End-of-Life Software: Die tickende Zeitbombe in KMU-Netzwerken

Written by ExposIQ | März 10, 2026

Irgendwo in Ihrem Netzwerk läuft wahrscheinlich ein System, das seit Monaten oder Jahren keine Sicherheitsupdates mehr erhält. Es funktioniert, niemand beschwert sich – und genau darin liegt das Problem. End-of-Life-Software ist eine der häufigsten und gleichzeitig am meisten unterschätzten Sicherheitslücken in Schweizer KMU-Netzwerken.

End-of-Life (EOL) bedeutet, dass der Hersteller keine Sicherheitsupdates mehr veröffentlicht. Jede neue Schwachstelle, die in dieser Software entdeckt wird, bleibt für immer offen. Kein Patch, kein Fix, keine Hilfe vom Hersteller. Die Software wird zu einem dauerhaft offenen Einfallstor.

Die aktuelle EOL-Landschaft: Was jetzt betroffen ist

Die Liste der kürzlich abgekündigten oder bald auslaufenden Produkte ist lang – und betrifft zentrale Infrastrukturkomponenten, die in praktisch jedem KMU zu finden sind.

Windows Server 2012 und 2012 R2

Der erweiterte Support endete im Oktober 2023. Trotzdem laufen noch zahlreiche Instanzen in Schweizer KMU – oft als Dateiserver, Druckserver oder für spezialisierte Fachanwendungen. Ohne Extended Security Updates (ESU) von Microsoft gibt es keine Patches mehr. Und selbst die kostenpflichtigen ESU-Programme laufen zeitlich begrenzt.

Windows Server 2016

Der Mainstream-Support endete im Januar 2022, der erweiterte Support läuft noch bis Januar 2027. Das klingt nach viel Zeit – aber Migrationen brauchen Planung, Tests und Budget. Wer jetzt nicht plant, wird unter Zeitdruck migrieren müssen.

PHP 7.x

PHP 7.4 erreichte sein End-of-Life im November 2022. PHP 8.0 folgte im November 2023, PHP 8.1 im Dezember 2025. Trotzdem laufen gemäss Statistiken noch über 40 Prozent aller PHP-Websites auf Versionen ohne aktiven Sicherheitssupport. In der Schweizer KMU-Landschaft, wo viele Webseiten auf WordPress, Joomla oder individuellen PHP-Anwendungen basieren, ist die Quote ähnlich hoch.

Microsoft Exchange Server 2013 und 2016

Exchange 2013 hat sein End-of-Life im April 2023 erreicht. Exchange 2016 und 2019 folgen im Oktober 2025. Exchange-Server sind besonders kritisch, da sie direkt aus dem Internet erreichbar sind und in der Vergangenheit immer wieder Ziel schwerwiegender Angriffe waren – ProxyLogon und ProxyShell sind nur die bekanntesten Beispiele.

OpenSSL 1.x

OpenSSL 1.1.1 erreichte sein End-of-Life im September 2023. Die Bibliothek wird von unzähligen Anwendungen und Diensten für verschlüsselte Kommunikation genutzt. Viele Appliances, embedded Systeme und ältere Linux-Distributionen verwenden noch OpenSSL 1.x – oft ohne dass der Administrator sich dessen bewusst ist.

Weitere häufig betroffene Produkte

  • CentOS 7: EOL seit Juni 2024 – noch weit verbreitet als Server-OS
  • Ubuntu 18.04 LTS: Standard-Support endete im Mai 2023
  • Java 8: Öffentliche Updates von Oracle endeten für kommerzielle Nutzung bereits 2019
  • Apache 2.2: Seit 2018 ohne Sicherheitsupdates, aber noch auf vielen Webservern aktiv
  • jQuery 1.x und 2.x: Auf Millionen von Websites eingebunden, mit bekannten XSS-Schwachstellen
  • VMware vSphere 6.x: End of General Support erreicht – Patches nur noch mit verlängertem Support

Die Schweizer KMU-Realität

Warum laufen diese Systeme noch? Die Gründe wiederholen sich in jedem Audit:

«Es funktioniert doch noch.» Das gefährlichste Argument in der IT-Sicherheit. Funktionalität hat nichts mit Sicherheit zu tun. Ein Windows Server 2012, der zuverlässig Dateien bereitstellt, ist trotzdem ein offenes Tor für Angreifer.

Abhängigkeit von Fachanwendungen. Eine spezialisierte Branchensoftware läuft nur auf Windows Server 2016. Der Hersteller hat die Weiterentwicklung eingestellt oder verlangt hohe Lizenzkosten für ein Upgrade. Also bleibt das alte System.

Kein Budget für Migration. Die Migration eines Exchange-Servers zu Microsoft 365 oder einem aktuellen Exchange kostet Zeit und Geld. Solange «nichts passiert», wird das Budget anderweitig eingesetzt.

Niemand weiss es. In gewachsenen IT-Umgebungen verliert man leicht den Überblick. Der Linux-Server, den ein ehemaliger Mitarbeiter vor sechs Jahren aufgesetzt hat, läuft still vor sich hin – mit einer PHP-Version, die seit drei Jahren keine Updates mehr bekommt.

