Windows XP? Ja, Sie haben richtig gelesen, wir sprechen über das Betriebssystem, dessen Support Microsoft im April 2014 eingestellt hat. Auf Arbeitsplatzrechnern im Office-Bereich dürfte es inzwischen durch modernere Betriebssysteme ersetzt sein, denn wahrscheinlich kommt niemand auf die Idee, einen Rechner mit Internet-Verbindung mehr als vier Jahre lang ohne Sicherheitsupdates laufen zu lassen.
In der Industrie sieht das anders aus; Windows XP ist immer noch im Einsatz, und häufig sogar noch mit SP1. Im Grund ist das nicht weiter problematisch, solange das Produktionsnetz vom Office-Netz abgekoppelt ist und Software und Hardware ihren Dienst tun, denn die Rahmenbedingungen sind hier andere als in der Office-Welt. Höchste Priorität in der Industrie hat die Vermeidung von Unterbrechungen. Das war schon in der ersten Zeit nach Stuxnet, als die ersten Virenschutzlösungen für die Industrie propagiert wurden, der Grund dafür, dass die Anlagenbetreiber den Herstellern die Produkte nicht gerade aus den Händen gerissen haben.
Während Rechner im Büro regelmäßig heruntergefahren werden, so dass Updates ohne Beeinträchtigung von Arbeitsprozessen eingespielt werden können, laufen Industrie-PCs ohne Pause. Sie steuern Maschinen und Anlagen, bei denen nicht geplante Unterbrechungen zu Produktionsausfällen führen; im schlimmsten Fall können Personen zu Schaden kommen. Produktionsausfälle wiederum ziehen erhebliche Kosten nach sich in Form von unbrauchbar gewordenen Grundstoffen, für die Reinigung von Anlagenteilen, für Konventionalstrafen für nicht fristgerechte Lieferung. Updates sind nur während der Wartungsfenster möglich, und diese sind sehr viel seltener, als der Virenschutz neue Signaturen oder das Betriebssystem Sicherheitsupdates hereinbekommt.
Weiterhin sind Umstellungen und Erneuerungen in der Industrie erheblich aufwendiger als im Büroumfeld. Beim Industrie-PC spielt das Betriebssystem insofern eine sehr große Rolle, als die Steuerungsanlagen speziell auf das Betriebssystem abgestimmt werden müssen. Maschine und Rechner bilden eine enge Einheit, und das möglichst während der gesamten Laufzeit der Anlage, die zehn Jahre oder mehr betragen kann. Jede Änderung am Betriebssystem zieht Aufwand und Kosten für die erneute Anpassung von Anwendungen und Treiber nach.
Abgesehen davon, dass aktuelle Entwicklungen wie die zunehmende Vernetzung für die ursprünglich als Inseln konzipierten Industrie-Lösungen eine Bedrohung darstellen, haben Industrie-PCs eine eingebaute „Schwachstelle“: einen USB-Anschluss. Eigentlich ist sie für Service-Techniker gedacht, die Maschinendaten auslesen oder Updates einspielen. Aber wie an den Büro-Rechnern lassen sich an die Slots der Industrie-Rechner auch andere Geräte anschließen, die möglicherweise Schadcode einbringen – siehe Stuxnet.
Industrie-PCs sind also auch ein Fall für eine DLP-Lösung, genauer gesagt für Device Control und die Sperrung des Ports für alle USB-Geräte, die nicht angeschlossen werden sollen. Endpoint Protector, und damit sind wir wieder bei Windows XP, schafft das auch für dieses Uralt-Betriebssystem.
