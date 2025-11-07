Der 14. Oktober 2025 markierte das Ende der Sicherheitsupdates für Windows 10. Für Schätzungen zufolge weltweit rund 400 Millionen PCs stellt dies ein Risiko dar [1]. Denn ab diesem Tag bleiben Schwachstellen ungepatcht, was Systeme zum Einfallstor für Cyberangriffe macht. Besonders kritisch ist dies für kleine und mittlere Unternehmen (KMU), die oft nicht über die nötigen Ressourcen für ein zeitnahes Upgrade verfügen.
Wenn der Betriebssystem-Wechsel zur Systemkrise wird
Auf ein neues Betriebssystem zu wechseln, ist für Unternehmen keine reine IT-Formalität. Er beeinflusst die gesamte Unternehmensarchitektur: von der Kompatibilität älterer Software bis hin zur Schulung der Mitarbeitenden. Zudem müssen Ressourcen für Tests, Sicherheitskonzepte und Ausfallpläne bereitgestellt werden. Unternehmen, die diese Komplexität unterschätzen, riskieren nicht nur technische Probleme, sondern auch massive Störungen im Tagesgeschäft.
Welche Konsequenzen mangelnde Vorbereitung haben kann, zeigt der Ransomware-Angriff WannaCry 2017. Innerhalb von 24 Stunden waren über 300.000 Systeme in 150 Ländern betroffen, der Schaden belief sich auf Milliarden.
Auch die Microsoft-Exchange-Server-Krise im Jahr 2021 verdeutlicht dieses Risiko [2]. Ausgelöst durch Sicherheitslücken ProxyLogon und ProxyShell konnten Angreifergruppen die vollständige Kontrolle über ungepatchte E-Mail-Server übernehmen, was weltweit zu massivem Datendiebstahl und Ransomware-Angriffen führte.
Besonders hohes Gefahrenpotenzial für bestimmte Branchen
Generell sind nicht alle Sektoren gleichermaßen gefährdet. Besonders verwundbar sind Branchen, die auf kontinuierliche Verfügbarkeit und vernetzte Prozesse angewiesen sind. Dazu zählen beispielsweise Industrie und Fertigung, Logistik und Transport sowie der Bildungssektor. Hohe Kosten, unterbrochene Lieferketten und die Gefährdung personenbezogener Daten und Forschungsinformationen drohen im schlimmsten Fall. Kritische Industriezweige unterliegen zudem oft strengen Vorschriften. Etwa müssen Systeme bestimmte Sicherheitsstandards erfüllen. Wird Windows 10 betrieben, nachdem der Support ausgelaufen ist, fehlt die juristische Handhabe. Dadurch könnte im schlimmsten Fall auch die Absicherung durch eine Versicherung wegfallen.
Zusätzlich verschärfen neue Bedrohungsszenarien wie KI-gestützte Phishing-Kampagnen oder Deepfake-basierte Social-Engineering-Angriffe das Risiko. Sie machen Angriffe nicht nur häufiger, sondern auch raffinierter.
Best Practices für einen sicheren Übergang
Angesichts der Risiken darf ein Betriebssystemwechsel nicht als isoliertes IT-Projekt betrachtet werden. Entscheidend ist ein ganzheitlicher Ansatz, der IT, Organisation und Risikomanagement verbindet. Für einen erfolgreichen und sicheren Übergang sollten Unternehmen und öffentliche Einrichtungen daher folgendes bedenken:
- Frühzeitig und strategisch planen:
Die Hardware und spezialisierte Softwarelösungen müssen auf Tauglichkeit getestet werden. IT, Compliance und Management brauchen eine gemeinsame Kommunikationsbasis, um Verzögerungen und Fehlentscheidungen zu vermeiden. Zudem helfen kleine Testumgebungen, Schwachstellen im Migrationsprozess frühzeitig zu identifizieren.
