Im November vergangenen Jahres gab Microsoft bekannt, dass auch Privatkunden einen erweiterten Support-Zeitraum für Windows 10 erhalten können. Nun konkretisiert das Unternehmen, wie es sich das vorstellt. Sogar eine „kostenlose Version“ ist dabei.

In einem Blog-Beitrag erörtert Microsoft zunächst die Vorzüge von Windows 11 ausführlich, um dann kurz auf die Windows 10 Extended Security Updates (ESU) einzugehen. Um die PCs von Windows-10-Nutzern in der Übergangszeit zu Windows 11 nach dem Support-Ende am 14. Oktober 2025 weiterhin zu schützen, liefert Microsoft im ESU-Programm weiterhin monatliche „kritische und wichtige Sicherheitsupdates“. Da Microsoft das nicht als Langzeitlösung vorsieht, gibt es jedoch keine neuen Funktionen, nicht-Sicherheitsupdates, Designänderungen oder technischen Support.

Ein Jahr Gnadenfrist

„Zum ersten Mal überhaupt können private Windows-10-PCs am ESU-Programm teilnehmen und monatlich kritische sowie wichtige Sicherheitsupdates erhalten, für ein Jahr, nachdem der Support im Oktober endet“, präzisiert Microsoft dort. Privatkunden können also offenbar nicht das für Business-Kunden zugängliche ESU mit bis zu drei Jahren Laufzeit erhalten – nach derzeitigem Stand.

Ein ESU-Wizard soll durch die Windows-Benachrichtigungen und in den Windows-Einstellungen erscheinen, der die Teilnahme am ESU-Programm einfach direkt vom betroffenen PC aus ermöglicht. Dieser Wizard hat drei Optionen für die Teilnahme. Als Erste können Interessierte Windows Backup aktivieren, das die Einstellungen in die Cloud synchronisiert – das ist kostenlos und genügt, um das ESU zu aktivieren. Als Zweites können Nutzerinnen und Nutzer Microsoft Reward-Punkte einlösen. Dazu sind 1000 Stück nötig, es fallen keine Zusatzkosten an. Und schließlich steht als dritte und letzte Option die Zahlung von 30 US-Dollar zur Verfügung, wobei „lokale Preise abweichen können“.

Nach der Auswahl einer Option und dem Befolgen der angezeigten Schritte erhält der PC die ESU-Updates. Der Zeitraum der Privatkunden-ESU läuft konkret vom 15. Oktober 2025 bis zum 13. Oktober 2026. Der EU-Beitritts-Wizard steht ab heute im Windows Insider-Programm bereit und soll im Juli als Option an Windows-10-Kunden verteilt werden. Die allgemeine Verfügbarkeit plant Microsoft ab Mitte August 2025.

Für Business-Kunden gibt es die üblichen ESU-Optionen, die mit 61 US-Dollar pro Maschine und Jahr zu Buche schlagen und bis zu drei Jahre nach offiziellem Support-Ende verfügbar sind. Die Folgejahre sollen jedoch mehr kosten. Ab heute soll das Business-ESU im Microsoft Volumenlizenzprogramm verfügbar sein. Cloud-Service-Provider bieten es ab dem 1. September 2025 an. Für Cloud- und virtuelle Umgebungen, die durch Windows-10-Geräte zugegriffen werden, bietet Microsoft automatisch ohne Zusatzkosten das ESU an – Admins müssen nichts unternehmen, das geschehe automatisch.

ESU wirklich kostenlos?

Ob die Windows-Backup-Option wirklich als kostenlos gelten kann, hängt stark davon ab, wie viele Daten Microsoft auf den Cloud-Speicher schiebt. Lediglich Einstellungen nehmen kaum Raum ein, jedoch sind Dokumente, Programme, Bilder und ähnliches gerne deutlich umfangreicher als die kostenlosen 5 GByte, die Microsoft in OneDrive bereitstellt. Die Microsoft-Reward-Punkte erhalten Nutzerinnen und Nutzer etwa für die Nutzung von Microsoft-Diensten wie der Bing-Suche oder der Bing-KI-Funktionen. Hier zahlen Interessierte mit ihren Daten.

