Am 14. Oktober 2025 endet der Support für Windows 10 – ein IT-Risiko für Millionen Systeme. Unternehmen riskieren einen Dominoeffekt, wie ihn WannaCry im Jahr 2017 zeigte. Prävention, Migration und Awareness sind jetzt gefragt.
WannaCry – ein Ransomwareangriff auf eine Sicherheitslücke in Microsoft Windows – sollte bei Unternehmen die Alarmglocken läuten lassen: Mit dem Ende des Windows-10-Supports öffnen sich Angreifern Tor und Tür.
Wie ein Betriebssystem-Wechsel zur Systemkrise werden kann
Der 14. Oktober 2025 markiert das Ende der Sicherheitsupdates für Windows 10. Was zunächst wie ein gewöhnlicher Softwarezyklus erscheint, birgt jedoch erhebliche Risiken für Unternehmen. Denn ab diesem Tag bleiben neue Schwachstellen ungepatcht, Systeme laufen Gefahr, zum Einfallstor für Cyberangriffe zu werden. Betroffen sind laut HP und Dell rund 400 Millionen PCs, die weiterhin Windows 10 nutzen. Dies gilt vor allem für kleine und mittlere Unternehmen (KMU), die oft nicht über die erforderlichen Mittel oder Motivation für ein Upgrade verfügen.
Dabei ist der Umstieg auf ein neues Betriebssystem mehr als nur eine technische Herausforderung. Er betrifft die gesamte IT-Infrastruktur eines Unternehmens. Etwa weil ältere Hardware und Software möglicherweise nicht mit dem neuen Betriebssystem kompatibel sind. Zudem müssen die Mitarbeitenden im Umgang mit dem neuen System geschult werden und Unternehmen müssen ausreichend Zeit und Ressourcen für den Wechsel einplanen. Betriebe, die diesen Migrationsprozess unterschätzen, riskieren Betriebsunterbrechungen und Produktivitätseinbußen.
Was Unternehmen aus WannaCry lernen können
Welche Folgen ein erfolgreicher Angriff haben kann, zeigt die Ransomware-Attacke WannaCry aus dem Jahr 2017. Innerhalb von gerade mal 24 Stunden wurden über 300.000 Computersysteme in 150 Ländern infiziert. Die Folgen waren Schäden in Milliardenhöhe – und das obwohl Microsoft zuvor das Patching-Update bereitstellte. Viele Organisationen setzten es jedoch nicht zeitgerecht um und nutzen das veraltete Betriebssystem ohne aktuelles Sicherheitspatches.
Das zeigt: Werden bekannte Risiken aufgrund der Organisationskultur, Ressourcenmangel oder Priorisierungsprobleme ignoriert, kann dies verheerende Folgen haben.
Veraltete Systeme, neue Gefahren: Wer besonders gefährdet ist
Nicht alle Branchen sind dabei gleichermaßen gefährdet. Ein großes Angriffsrisiko besteht vor allem für kritische Infrastrukturen, da sie häufig sensible Daten verarbeiten und strengen regulatorischen Anforderungen unterliegen. Dies trifft beispielsweise auf folgende Branchen zu:
Gesundheitswesen: Veraltete Systeme können zu Datenschutzverletzungen und Compliance-Verstößen führen. Bei WannaCry war beispielsweise der britische National Health Service massiv betroffen.
Finanzsektor: Angriffe auf ungeschützte Systeme können zu erheblichen finanziellen Verlusten und Reputationsschäden führen.
Öffentliche Verwaltung: Sicherheitslücken in veralteten Systemen können das Vertrauen der Bürger in staatliche Institutionen untergraben.
Zu Bedenken gilt zudem, dass moderne Bedrohungen wie KI-gestützte Phishing-Methoden oder Deepfakes neue Dimensionen ins Spiel bringen, da sie die Intensität und Qualität der Angriffe erhöhen.
Best Practices für einen sicheren Übergang
Auf ein neues Betriebssystem umzustellen, ist für viele Organisationen ein komplexer Prozess, der sorgfältig geplant und koordiniert sein muss. Häufig zeigen sich Risiken nicht erst bei der technischen Umsetzung, sondern in organisatorischen Abläufen, fehlender Vorbereitung oder unzureichender Kommunikation. Ein strukturiertes Vorgehen hilft daher, Stolperfallen frühzeitig zu erkennen und sie zu vermeiden.
Damit technische Entscheidungen nicht zur Sicherheitsfalle für das gesamte Unternehmen werden, sollten Unternehmen bei der Umstellung auf ein neues Betriebssystem folgende Aspekte beachten:
Rechtzeitig mit der Planung beginnen: Unternehmen sollten die Migration frühzeitig und Schritt für Schritt planen. Dazu gehört zu prüfen, ob Hardware und Software kompatibel sind, das Team im Umgang mit neuen Funktionen zu schulen und Sicherheitsupdates während der Übergangsphase konsequent einzuspielen. Darüber hinaus sorgt eine klare Kommunikationsstruktur zwischen IT, Compliance und Management dafür, dass alle Beteiligten informiert und vorbereitet sind und vermeidet regulatorische und finanzielle Risiken.
