Inhaltsverzeichnis
Was das Support-Ende konkret bedeutet
Am 14. Oktober 2025 hat Microsoft den regulären Support für Windows 10 eingestellt. Das ist kein Ausschalten und keine Abkündigung, die Sie sofort spüren: Ihre Rechner starten weiter, Ihre Programme laufen weiter, und auf den ersten Blick ändert sich nichts. Genau das macht das Support-Ende so tückisch — der Schaden ist unsichtbar, bis er eintritt.
Konkret bedeutet das Ende des Supports: Microsoft liefert für die reguläre Windows-10-Version keine Sicherheitsupdates mehr aus. Jede Schwachstelle, die nach dem 14. Oktober 2025 in Windows 10 gefunden wird — und in einem so weit verbreiteten Betriebssystem werden laufend neue gefunden — bleibt dauerhaft offen. Es gibt keinen Patch mehr, der sie schließt. Angreifer wissen das. Erfahrungsgemäß steigt nach dem End-of-Life eines Systems die Zahl der gezielt darauf ausgerichteten Angriffe, weil sich bekannte, nie geschlossene Lücken zuverlässig ausnutzen lassen.
Das Ergebnis ist eine mit jedem Monat wachsende Angriffsfläche. Ein Windows-10-System ohne Verlängerung ist nach dem Support-Ende nicht sofort gehackt — aber es ist nur noch nicht kompromittiert. Der Unterschied zu einem gepflegten System ist fundamental: Bei letzterem schließt Microsoft neue Lücken im monatlichen Update-Zyklus, bei ersterem sammeln sie sich an.
Für Unternehmen kommt eine regulatorische Dimension hinzu. Cyberversicherungen setzen ein funktionierendes Patch-Management zunehmend voraus und können die Deckung im Schadenfall kürzen oder verweigern, wenn nachweislich veraltete, nicht mehr unterstützte Systeme im Einsatz waren. Und mit der Cyberversicherung allein ist es nicht getan: Auch die NIS2-Regulierung verlangt von betroffenen Unternehmen ein systematisches Schwachstellen- und Patch-Management als Basispflicht. Ein Betriebssystem, das keine Sicherheitsupdates mehr erhält, steht dieser Pflicht direkt entgegen.
Die vier Optionen für KMU
Für den Umgang mit dem Windows-10-Support-Ende gibt es im Kern vier Wege. Welcher der richtige ist, hängt vom Alter Ihrer Geräte, Ihrer Software-Landschaft und Ihrem Budget ab — und in der Praxis ist es fast immer eine Kombination mehrerer Optionen, gestaffelt über Geräteklassen hinweg.
1. Upgrade auf Windows 11
Wenn Ihre Hardware die Anforderungen erfüllt, ist das In-Place-Upgrade auf Windows 11 der naheliegendste Weg. Vorteil: kein Hardwarekauf, vertraute Umgebung, voller Support-Zeitraum. Nachteil: Nicht jedes Gerät ist kompatibel, und ein Upgrade auf produktiven Systemen will vorbereitet sein — Datensicherung, Test der Fachanwendungen, geplantes Zeitfenster. Ein unkoordiniertes Massen-Upgrade über Nacht ist ein Rezept für Ausfälle.
2. Neue Hardware
Bei älteren Geräten, die Windows 11 nicht unterstützen oder ohnehin am Ende ihres Lebenszyklus stehen, ist der Hardware-Refresh oft die wirtschaftlichste Lösung — auch wenn die Anschaffung zunächst teurer wirkt. Neue Business-Geräte bringen Windows 11 vorinstalliert und TPM 2.0 aktiv mit. Der Refresh lässt sich sinnvoll mit einer Modernisierung der IT-Struktur verbinden, etwa dem Umstieg auf schlanke Endgeräte plus zentraler Virtualisierung, bei der die eigentliche Rechenlast auf dem Server liegt.
3. ESU-Verlängerung
Das Extended Security Updates Programm (ESU) verlängert die Versorgung mit sicherheitskritischen Updates gegen Gebühr. Vorteil: Sie gewinnen Zeit, ohne sofort Hardware oder Betriebssystem austauschen zu müssen. Nachteil: ESU ist kostenpflichtig, umfasst nur Sicherheitspatches (keine Funktionsupdates, keinen Support) und ist zeitlich begrenzt. Es ist eine Brücke, keine Bleibe — dazu weiter unten mehr.
