Was Unternehmen zum Windows-10-Ende beachten müssen

Ungepatchte Schwachstellen: Einladung für Angreifer

Cyberkriminelle nutzen automatisierte Scans, um Systeme zu identifizieren, die nicht mehr gepatcht werden. Wie bereits ältere Versionen der Software wird Windows 10 damit zu einem attraktiven Ziel. Beispiele aus der Vergangenheit zeigen: Systeme, die nicht rechtzeitig aktualisiert werden, sind besonders gefährdet. Ein sehr prominenter Fall ist WannaCry von 2017. Damals hatte Microsoft für ältere Windows-Versionen ein Patching-Update bereitgestellt. Allerdings setzten viele Organisationen es nicht um oder nutzten veraltete Systeme, sodass Ransomware weitreichenden Schaden anrichten konnte.

Compliance- und Haftungsrisiken durch bekannte Schwachstellen

Unternehmen stehen nicht nur vor technischen Problemen, sondern auch vor rechtlichen und regulatorischen Risiken. Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) verlangen angemessene technische und organisatorische Maßnahmen. Dazu gehört in der Regel, dass Software regelmäßig mit Sicherheits-Updates versorgt wird. Wenn bekannte Schwachstellen nicht behoben sind, kann das als Vernachlässigung gelten.

Kritische Industriezweige, dazu zählen etwa das Gesundheitswesen, Finanzdienstleistungen oder kritische Infrastrukturen, unterliegen dabei oft strengen Vorschriften. Etwa müssen Systeme bestimmte Sicherheitsstandards erfüllen. Wird Windows 10 betrieben, nachdem der Support ausgelaufen ist, fehlt die juristische Handhabe. Dadurch könnte im schlimmsten Fall auch die Absicherung durch eine Versicherung wegfallen.

Die Microsoft-Exchange-Server-Krise im Jahr 2021, die durch die ProxyLogon- und ProxyShell-Sicherheitslücken ausgelöst wurde, verdeutlicht dieses Risiko. Diese kritischen Schwachstellen ermöglichten es Angreifern, die vollständige Kontrolle über ungepatchte E-Mail-Server zu übernehmen, was zu massivem Datendiebstahl und Ransomware-Angriffen führte. So automatisierten sie ihre Scans und kompromittierten anfällige Systeme innerhalb weniger Stunden, nachdem die Schwachstellen öffentlich bekannt wurden. Die Auswirkungen waren global, betrafen selbst hochrangige Institutionen und zeigten eine erschreckende Geschwindigkeit:

• Die Europäische Bankenaufsichtsbehörde (EBA): War gezwungen, ihr gesamtes E-Mail-System offline zu nehmen, um den Angriff zu stoppen.
• Das norwegische Parlament: Bestätigte, dass seine Systeme kompromittiert und Daten abgegriffen wurden.
• Schnelle globale und lokale Ausbreitung: Das deutsche IT-Magazin Heise berichtete, dass weltweit fast 1.900 Exchange-Server innerhalb von nur 48 Stunden über ProxyShell infiziert wurden. Von den rund 50.000 aus dem Internet erreichbaren Servern in Deutschland waren noch über 7.800 anfällig.

Dieses Szenario gibt einen direkten Ausblick auf die Bedrohungslage für Windows 10. Da der Support nun endete, wird jede neue Sicherheitslücke genauso schnell ausgenutzt – jedoch mit einem entscheidenden Unterschied: Es wird niemals einen Patch geben, sodass diese Systeme dauerhaft schutzlos sind.

„Der Wechsel auf ein neues Betriebssystem ist für viele Unternehmen und öffentliche Einrichtungen weit mehr als ein Routine-Update. Er gleicht einem strategischen Projekt, das eine genaue Planung und enge Abstimmung zwischen IT, Fachabteilungen und Management erfordert.“

Andrew Saula, Baobab Insurance

Was nicht vergessen werden darf: Migration ist weit mehr als ein technisches Routineprojekt. Es hat organisatorische, finanzielle und sicherheitsrelevante Konsequenzen, vor allem, wenn Unternehmen oder öffentliche Einrichtungen mit komplexen IT-Landschaften arbeiten. Genau hier zeigt sich, warum ein Betriebssystemwechsel schnell zur Systemkrise werden kann. Um dies zu vermeiden, sollten Unternehmen folgendes beachten:

