schmerzhaft" gewesen, von so vielen betroffenen Unternehmen und Einzelpersonen zu erfahren. Microsoft ergreife nun eine "höchst ungewöhnliche Maßnahme": Es verteilt ein Notfall-Update auch für jene Betriebssystemversionen, die es eigentlich schon lange nicht mehr unterstützt. In erster Linie ist das Windows XP.

Natürlich hätte Microsoft ebenso gut sagen können: Wir hatten euch vor der Zeitbombe gewarnt. Und zwar schon vor mehr als vier Jahren. Damals drängte das Unternehmen die vielen XP-Nutzer in aller Welt zum Umstieg auf eine neuere Windows-Version. "Windows XP basiert auf einer Sicherheitsarchitektur, die nicht mehr den heutigen Anforderungen entspricht", sagte zum Beispiel der damalige Chef der deutschen Windows-Sparte, Oliver Gürtler.

Anfang 2013 war XP weltweit immer noch auf vier von zehn Desktop-Rechnern installiert. Heute läuft das 2001 eingeführte System dieser Messung zufolge auf sieben Prozent aller stationären Computer – was immer noch viel ist.

In gewisser Weise ist Microsoft Opfer seines eigenen Erfolgs geworden. XP war ein Hit. Nicht nur für Privatanwender, sondern auch für Unternehmen und andere Institutionen. Selbst militärische Einrichtungen haben es eingesetzt.

Um mal ein besonders eindrückliches Beispiel zu geben: Selbst auf den mit Atomsprengköpfen ausgerüsteten U-Booten der britischen Marine war bis mindestens 2016 eine Variante von XP installiert, wahrscheinlich hat sich daran seither nichts geändert.

Nun hängt so ein U-Boot nicht am Internet, was die Infektion mit einer Malware schon extrem viel unwahrscheinlicher macht. Aber das Beispiel veranschaulicht etwas anderes: Viele Institutionen haben lange keinen zwingenden Anlass gesehen, die Mühen eines Systemwechsels auf sich zu nehmen.

Updates kosten Zeit und Geld

Systemadministratoren können mehrere Gründe aufzählen, warum Unternehmen und Organisationen so zögerlich waren und sind. Der XP-Nachfolger Vista etwa galt als unausgereift und wurde zum Flop, er war also nie eine echte Option. Peripherie-Geräte wie Drucker, von industriellen oder medizinischen Spezialgeräten und -programmen ganz zu schweigen, müssen auf das jeweilige System angepasst werden und dabei mitunter bestimmte rechtliche Vorgaben erfüllen – niemand baut so ein ganzes Ökosystem gerne um. Es gilt: "Never change a running system".

Mit beträchtlichen Kosten, vielleicht auch Produktionsausfällen, wäre es ohnehin verbunden, was sich zum Beispiel Krankenhäuser oder Mittelständler nicht immer leisten können oder wollen. Das gilt auch für den Support, den Microsoft noch immer für XP anbietet. Solang alles funktionierte, durften sich XP-Nutzer bestätigt fühlen. Wer hätte sich vor vier Jahren schon eine Ransomware-Attacke wie die jetzige vorstellen können?

Vorerst ist die gestoppt. Die Erpresser-Software verbreitet sich momentan nicht mehr weiter, weil Sicherheitsforscher – eher zufällig – den Kill Switch gefunden haben. Vorbei ist die Gefahr aber nicht. IT-Sicherheitsexperten sagen bereits, dass die Täter vom Freitag eher amateurhaft vorgegangen seien. Der nächste Angriff könne viel bösartiger ausfallen, die Anleitung – sprich: der Code – stehe schließlich offen im Netz.

Das Mindeste, was Nutzer von XP und anderen alten Windows-Systemen nun tun müssen, ist das Notfall-Update von Microsoft einzuspielen. Doch ähnlich wie bei einem Systemwechsel kann auch ein reines Update dazu führen, dass in einem komplexen Netzwerk plötzlich Dinge nicht mehr funktionieren. Es ist deshalb zu befürchten, dass manche Anwender es deshalb darauf ankommen lassen werden und einfach hoffen, dass sie auch dem nächsten Angriff irgendwie entgehen.