Digitale Risiken ganzheitlich absichern: Zu einem ganzheitlichen IT-Sicherheitskonzept gehören beispielsweise Präventivmaßnahmen wie Phishing-Simulations-Training, Checklisten für Sicherheitspatches und Backups sowie IT-Krisenplänen mit konkreten Handlungsempfehlungen. Genau dabei erhalten Unternehmen Unterstützung: So deckt eine Cyberversicherung neben den genannten Punkte unter anderem auch IT-Forensik, Betriebsunterbrechung und Krisenkommunikation ab. Eine Vertrauensschadenversicherung schützt zusätzlich vor Risiken wie CEO-Fraud oder Deepfakes, die klassische Schutzsysteme oft umgehen. Unternehmen sollten sich daher für eine kombinierte Cyber- und Vertrauensschadens-Police entscheiden. IT-, Software-, Telekommunikations- und Tech-Unternehmen benötigen zusätzlich eine IT-Haftpflichtpolice, um sich gegen mögliche finanzielle Schäden im Fall eines Sicherheitsvorfalls zu schützen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Operatives Chaos vermeiden: Fast jedes achte Unternehmen hat laut der TÜV-Cybersecurity Studie 2025 Probleme mit nicht registrierten IT-Geräten. Diese Systeme werden bei Migrationen oft übersehen und können zu Einfallstoren für Angreifer werden. Gleichzeitig fehlt häufig eine getestete Notfall- und Wiederherstellungsstrategie, sodass ein einzelner Sicherheitsvorfall die gesamte IT-Infrastruktur lahmlegen kann. Eine Kombination aus Kontrolle der Schatten-IT und robusten Backup- und Recovery-Plänen ist daher entscheidend, um Migrationen und den laufenden Betrieb abzusichern.
Für die notwendige externe Expertise bei solchen Prüfungen und der strategischen Planung müssen KMU nicht allein aufkommen. Das Förderprogramm „Förderung beratender Leistungen für Unternehmen“ des Bundesamts für Wirtschaft und Ausfuhrkontrolle bietet unbürokratisch nicht rückzahlbare Zuschüsse. Diese finanzielle Unterstützung deckt explizit Beratungen zur Cybersicherheit ab, etwa für Risikoanalysen oder die Umsetzung von DSGVO-konformen Prozessen, und kann die Kosten für die strategische Vorbereitung auf das Windows-10-Aus erheblich senken. Unternehmen sollten digitale Risiken zudem ganzheitlich über kombinierte Cyber- und Vertrauensschaden-Policen absichern, um Sicherheit, Compliance und Versicherbarkeit gleichermaßen zu gewährleisten.
Sicherheit, Compliance und Versicherung im Blick behalten
Das Ende des Windows-10-Supports am 14. Oktober 2025 ist ein Weckruf für Unternehmen: Wer die Migration vernachlässigt, erhöht das Risiko für Cyberangriffe, Compliance-Verstöße und finanzielle Schäden. Ein strukturierter Ansatz, der Planung, Mitarbeiterschulung, Sicherheitsupdates, Kontrolle der Schatten-IT und Backups einschließt, ist daher entscheidend. Ergänzend sollten Unternehmen digitale Risiken über Cyber- und Vertrauensschadenversicherungen sowie IT-Haftpflichtpolicen absichern. Nur so sind Sicherheit, Compliance und Versicherbarkeit gleichzeitig gewährleistet.
* Der Autor Andrew Saula ist IT-Sicherheitsleiter bei Baobab Insurance, einem Assekuradeur für digitale Risiken. Zuvor war er stellvertretender Chief Information Security Officer (CISO) der TUI Group. Baobab Insurance ist ein Assekuradeur für digitale Risiken. Das Produktportfolio umfasst eine Cyberversicherung, ein E-Crime-Produkt und eine IT-Haftpflichtpolice für IT-, Software-, Technologie- und Telekommunikationsunternehmen aus Deutschland und Österreich.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/84/06/840697a0f9044c0639ae2244889f9230/0122557343v1.jpeg "Um sich vor Cyberangriffen zu schützen, reichen Sicherheitslösungen nicht allein aus. Es braucht einen Rechtsschutz, um sich auf den Ernstfall vorzubereiten. (Bild: Woodapple - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1a/4d/1a4d787c3fa4e6a1b86e100f3d0c2b34/0125497186v2.jpeg "Die Migration ihrer ERP-Landschaften in die Cloud bietet Unternehmen immense Chancen für Digitalisierung und Effizienzsteigerung, aber gleichzeitig entstehen dadurch auch neue Angriffsflächen. (Bild: © putilov_denis - stock.adobe.com)")