Das reale Risiko: Was Angreifer mit EOL-Software machen

Angreifer suchen gezielt nach End-of-Life-Software, weil sie wissen, dass gefundene Schwachstellen nie gepatcht werden. Das Vorgehen ist systematisch:

  1. Automatisierte Scans: Bots scannen kontinuierlich das Internet nach veralteter Software. Tools wie Shodan und Censys machen die Ergebnisse öffentlich durchsuchbar.
  2. Exploit-Entwicklung ohne Zeitdruck: Sobald eine neue Schwachstelle in EOL-Software bekannt wird, können Angreifer Exploits entwickeln, ohne gegen die Zeit zu arbeiten. Es wird nie einen Patch geben.
  3. Brückenkopf im Netzwerk: Ein kompromittiertes EOL-System dient als Ausgangspunkt für laterale Bewegung im Netzwerk. Von dort aus werden aktuelle, gut geschützte Systeme angegriffen.
  4. Ransomware-Deployment: Viele Ransomware-Gruppen nutzen bekannte Schwachstellen in veralteter Software als initialen Zugangspunkt. Die Gruppe «LockBit» hat wiederholt ungepatchte Exchange-Server als Einfallstor verwendet.

nDSG-Implikationen: Rechtliche Risiken

Das neue Schweizer Datenschutzgesetz (nDSG), in Kraft seit September 2023, verlangt «angemessene technische und organisatorische Massnahmen» zum Schutz personenbezogener Daten. Der Betrieb von Software ohne Sicherheitsupdates ist schwer als «angemessen» zu argumentieren – besonders wenn diese Software personenbezogene Daten verarbeitet.

Im Falle einer Datenschutzverletzung wird die Frage gestellt: «Hätten Sie den Vorfall verhindern können?» Wenn die Antwort lautet «Ja, durch ein verfügbares und zumutbares Software-Update», wird die Haftungsfrage schnell unangenehm.

Besonders kritisch sind:

  • E-Mail-Server mit Kundendaten auf EOL-Exchange
  • Webserver mit Kundenportalen auf veraltetem PHP
  • Dateiserver mit Personaldaten auf Windows Server 2012
  • CRM-Systeme auf veralteten Datenbankservern

EOL-Software erkennen: Das Inventar als Grundlage

Der erste Schritt ist die systematische Erkennung. Manuelles Prüfen jedes einzelnen Systems ist zeitaufwändig und fehleranfällig. Automatisierte Schwachstellenscanner können End-of-Life-Produkte zuverlässig identifizieren – oft werden dabei Systeme gefunden, von denen niemand wusste, dass sie noch existieren.

Moderne Scan-Plattformen erkennen über 300 verschiedene EOL-Produkte und gleichen die installierten Versionen automatisch mit den Hersteller-Lebenszyklen ab. Das Ergebnis ist eine klare Liste: Welche Software hat noch Support? Welche nicht? Wie dringend ist die Migration?

Migrationsstrategien für KMU

Die Migration von EOL-Software muss nicht als Mammutprojekt geplant werden. Ein pragmatischer Ansatz:

1. Risikobasierte Priorisierung: Systeme, die aus dem Internet erreichbar sind oder sensitive Daten verarbeiten, haben höchste Priorität. Ein interner Druckserver ohne Netzwerkzugang ist weniger dringend als der öffentliche Webserver.

2. Kompensationsmassnahmen für die Übergangszeit: Wenn eine sofortige Migration nicht möglich ist, helfen Netzwerksegmentierung, strenge Firewall-Regeln und verstärktes Monitoring, das Risiko zu reduzieren. Diese Massnahmen ersetzen die Migration nicht, kaufen aber Zeit.

3. Cloud-Migration prüfen: Für viele Dienste – insbesondere E-Mail und Dateiablage – ist der Wechsel zu Cloud-Diensten oft günstiger und sicherer als ein lokales Upgrade. Microsoft 365 statt Exchange On-Premise, SharePoint Online statt Windows-Dateiserver.

4. Fachanwendungen hinterfragen: Wenn eine Fachanwendung der einzige Grund für ein veraltetes Betriebssystem ist, muss das Gespräch mit dem Software-Hersteller geführt werden. Oft gibt es Migrationspfade, die nicht kommuniziert wurden – oder Alternativen am Markt.

5. Budget langfristig planen: IT-Lebenszyklen sind vorhersehbar. Wenn Windows Server 2016 im Januar 2027 sein End-of-Life erreicht, muss das Budget für 2026 geplant werden – nicht erst im Dezember 2026.

Kontinuierliche Überwachung statt Einmalcheck

Neue Software erreicht ständig ihr End-of-Life. Was heute aktuell ist, kann in 12 Monaten ohne Support sein. Deshalb reicht ein einmaliger Check nicht aus. Regelmässige automatisierte Scans stellen sicher, dass neu hinzugekommene oder neu abgekündigte Software sofort erkannt wird.

Fazit

End-of-Life-Software ist kein theoretisches Risiko. Sie ist ein konkreter, messbarer Schwachpunkt, den Angreifer aktiv ausnutzen. Die gute Nachricht: EOL-Software ist erkennbar und die Behebung planbar. Es braucht nur den Willen, hinzusehen – und die richtigen Werkzeuge, um den Überblick zu behalten.

ExposIQ erkennt über 300 End-of-Life-Produkte automatisch und zeigt klar auf, welche Systeme in Ihrem Netzwerk ohne Sicherheitssupport laufen. Kombiniert mit der CVSS-, EPSS- und KEV-Bewertung sehen Sie sofort, wo das grösste Risiko besteht. Schweizer Hosting, nDSG-konform, ab CHF 99 pro Monat. Mehr erfahren unter exposiq.ch.

ExposIQ ist die Schweizer Plattform für automatisiertes Vulnerability Management. Wir helfen KMU und IT-Dienstleistern, Schwachstellen zu erkennen und zu beheben – sicher, verständlich und nDSG-konform.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Firma

Über uns Kontakt Blog
 Datenschutzerklärung Nutzungsbedingungen

Newsletter

Copyright © ExposIQ Schweiz 2026. Alle Rechte vorbehalten.