(dmk)

Im vom US-Präsidenten Donald Trump angezettelten Handelsstreit könnte die Durchsetzung des Digital Markets Act (DMA) für US-Unternehmen wie Alphabet, Meta oder Apple auf Eis gelegt werden, berichtet das Wall Street Journal (€). Dem Exklusiv-Bericht zufolge zirkuliert im Büro des US-Handelsbeauftragten der Entwurf eines „Abkommens über gegenseitigen Handel“ zwischen den USA und der EU. Ob die EU-Verhandler:innen dem Abkommen in dieser Form zustimmen werden, bleibt vorerst unklar.

Laut WSJ erfasst das geplante Abkommen eine ganze Reihe von Handelsbereichen, neben dem Digitalsektor unter anderem CO2-Grenzabgaben, Schiffbau oder die Beschaffung von Rüstungsgütern. Weiter ausgesetzt werden könnte demnach auch eine EU-Verordnung über entwaldungsfreie Lieferketten, die Ende des Jahres in Kraft treten soll. Dem Bericht zufolge könnten die USA und die EU in einen „Dialog“ über die Implementation des DMA treten. Zwischenzeitlich sollte die Durchsetzung ruhen, so das WSJ.

Tauziehen im Handelsstreit

Die heiklen Verhandlungen zwischen den USA und der EU laufen überwiegend hinter verschlossenen Türen, seit Donald Trump im April die Einfuhren praktisch aller Länder der Welt mit Strafzollen belegt hatte. Für Importe aus der EU sah die ursprüngliche US-Ankündigung einen pauschalen Zollsatz von 20 Prozent vor. Später polterte Trump in sozialen Medien und erhöhte die Drohung mit Verweis auf „unfaire und ungerechtfertigte Klagen gegen US-amerikanische Unternehmen“ auf 50 Prozent.

Bislang sind die angedrohten Zölle weitgehend ausgesetzt. In Kraft sind jedoch etwa Abgaben auf Stahl- und Aluminiumimporte in Höhe von 50 Prozent sowie pauschale Aufschläge von 25 Prozent auf Autoimporte. Außerdem gilt ein Mindestzollsatz von 10 Prozent, der sich der Nachrichtenagentur Reuters zufolge kaum wegverhandeln lassen wird. Die zuletzt genannte Frist für einen Abschluss der Verhandlungen ist der 9. Juli.

Strafen und Auflagen gegen US-Digitalriesen

Ein besonderer Dorn im Auge der „America First“-Administration sind die relativ jungen EU-Digitalgesetze, der Digital Services Act (DSA) und der Digital Markets Act (DMA). Beide Gesetze sollen die Rechte von Nutzer:innen im Internet stärken und die Übermacht insbesondere großer Digital-Konzerne abschwächen. Viele dieser Unternehmen stammen aus den USA und sind davon entsprechend stärker betroffen als kleinere Wettbewerber, etwa aus der EU.

Zuletzt hat die EU-Kommission erstmals millionenschwere Wettbewerbsstrafen sowie Auflagen für Apple und Meta verhängt, denen sie Verstöße gegen den DMA vorwirft. Für Unverständnis auf der anderen Seite des Atlantiks sorgen zudem regelmäßige Auseinandersetzungen rund um die Datenschutz-Grundverordnung (DSGVO).

Derweil sehen US-Republikaner die im DSA verankerten Mindestvorgaben zu Inhaltemoderation durch die Bank als unzulässige Einschränkung der Meinungsfreiheit. Für weitere Verstimmung könnten außerdem nationale Vorstöße einzelner EU-Länder in puncto Digitalsteuer sorgen, darunter der jüngste Vorschlag des deutschen Kulturstaatsministers Wolfram Weimer.

EU-Parlament stellt sich gegen Aufweichung von Gesetzen

Ein in den Raum gestelltes Einknicken der EU-Kommission kommt beim EU-Parlament nicht gut an. „Bei aller Flexibilität und Verhandlungsbereitschaft seitens der EU muss weiterhin klipp und klar sein, dass unsere Gesetze oder eine Aufweichung unserer Regeln nicht Teil des Warenkorbes für die Verhandlungen sein dürfen“, sagt der SPD-Europaabgeordnete Bernd Lange, Vorsitzender des Handelsausschusses im EU-Parlament, in einer Pressemitteilung.