• Technische Inkompatibilitäten: Alte Hardware (Prozessoren, BIOS/UEFI, Chipsatz) erfüllt möglicherweise nicht die Anforderungen eines neueren Betriebssystems. Es besteht das Risiko, dass Spezialsoftware, branchenspezifische Tools wie zum Beispiel Medizingeräte-Software, Steuer- oder Berechnungssoftware unter Windows 11 oder aktuellerer Umgebung fehlerhaft oder gar nicht mehr laufen.
• Aufwände bei Migration und Schulung: Es reicht nicht nur, das neue Betriebssystem zu installieren. Mitarbeitende müssen geschult werden, Support-Prozesse angepasst werden, Datenmigration muss geplant sein, Backups und Recovery vorbereitet werden. Werden diese Phasen nicht realistisch eingeplant, entstehen Projektverzögerungen und Stress, insbesondere bei kleinen und mittleren Unternehmen mit begrenzten Ressourcen.
• Netzwerk- und Sicherheitsarchitektur: Gemischte Umgebungen aus alten und neuen Systemen bringen eigene Risiken mit sich. Denn alte Systeme können als Einfallstor dienen und lateral im Netzwerk Schaden anrichten, wenn sie nicht ausreichend isoliert sind.
• Finanzielle Risiken und Versicherbarkeit: Wenn ein Sicherheitsvorfall auf mangelnde Sicherheit zurückgeführt werden kann, also etwa Systeme betrieben werden, die keine Sicherheits-Updates mehr erhalten, kann dies zu Haftung, Strafen oder dem Verlust der Versicherungsdeckung führen.

Wie der Übergang sicher und effizient gelingt

Der Wechsel auf ein neues Betriebssystem ist für viele Unternehmen und öffentliche Einrichtungen weit mehr als ein Routine-Update. Er gleicht einem strategischen Projekt, das eine genaue Planung und enge Abstimmung zwischen IT, Fachabteilungen und Management erfordert. Die größten Risiken entstehen dabei oft nicht durch die technische Migration selbst, sondern durch fehlende Vorbereitung, unklare Verantwortlichkeiten oder mangelnde Kommunikation. Wer diesen Prozess jedoch strukturiert angeht, kann typische Fehlerquellen frühzeitig identifizieren und entschärfen.

Damit die Einführung des neuen Systems nicht zur Schwachstelle für die gesamte Unternehmenssicherheit wird, sollten Organisationen bei der Migration auf ein neues Betriebssystem auf folgende Punkte achten:

• Frühzeitige Analyse und Bestandserhebung: Der erste Schritt jeder Migration ist eine präzise Inventarisierung der bestehenden IT-Landschaft. Dazu gehören nicht nur Desktop-PCs und Laptops, sondern auch Server, mobile Endgeräte, Peripheriegeräte wie zum Beispiel Drucker, Scanner und medizinische Geräte, sowie branchenspezifische Spezialsoftware. Unternehmen sollten systematisch erfassen, welche Systeme kompatibel mit Windows 11 oder einem anderen Zielbetriebssystem sind und wo Hardware- oder Software-Updates erforderlich sind. Oft wird unterschätzt, wie viele versteckte Systeme im Einsatz sind – sogenannte Schatten-IT oder nicht registrierte Geräte. Laut der TÜV-Cybersecurity Studie 2025 sorgen diese bei 55 Prozent der befragten Unternehmen für Probleme. Eine lückenlose Erfassung verhindert daher, dass kritische Systeme übersehen werden und später zu Sicherheitsrisiken werden.
• Priorisierung kritischer Systeme: Zuerst sollten die Systeme migriert werden, die unmittelbar für den Geschäftsbetrieb oder die Sicherheit notwendig sind. Dies gilt für Produktionsmaschinensteuerungen, Systeme für Kundendaten, E-Mail- und Kommunikationsserver. Danach folgen Systeme mit mittlerer Relevanz. Weniger kritische Endgeräte können in einer späteren Phase migriert werden. Durch diese schrittweise Vorgehensweise lassen sich Ausfälle minimieren und Ressourcen gezielt einsetzen.
• Pilotprojekte und Testing: Bevor eine Software in der gesamten Organisation eingeführt wird, sollten Unternehmen kleine Pilotprojekte durchführen: ausgewählte Abteilungen oder Arbeitsgruppen erhalten frühzeitig Zugriff auf das neue Betriebssystem. So lassen sich Kompatibilitätsprobleme mit spezieller Software oder Hardware rechtzeitig identifizieren. Auch Usability-Aspekte werden sichtbar, weil Mitarbeitende Feedback geben können, welche Funktionen funktionieren oder wo möglicherweise Schulungsbedarf besteht. Durch diese kontrollierten Tests sinkt das Risiko, dass beim flächendeckenden Rollout unerwartete Probleme den Betrieb lahmlegen.
• Schulungen und Change Management: Eine Migration ist nicht nur eine technische, sondern auch eine kulturelle Veränderung. Mitarbeitende müssen neue Funktionen, Bedienoberflächen und Sicherheitsrichtlinien verstehen. Fehlendes Training führt oft zu Frust, Produktivitätsverlust und sogar Sicherheitsvorfällen, weil beispielsweise Funktionen nicht verstanden werden. Change Management bedeutet daher: rechtzeitige Kommunikation, strukturierte Schulungsangebote, zentrale Ansprechpartner im Support und interne Multiplikatoren, die das Team unterstützen.
• Temporäre Schutzmaßnahmen: Nicht alle Systeme lassen sich sofort umstellen – etwa wenn Spezialsoftware noch kein Update anbietet oder Hardware nicht kurzfristig ersetzt werden kann. Solche Übergangssysteme müssen durch Netzwerksegmentierung abgesichert werden, damit alte Systeme nicht unkontrolliert mit dem Rest der IT kommunizieren. Aber auch verstärktes Monitoring und der Einsatz spezieller Sicherheitslösungen wie Intrusion Detection Systems (IDS) gehören dazu. Extended Security Updates (ESU) von Microsoft sind übrigens nur eine kurzfristige Option: sie kaufen Zeit, ersetzen aber keine Migration.
• Backups und Wiederherstellungspläne: Ein unterschätzter, aber entscheidender Aspekt ist ein getestetes Notfall- und Wiederherstellungskonzept. Backups allein reichen nicht, wenn sie nicht regelmäßig überprüft und auf Wiederherstellbarkeit getestet werden. Unternehmen sollten Szenarien durchspielen: Was passiert, wenn ein System während der Migration ausfällt?, Wie schnell können wir Daten und Betrieb wiederherstellen? Je kürzer die Recovery Time Objective (RTO) und Recovery Point Objective (RPO), desto geringer der Schaden. Ein solider Backup- und Recovery-Plan verhindert, dass eine gescheiterte Migration zur langwierigen Betriebsunterbrechung wird.
• Umfassende Absicherung von digitalen Risiken: Selbst das modernste Betriebssystem nützt wenig, wenn die Organisation unsicher arbeitet. Phishing-Mails, Social-Engineering-Angriffe oder versehentlich unsichere Konfigurationen sind typische Einfallstore. Zu einem ganzheitlichen IT-Sicherheitskonzept gehören daher auch regelmäßige Awareness-Schulungen, Phishing-Simulationen, IT-Krisenplänen mit konkreten Handlungsempfehlungen und klare Kommunikationskanäle für Verdachtsfälle. Denn eine starke Sicherheitskultur ergänzt technische Maßnahmen mit verantwortungsbewusstem Verhalten der Mitarbeitenden. Bei all diesen IT-Schutzmaßnahmen erhalten Unternehmen übrigens Unterstützung von Versicherungsanbietern wie Baobab Insurance. Neben den genannten Punkten deckt eine Cyberversicherung unter anderem auch IT-Forensik, Betriebsunterbrechung und Krisenkommunikation ab. Eine Vertrauensschadenversicherung wie eCrime schützt zusätzlich vor Risiken wie CEO-Fraud oder Deepfakes, die klassische Schutzsysteme oft umgehen. Unternehmen sollten sich daher für eine kombinierte Cyber- und Vertrauensschadens-Police entscheiden, um Sicherheit, Compliance und Versicherbarkeit gleichermaßen zu gewährleisten.