- Strategische Stolperfallen im Blick behalten:
Lieferanten- und Partnerabhängigkeiten müssen analysiert werden, denn schon ein einziger unsicherer Zulieferer kann das gesamte Unternehmen angreifbar machen. Auch Zertifizierungen, etwa Branchenstandards wie ISO 27001, oder andere branchenspezifische Regularien können durch eine Migration tangiert werden [3]. Gleichzeitig können moderne Endpoint-Management-Lösungen Unternehmen und öffentliche Einrichtungen bei der Umstellung helfen. Denn die Automatisierung unterstützt bei der Verteilung von Updates und reduziert Fehler, die durch manuelle Eingriffe entstehen können.
- Digitale Risiken ganzheitlich absichern:
Ein ganzheitliches IT-Sicherheitskonzept muss über rein technische Aspekte hinausgehen und Präventivmaßnahmen wie Phishing-Simulationstrainings, Checklisten für Patches, Backup- und Recovery-Pläne beinhalten. Denn nur durch geschulte Mitarbeitende, die verantwortungsbewusst handeln, entsteht eine robuste Organisation. Cyberversicherungen unterstützen bei den entsprechenden Maßnahmen, da sie nicht nur IT-Forensik und Betriebsunterbrechung abdecken, sondern auch aktiv bei der Präventionsarbeit unterstützen.
Weil digitale Angriffsmethoden wie CEO Fraud und Deepfakes klassische Schutzsysteme umgehen, sollten Unternehmen zusätzlich eine Vertrauensschadenversicherung abschließen. Software-, Telekommunikations- und Tech-Unternehmen brauchen außerdem eine IT-Haftpflichtpolice, um sich gegen mögliche finanzielle Schäden aus Sicherheitsvorfällen abzusichern.
- Schatten-IT und operative Risiken im Griff behalten:
Laut TÜV-Cybersecurity-Studie 2025 hat fast jedes achte Unternehmen Probleme mit nicht registrierten IT-Geräten [4]. Diese können bei einer Migration übersehen werden – mit fatalen Folgen. Ebenso kritisch: fehlende, getestete Wiederherstellungsstrategien. Nur wer die Schatten-IT kontrolliert und robuste Backup-Konzepte etabliert, kann Ausfallzeiten und Datenverlust minimieren.
KMU können für die Planung ihrer IT-Projekte übrigens auf externe Expertise zurückgreifen. Nicht rückzahlbare Förderprogramme, wie sie etwa das Bundesamt für Wirtschaft und Ausfuhrkontrolle anbietet, senken die Kosten und erleichtern es, Cybersicherheit strategisch anzugehen.
Sicherheit, Compliance und Versicherbarkeit im Gleichgewicht
Das Ende des Windows-10-Supports ist mehr als ein Softwarewechsel – es ist ein Sicherheitsweckruf. Unternehmen, die jetzt handeln, können Ausfälle, Compliance-Verstöße und finanzielle Schäden vermeiden. Entscheidend ist ein strukturierter Ansatz, der strategische Planung, Schulungen, Sicherheitsupdates, die Kontrolle der Schatten-IT und eine Absicherung durch kombinierten Versicherungsschutz vereint. So lässt sich verhindern, dass aus einem Softwarewechsel keine kostspielige Systemkrise wir.
Andrew Saula
Andrew Saula ist IT-Sicherheitsleiter bei Baobab Insurance, einem Assekuradeur für digitale Risiken. Zuvor war er stellvertretender Chief Information Security Officer (CISO) der TUI Group. In dieser Funktion war er für die umfassende Cybersicherheit der TUI Hotels, der Fluggesellschaft (TUI fly) und des Kreuzfahrtgeschäfts verantwortlich und schützte die Daten und den Betrieb für Millionen von Reisenden.
[1] https://www.windowscentral.com/microsoft/windows-10/hp-and-dell-say-half-of-todays-pcs-still-run-windows-10
[2] https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210305_Exchange-Schwachstelle.html
[3] https://certification.tuv.com/de/de/audits-zertifizierungen/zertifiziernugen-it-security-datenschutz/iso-27001-zertifizierung/
[4] https://www.tuev-verband.de/studien/tuev-cybersecurity-studie-2025
