Windows 10 Support-Ende — Umstieg für KMU, Koreva eG

Windows 10 Support-Ende: Was KMU jetzt tun müssen

Windows 10 erhält seit dem 14. Oktober 2025 keine Sicherheitsupdates mehr. Für KMU heißt das: Sie brauchen jetzt einen konkreten Migrationsplan — bevor die erste ungepatchte Lücke ausgenutzt wird.

Inhaltsverzeichnis

Was das Support-Ende konkret bedeutet

Am 14. Oktober 2025 hat Microsoft den regulären Support für Windows 10 eingestellt. Das ist kein Ausschalten und keine Abkündigung, die Sie sofort spüren: Ihre Rechner starten weiter, Ihre Programme laufen weiter, und auf den ersten Blick ändert sich nichts. Genau das macht das Support-Ende so tückisch — der Schaden ist unsichtbar, bis er eintritt.

Konkret bedeutet das Ende des Supports: Microsoft liefert für die reguläre Windows-10-Version keine Sicherheitsupdates mehr aus. Jede Schwachstelle, die nach dem 14. Oktober 2025 in Windows 10 gefunden wird — und in einem so weit verbreiteten Betriebssystem werden laufend neue gefunden — bleibt dauerhaft offen. Es gibt keinen Patch mehr, der sie schließt. Angreifer wissen das. Erfahrungsgemäß steigt nach dem End-of-Life eines Systems die Zahl der gezielt darauf ausgerichteten Angriffe, weil sich bekannte, nie geschlossene Lücken zuverlässig ausnutzen lassen.

Das Ergebnis ist eine mit jedem Monat wachsende Angriffsfläche. Ein Windows-10-System ohne Verlängerung ist nach dem Support-Ende nicht sofort gehackt — aber es ist nur noch nicht kompromittiert. Der Unterschied zu einem gepflegten System ist fundamental: Bei letzterem schließt Microsoft neue Lücken im monatlichen Update-Zyklus, bei ersterem sammeln sie sich an.

Für Unternehmen kommt eine regulatorische Dimension hinzu. Cyberversicherungen setzen ein funktionierendes Patch-Management zunehmend voraus und können die Deckung im Schadenfall kürzen oder verweigern, wenn nachweislich veraltete, nicht mehr unterstützte Systeme im Einsatz waren. Und mit der Cyberversicherung allein ist es nicht getan: Auch die NIS2-Regulierung verlangt von betroffenen Unternehmen ein systematisches Schwachstellen- und Patch-Management als Basispflicht. Ein Betriebssystem, das keine Sicherheitsupdates mehr erhält, steht dieser Pflicht direkt entgegen.

Die vier Optionen für KMU

Für den Umgang mit dem Windows-10-Support-Ende gibt es im Kern vier Wege. Welcher der richtige ist, hängt vom Alter Ihrer Geräte, Ihrer Software-Landschaft und Ihrem Budget ab — und in der Praxis ist es fast immer eine Kombination mehrerer Optionen, gestaffelt über Geräteklassen hinweg.

1. Upgrade auf Windows 11

Wenn Ihre Hardware die Anforderungen erfüllt, ist das In-Place-Upgrade auf Windows 11 der naheliegendste Weg. Vorteil: kein Hardwarekauf, vertraute Umgebung, voller Support-Zeitraum. Nachteil: Nicht jedes Gerät ist kompatibel, und ein Upgrade auf produktiven Systemen will vorbereitet sein — Datensicherung, Test der Fachanwendungen, geplantes Zeitfenster. Ein unkoordiniertes Massen-Upgrade über Nacht ist ein Rezept für Ausfälle.

2. Neue Hardware

Bei älteren Geräten, die Windows 11 nicht unterstützen oder ohnehin am Ende ihres Lebenszyklus stehen, ist der Hardware-Refresh oft die wirtschaftlichste Lösung — auch wenn die Anschaffung zunächst teurer wirkt. Neue Business-Geräte bringen Windows 11 vorinstalliert und TPM 2.0 aktiv mit. Der Refresh lässt sich sinnvoll mit einer Modernisierung der IT-Struktur verbinden, etwa dem Umstieg auf schlanke Endgeräte plus zentraler Virtualisierung, bei der die eigentliche Rechenlast auf dem Server liegt.

3. ESU-Verlängerung

Das Extended Security Updates Programm (ESU) verlängert die Versorgung mit sicherheitskritischen Updates gegen Gebühr. Vorteil: Sie gewinnen Zeit, ohne sofort Hardware oder Betriebssystem austauschen zu müssen. Nachteil: ESU ist kostenpflichtig, umfasst nur Sicherheitspatches (keine Funktionsupdates, keinen Support) und ist zeitlich begrenzt. Es ist eine Brücke, keine Bleibe — dazu weiter unten mehr.