IT-, Software-, Telekommunikations- und Tech-Unternehmen benötigen zudem eine IT-Haftpflicht-Police, um sich gegen mögliche finanzielle Schäden im Fall eines Sicherheitsvorfalls zu schützen.

Kleine und mittlere Unternehmen erhalten übrigens im Rahmen des Förderprogramms Förderung beratender Leistungen für Unternehmen Unterstützung durch das Bundesamts für Wirtschaft und Ausfuhrkontrolle. So können sie sich die nötige Expertise dazuholen, um ihre komplexen IT-Projekte zu planen. Die nicht rückzahlbaren Zuschüsse decken explizit Beratungen zur Cybersicherheit ab, etwa für Risikoanalysen oder die Umsetzung von DSGVO-konformen Prozessen. Somit können sie die Kosten für die strategische Vorbereitung auf das Windows-10-Aus erheblich senken.

Zusammenspiel aus Sicherheit, Compliance und Versicherungsschutz

Das Support-Ende von Windows 10 ist kein technischer Randfall – es ist eine strategische Herausforderung. Die Migrationsplanung muss sofort beginnen! Relevante Systeme müssen inventarisiert, priorisiert, getestet und schrittweise migriert werden. Interne Ressourcen und externe Expertise, zum Beispiel IT-Beratende und Sicherheitsexperten müssen eingeplant werden und eine robuste Sicherheits-, Back-up- und Wiederherstellungsstrategie aufgesetzt werden. Um Sicherheit, Compliance und Versicherbarkeit gleichzeitig zu gewährleisten, sollten Organisationen mögliche digitale Risiken über Cyber- und Vertrauensschadenversicherungen sowie IT-Haftpflicht-Policen absichern. Wer all diese Maßnahmen früh und konsequent ergreift, verhindert, dass das Support-Ende von Windows 10 zur Systemkrise wird. Stattdessen wird daraus eine echte Chance, IT-Sicherheit, Betriebsstabilität und Zukunftsfähigkeit zu stärken.

Über den Autor:
Andrew Saula ist IT-Sicherheitsleiter bei Baobab Insurance, einem Assekuradeur für digitale Risiken. Zuvor war er stellvertretender Chief Information Security Officer (CISO) der TUI Group. In dieser Funktion war er für die umfassende Cybersicherheit der TUI Hotels, der Fluggesellschaft (TUI fly) und des Kreuzfahrtgeschäfts verantwortlich und schützte die Daten und den Betrieb für Millionen von Reisenden.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.