Windows 10 ESU

Man vor PC der verzweifelt die Hände hebt weil er noch Windows 10 hat - Windows 10 ESU kann Abhilfe schaffen

Windows 10 ESU: Warum jetzt Handeln Pflicht ist – und welche Sicherheitslücken Ihr Unternehmen bedrohen

Der Countdown läuft: Am 14. Oktober 2025 endete der offizielle Support für Windows 10. Was für viele Unternehmen zunächst nach einem Routine-Upgrade klingt, hat gravierende Sicherheits- und Haftungsfolgen. Denn nach diesem Datum stellt Microsoft keine kostenlosen Sicherheits-Updates mehr bereit. Jede neu entdeckte Schwachstelle bleibt dann – ohne Windows 10 ESU-Vertrag – ungepatcht und kann aktiv ausgenutzt werden.

Gerade kleine und mittelständische Unternehmen (KMU), die häufig noch ältere Hardware oder branchenspezifische Anwendungen einsetzen, unterschätzen diese Gefahr. Der Betrieb ungepatchter Systeme ist nicht nur ein technisches Risiko, sondern auch ein Compliance- und Haftungsthema.

Warum das Ende des Supports so kritisch ist

Mit dem Ende des regulären Supports verlieren Windows 10-Systeme ihren wichtigsten Schutzmechanismus: die monatlichen Sicherheits-Updates. Diese schließen bekannte Lücken, die Angreifer für Schadsoftware, Ransomware oder gezielte Industriespionage nutzen.

Ohne die Teilnahme am Extended Security Updates (ESU)-Programm bleiben diese Systeme offen wie ein unverschlossenes Tor. Angriffe auf veraltete Windows-Versionen nehmen erfahrungsgemäß sprunghaft zu, sobald der Support endet – ein Trend, der bereits bei Windows 7 und XP zu beobachten war.

Aktuelle Sicherheitslücken, die das Risiko verdeutlichen

Im Jahr 2024 und 2025 wurden mehrere kritische Schwachstellen entdeckt, die auch Windows 10 betreffen. Einige davon wurden zwar zwischenzeitlich gepatcht, andere zeigen aber, wie tiefgreifend die Risiken im System verankert sind. Jede Umgebung unterscheidet sich – deshalb gilt: Der individuelle Patch-Stand muss stets geprüft und bewertet werden. Da wir teilweise die Beobachtung gemacht haben, dass kaufmännisch Verantwortliche oder Geschäftsführer eindeutige Belege für die Bedrohungslage benötigen um den notwendigen Investitionen zuzustimmen, haben wir ein paar konkrete Bedrohungen aus der Praxis im Folgenden aufgelistet.

Hier sind sieben exemplarische CVEs, die die Bedrohungslage verdeutlichen

  • CVE-2025-24990 Elevation-of-Privilege in ltmdm64.sys – ein alter Modem-Treiber, der selbst auf modernen Systemen noch vorhanden sein kann. Kann Angreifern lokale Administratorrechte verschaffen, auch wenn der Treiber nicht aktiv genutzt wird.
  • CVE-2025-59230 Zero-Day-Lücke im „Remote Access Connection Manager (RasMan)“, aktiv ausgenutzt. Kritisch für Unternehmen mit VPN-Zugriff oder Fernwartung über Windows 10.
  • CVE-2025-29824 CLFS-Treiber-Schwachstelle, über die Angreifer Kernelrechte erlangen können. Wird gezielt von Bedrohungsakteuren genutzt, um Schutzmechanismen zu umgehen.
  • CVE-2023-29363 Remote-Code-Execution (RCE) in Microsoft Message Queuing (MSMQ), CVSS 9.8. Angreifer können beliebigen Code auf betroffenen Systemen ausführen, ohne physischen Zugriff.
  • CVE-2023-32014 Zweite RCE-Schwachstelle im MSMQ-Dienst, ebenfalls CVSS 9.8. Besonders relevant, wenn der Dienst unbemerkt aktiv ist.
  • CVE-2022-37969 Privilege Escalation im Common Log File System (CLFS)-Treiber. Wird häufig als Einstiegspunkt für Ransomware-Angriffe verwendet.
  • CVE-2025-54918 NTLM-Authentifizierungs-Schwachstelle, CVSS 8.8, Exploitation „more likely“. Besonders riskant in Unternehmensnetzwerken mit Domänen-Anmeldung.