4. Alternative: Linux oder Cloud
Für Arbeitsplätze, an denen hauptsächlich mit Browser, E-Mail und Office gearbeitet wird, kann ein Linux-Desktop oder eine cloudbasierte Arbeitsumgebung eine echte Alternative sein — ohne Betriebssystem-Lizenzkosten und mit langer Update-Versorgung. Auch ältere, für Windows 11 zu schwache Geräte laufen unter einem schlanken Linux oft noch jahrelang zuverlässig. Die Grenze ist die Fachsoftware: Wo Windows-only-Anwendungen oder tiefe Microsoft-365-Integration gefragt sind, stößt der Ansatz an Grenzen. Wer über Cloud-Arbeitsplätze nachdenkt, sollte auch die Alternativen zu Microsoft 365 in die Überlegung einbeziehen.
Läuft Ihre Hardware unter Windows 11?
Bevor Sie über Upgrade oder Neukauf entscheiden, müssen Sie wissen, welche Ihrer Geräte Windows 11 überhaupt ausführen können. Microsoft stellt dafür klare, aber im Detail strenge Anforderungen. Drei davon sind die Hürden, an denen ältere Hardware typischerweise scheitert:
- TPM 2.0 — ein Trusted Platform Module in Version 2.0, ein Sicherheitschip, der kryptografische Schlüssel hardwareseitig verwaltet. Viele Business-Geräte ab etwa Baujahr 2018 haben ihn verbaut, oft ist er im BIOS/UEFI aber deaktiviert und muss erst eingeschaltet werden.
- Secure Boot — ein UEFI-Verfahren, das verhindert, dass beim Start nicht signierte oder manipulierte Software geladen wird. Auch das lässt sich bei kompatiblen Geräten im Firmware-Setup aktivieren.
- Unterstützte CPU — Microsoft pflegt eine Liste freigegebener Prozessoren. Hier scheitern die meisten älteren Geräte endgültig: Ist die CPU nicht auf der Liste, hilft kein BIOS-Schalter. Dann bleiben nur Neukauf, ESU oder eine Alternative.
Prüfen können Sie das am schnellsten mit der Microsoft-App „PC Integritätsprüfung" (PC Health Check), die für jedes Gerät sofort meldet, ob und woran die Kompatibilität scheitert. In größeren Umgebungen lohnt sich stattdessen eine zentrale Inventarisierung, die den Kompatibilitätsstatus aller Geräte in einer Übersicht zusammenführt — das ist die Grundlage für jede belastbare Planung.
Wichtig: TPM 2.0 im BIOS deaktiviert zu haben ist kein Ausschlusskriterium — hier genügt oft ein Firmware-Eingriff. Eine nicht gelistete CPU dagegen ist eine harte Grenze. Diese Unterscheidung entscheidet darüber, ob ein Gerät ein Fünf-Minuten-Fall oder ein Ersatzkandidat ist.
Was das ESU-Programm kostet und für wen es sinnvoll ist
Das Extended Security Updates Programm ist Microsofts offizieller Weg, Windows 10 über das Support-Ende hinaus mit Sicherheitsupdates zu versorgen. Es funktioniert als jährlich buchbare Verlängerung: Das erste Jahr läuft von Oktober 2025 bis Oktober 2026 und lässt sich anschließend jährlich verlängern — maximal bis Oktober 2028. Danach ist endgültig Schluss.
ESU umfasst ausschließlich als kritisch und wichtig eingestufte Sicherheitspatches. Keine neuen Funktionen, keine Qualitäts-Updates darüber hinaus, kein technischer Support bei Problemen. Es hält Windows 10 sicherheitstechnisch am Leben, mehr nicht.
Die konkreten Preise pro Gerät und Jahr legt Microsoft fest, und sie steigen erfahrungsgemäß von Jahr zu Jahr an — das ESU-Programm ist bewusst so gestaltet, dass Verharren mit der Zeit teurer wird. Die exakten €-Beträge pro Gerät und Jahr nennen wir hier bewusst nicht, weil sie sich je nach Lizenzprogramm, Volumen und Jahr unterscheiden; wir prüfen die für Ihr Szenario gültigen Konditionen individuell.
Sinnvoll ist ESU vor allem als Überbrückung: für einzelne Geräte, die noch nicht abgeschrieben sind, für Systeme mit einer Fachanwendung, die noch nicht Windows-11-tauglich ist, oder um einen geordneten, gestaffelten Rollout über mehrere Monate zu ermöglichen, statt alles auf einmal umstellen zu müssen. Was ESU nicht ist: eine Dauerlösung. Wer es Jahr für Jahr verlängert, zahlt für Stillstand und verschiebt das eigentliche Problem nur — bis es 2028 ohne weitere Option zurückkehrt.