Dies gelte für den DMA genauso wie für andere Regelungen, betont Lange. „Hier darf nicht einmal mit dem Feuer gespielt werden. Da darf es keine Abstriche geben“, so der niedersächsische Abgeordnete. Es stehe nicht zur Disposition, „unsere EU-Gesetze und unsere Autonomie und Recht zu regulieren“.

In einer heutigen Anhörung habe die EU-Kommission die „Rolle, Einbindung und Bedeutung des Europäischen Parlaments bei den transatlantischen Handelsbeziehungen“ noch einmal bekräftigt. „Wenn es zu einem Abkommen kommt, dann haben wir im Europäischen Parlament das letzte Wort. Ob das Herrn Trump passt oder nicht“, gibt sich Lange kämpferisch.

Eine nicht gepatchte Sicherheitslücke in Cisco-Routern diente einer chinesischen Cybergang als Einstiegspunkt in das Netzwerk eines kanadischen Telekommunikationsanbieters. Das berichtet die IT-Sicherheitsbehörde „Canadian Centre for Cyber Security“ (oder auch kurz „Cyber Centre“) und warnt vor derzeitigen Angriffen von staatlich unterstützten chinesischen Cyber-Banden.

Das Cyber Centre hat die Analyse zusammen mit dem US-amerikanischen FBI veröffentlicht. Damit wollen die Behörden vor der Gefahr durch chinesisch-staatlich unterstützte Bedrohungsakteure warnen, die globale Telekommunikationsanbieter infiltrieren und ausspähen wollen. Insbesondere die Gruppe Salt Typhoon steche heraus.

Bösartige Akteure: Einstieg über alte Cisco-Lücke

Die Angriffe laufen demnach aktuell auch gegen kanadische Telko-Anbieter. Bei einem nicht namentlich genannten Provider konnten Mitglieder der Gruppe Salt Typhoon Mitte Februar des Jahres eindringen. Sie haben dazu die Schwachstelle CVE-2023-20198 (EUVD-2023-24377) missbraucht, um von drei verwundbaren Geräten die Konfigurationsdateien zu sammeln und auf mindestens einem zu manipulieren, sodass Daten aus dem Netzwerk über einen dabei konfigurierten GRE-Tunnel ausgeleitet werden konnten.

Die Sicherheitslücke betrifft Ciscos IOS XE. Das Linux-basierte System läuft auf Routern und Switches von Cisco und bringt eine webbasierte Bedienoberfläche mit. Sofern die aktiv ist, können Angreifer die Sicherheitslücke missbrauchen, um direkt die komplette Kontrolle über das anfällige System zu übernehmen. Die Entwickler stufen die Schwachstelle mit einem CVSS-Wert von 10.0, mithin die Höchstwertung, daher als Risiko „kritisch“ ein. Im Oktober 2023 wurde die Lücke bekannt und Cisco stellte aktualisierte Software bereit, um sie zu schließen. Die hat der angegriffene kanadische Telko-Anbieter offenbar über ein Jahr lang nicht installiert.

Die Untersuchungen der IT-Experten des „Cyber Centre“ deuten darauf hin, dass die Ziele weiter reichen als lediglich in den Telekommunikationssektor. In einigen Fällen ermöglichte das Kompromittieren der Geräte das Ausspähen der Netzwerke oder das Infizieren weiterer Geräte, in anderen hingegen ging es lediglich darum, später erneut auf infiltrierte Geräte zuzugreifen (Reconnaisence). Für die kommenden zwei Jahre erwarten die IT-Sicherheitsexperten weitere Angriffe der chinesisch gelenkten Cybergang. Telekommunikationsanbieter seien dabei höchste Priorität, da Angreifer dort am weitreichendsten ausspähen könnten.

Angriffsziele seien Schwachstellen in Sicherheits- und Netzwerk-Geräten am Netzwerk-Perimeter, einschließlich Router, Firewalls und VPN-Lösungen. Dort müssen Sicherheitslücken folglich schnellstmöglich geschlossen werden.

Die China zugeordnete kriminelle Online-Bande Salt Typhon ist auch in den USA sehr aktiv. Ende 2024 haben IT-Experten Cyberangriffe auf mehrere große Telekommunikationsanbieter in den USA entdeckt. Die Angreifer sind bei AT&T, T-Mobile, Verizon und anderen US-Providern eingebrochen. Dort wurde jedoch nicht öffentlich, welche Schwachstellen die Täter dazu missbraucht haben.

(dmk)