Diese Beispiele zeigen: Das Risiko liegt nicht nur in Office- oder Browser-Komponenten, sondern tief im Betriebssystemkern. Ein einziger ungepatchter Treiber oder Dienst genügt, um die gesamte IT-Infrastruktur zu gefährden.

Warum Windows 10 ESU die einzig sinnvolle Zwischenlösung ist

Unternehmen, die noch nicht vollständig auf Windows 11 migrieren können – etwa wegen Software-Inkompatibilitäten oder alter Hardware – sollten unbedingt das Windows 10 ESU Programm in Betracht ziehen.

Das ESU-Programm („Extended Security Updates“) bietet:

  • Sicherheits-Updates für weitere drei Jahre (bis Oktober 2028)
  • Keine Funktions- oder Komfort-Updates, aber fortlaufende Kritikalitäts-Patches
  • Zentrale Verwaltung über Microsoft 365 oder Intune, ideal für IT-Abteilungen mit mehreren Clients

Ein ESU-Vertrag ist kein Dauerzustand, aber eine sichere Brücke, bis die Migration auf Windows 11 abgeschlossen ist. Ohne ESU-Teilnahme bleiben Lücken wie die oben genannten dauerhaft offen – und Angreifer wissen das.

Die größten Irrtümer in KMU-IT-Abteilungen

Viele IT-Verantwortliche gehen fälschlicherweise davon aus, dass „nichts passiert“, solange keine Angriffe sichtbar sind. Doch Angreifer nutzen zunehmend automatisierte Scans und Zero-Day-Ketten, um verwundbare Systeme aufzuspüren.

Weitere Fehlannahmen:

  • „Unsere PCs sind intern, also sicher.“ – Falsch: Schon ein infizierter USB-Stick oder Remote-Zugang reicht aus.
  • „Wir haben Virenschutz.“ – Auch der beste Virenscanner kann unbekannte Exploits nicht blockieren, die Kernel-Schwachstellen ausnutzen.
  • „Ein Update dauert zu lange.“ – Eine Sicherheitslücke, die Produktionsdaten verschlüsselt, kostet meist ein Vielfaches an Ausfallzeit und Geld.

Was jetzt zu tun ist

  1. Systeminventur durchführen
    – Welche Geräte laufen noch auf Windows 10? Welche Version (z. B. 22H2)?
  2. Patch-Stand prüfen
    – Alle CVEs und Sicherheitsupdates kontrollieren; Microsoft-Sicherheitsbulletins regelmäßig auswerten.
  3. Entscheidung treffen
    – Sofortige Migration auf Windows 11, falls möglich.
    – Falls nicht: Teilnahme am Windows 10 ESU Programm.
    – sollte ein System durch Software-Kompatibilitätsprobleme auf ein altes Betriebssystem angewiesen sein, so besteht die Möglichkeit selbiges vollständig zu virtualisieren und vom Netzwerk zu trennen – eine solche Ausnahmeregelung sollte aber unbedingt zeitlich begrenzt sein.
  4. Netzwerk absichern
    – Segmentierung, eingeschränkte Benutzerrechte, Deaktivierung nicht benötigter Dienste.
  5. Zukunft planen
    – Ersatzbeschaffung alter Hardware, Test neuer Anwendungen unter Windows 11, Schulung von Mitarbeitern.

Fazit

Der Sicherheits-Support für Windows 10 endet unwiderruflich – und mit ihm der zentrale Schutz vor bekannten Schwachstellen. Die hier genannten CVEs zeigen, wie schnell sich selbst tief im System versteckte Lücken in reale Angriffswege verwandeln können.

Unternehmen, die weiterhin Windows 10 einsetzen, müssen jetzt handeln: entweder durch ein Upgrade auf Windows 11 oder durch die Teilnahme am Windows 10 ESU-Programm. Alles andere bedeutet ein kalkuliertes Risiko, das nicht nur technische, sondern auch wirtschaftliche und rechtliche Folgen haben kann. Hier ist auch die grundsätzlich vorhandene technische Möglichkeit per Virtualisierung gemeint (s.o.)

Aber Achtung! Jeder Patchzustand ist individuell zu prüfen und zu bewerten. Doch eines steht fest: Ohne kontinuierliche Updates – ob regulär oder per Windows 10 ESU – verliert jedes Windows 10-System den Schutz, auf den sich Unternehmen bisher verlassen konnten.