Sicherheits- und Compliance-Folgen
Der Kern des Problems ist einfach: Ein Betriebssystem, das keine Sicherheitsupdates mehr erhält, ist ein offenes Einfallstor. Unpatchte Systeme gehören zu den häufigsten Ursachen erfolgreicher Ransomware-Angriffe — Angreifer suchen gezielt nach bekannten, nicht geschlossenen Schwachstellen, weil diese den geringsten Aufwand bedeuten. Je länger ein Windows-10-Gerät ohne ESU im Netz hängt, desto mehr solcher Lücken sammeln sich an.
Für Unternehmen hat das zwei unmittelbare Konsequenzen jenseits der reinen Technik:
Cyberversicherung. Versicherer knüpfen die Deckung zunehmend an technische Mindeststandards, zu denen ein aktuelles, mit Updates versorgtes Betriebssystem gehört. Kommt es zu einem Schaden und stellt sich heraus, dass veraltete, nicht mehr unterstützte Systeme im Einsatz waren, kann der Versicherer die Leistung kürzen oder ganz verweigern. Die Police schützt Sie dann nicht mehr — genau in dem Moment, in dem Sie sie brauchen.
NIS2 und Patch-Management. Die NIS2-Richtlinie verlangt von betroffenen Unternehmen ein systematisches Management von Schwachstellen und Updates als Basispflicht. Ein Betriebssystem ohne Update-Versorgung ist damit nicht vereinbar. Auch Unternehmen, die formal nicht direkt unter NIS2 fallen, geraten über ihre Rolle in Lieferketten zunehmend unter denselben Erwartungsdruck. Was NIS2 für kleinere und mittlere Unternehmen konkret bedeutet, ordnen wir in einem gesonderten Beitrag ein.
Ergänzend gilt: Selbst wenn Ihre Endgeräte migriert sind, lohnt ein Blick auf das Gesamtbild. Ein kostenloser Port- und Schwachstellen-Check — etwa über ifcsd.de — zeigt, welche Systeme von außen erreichbar sind und ob dort ungepatchte Dienste offenliegen. Das ist eine sinnvolle Ergänzung zur Betriebssystem-Migration, kein Ersatz dafür.
Empfohlenes Vorgehen: Inventarisierung, Priorisierung, Rollout
Aus der Migrationsplanung in der Praxis hat sich ein dreistufiges Vorgehen bewährt. Es verhindert die zwei häufigsten Fehler: entweder in Panik alles auf einmal umzustellen und dabei den Betrieb lahmzulegen — oder aus Unsicherheit gar nichts zu tun und das Risiko einfach weiterlaufen zu lassen.
Schritt 1 — Inventarisierung. Verschaffen Sie sich zuerst einen vollständigen Überblick: Welche Geräte laufen unter Windows 10? Welche erfüllen die Windows-11-Anforderungen, welche nicht? Wie alt ist die Hardware, wann läuft die Abschreibung aus? Welche Fachanwendungen laufen auf welchen Geräten und sind sie Windows-11-tauglich? Ohne diese Bestandsaufnahme ist jede Entscheidung ein Ratespiel.
Schritt 2 — Priorisierung. Sortieren Sie die Geräte nach Risiko und Aufwand. Höchste Priorität haben Systeme mit Zugang zu sensiblen Daten und Geräte, die aus dem Internet erreichbar sind. Danach kommt die Masse der Standard-Arbeitsplätze. Zu jeder Geräteklasse gehört eine Entscheidung: Upgrade, Neukauf, ESU-Überbrückung oder Alternative. Am Ende dieses Schritts steht ein klarer Plan, welches Gerät welchen Weg geht.
Schritt 3 — gestaffelter Rollout. Setzen Sie die Migration in Wellen um, nicht in einem großen Sprung. Beginnen Sie mit einer kleinen Pilotgruppe, prüfen Sie, ob alle Fachanwendungen unter Windows 11 laufen, und rollen Sie erst dann breiter aus. Kritische oder noch nicht migrierbare Geräte werden per ESU überbrückt, bis sie an der Reihe sind. So bleibt der Betrieb durchgängig lauffähig und jede Welle liefert Erfahrungswerte für die nächste.
Als IT-Genossenschaft und Systemhaus in Magdeburg begleiten wir KMU durch genau diesen Prozess — von der Inventarisierung über die Entscheidung pro Geräteklasse bis zum gestaffelten Rollout, herstellerunabhängig und ohne den Druck, mehr zu verkaufen als nötig.