4. Alternative: Linux oder Cloud

Für Arbeitsplätze, an denen hauptsächlich mit Browser, E-Mail und Office gearbeitet wird, kann ein Linux-Desktop oder eine cloudbasierte Arbeitsumgebung eine echte Alternative sein — ohne Betriebssystem-Lizenzkosten und mit langer Update-Versorgung. Auch ältere, für Windows 11 zu schwache Geräte laufen unter einem schlanken Linux oft noch jahrelang zuverlässig. Die Grenze ist die Fachsoftware: Wo Windows-only-Anwendungen oder tiefe Microsoft-365-Integration gefragt sind, stößt der Ansatz an Grenzen. Wer über Cloud-Arbeitsplätze nachdenkt, sollte auch die Alternativen zu Microsoft 365 in die Überlegung einbeziehen.

Läuft Ihre Hardware unter Windows 11?

Bevor Sie über Upgrade oder Neukauf entscheiden, müssen Sie wissen, welche Ihrer Geräte Windows 11 überhaupt ausführen können. Microsoft stellt dafür klare, aber im Detail strenge Anforderungen. Drei davon sind die Hürden, an denen ältere Hardware typischerweise scheitert:

  • TPM 2.0 — ein Trusted Platform Module in Version 2.0, ein Sicherheitschip, der kryptografische Schlüssel hardwareseitig verwaltet. Viele Business-Geräte ab etwa Baujahr 2018 haben ihn verbaut, oft ist er im BIOS/UEFI aber deaktiviert und muss erst eingeschaltet werden.
  • Secure Boot — ein UEFI-Verfahren, das verhindert, dass beim Start nicht signierte oder manipulierte Software geladen wird. Auch das lässt sich bei kompatiblen Geräten im Firmware-Setup aktivieren.
  • Unterstützte CPU — Microsoft pflegt eine Liste freigegebener Prozessoren. Hier scheitern die meisten älteren Geräte endgültig: Ist die CPU nicht auf der Liste, hilft kein BIOS-Schalter. Dann bleiben nur Neukauf, ESU oder eine Alternative.

Prüfen können Sie das am schnellsten mit der Microsoft-App „PC Integritätsprüfung" (PC Health Check), die für jedes Gerät sofort meldet, ob und woran die Kompatibilität scheitert. In größeren Umgebungen lohnt sich stattdessen eine zentrale Inventarisierung, die den Kompatibilitätsstatus aller Geräte in einer Übersicht zusammenführt — das ist die Grundlage für jede belastbare Planung.

Wichtig: TPM 2.0 im BIOS deaktiviert zu haben ist kein Ausschlusskriterium — hier genügt oft ein Firmware-Eingriff. Eine nicht gelistete CPU dagegen ist eine harte Grenze. Diese Unterscheidung entscheidet darüber, ob ein Gerät ein Fünf-Minuten-Fall oder ein Ersatzkandidat ist.

Was das ESU-Programm kostet und für wen es sinnvoll ist

Das Extended Security Updates Programm ist Microsofts offizieller Weg, Windows 10 über das Support-Ende hinaus mit Sicherheitsupdates zu versorgen. Es funktioniert als jährlich buchbare Verlängerung: Das erste Jahr läuft von Oktober 2025 bis Oktober 2026 und lässt sich anschließend jährlich verlängern — maximal bis Oktober 2028. Danach ist endgültig Schluss.

ESU umfasst ausschließlich als kritisch und wichtig eingestufte Sicherheitspatches. Keine neuen Funktionen, keine Qualitäts-Updates darüber hinaus, kein technischer Support bei Problemen. Es hält Windows 10 sicherheitstechnisch am Leben, mehr nicht.

Die konkreten Preise pro Gerät und Jahr legt Microsoft fest, und sie steigen erfahrungsgemäß von Jahr zu Jahr an — das ESU-Programm ist bewusst so gestaltet, dass Verharren mit der Zeit teurer wird. Die exakten €-Beträge pro Gerät und Jahr nennen wir hier bewusst nicht, weil sie sich je nach Lizenzprogramm, Volumen und Jahr unterscheiden; wir prüfen die für Ihr Szenario gültigen Konditionen individuell.

Sinnvoll ist ESU vor allem als Überbrückung: für einzelne Geräte, die noch nicht abgeschrieben sind, für Systeme mit einer Fachanwendung, die noch nicht Windows-11-tauglich ist, oder um einen geordneten, gestaffelten Rollout über mehrere Monate zu ermöglichen, statt alles auf einmal umstellen zu müssen. Was ESU nicht ist: eine Dauerlösung. Wer es Jahr für Jahr verlängert, zahlt für Stillstand und verschiebt das eigentliche Problem nur — bis es 2028 ohne weitere Option zurückkehrt.

Sicherheits- und Compliance-Folgen

Der Kern des Problems ist einfach: Ein Betriebssystem, das keine Sicherheitsupdates mehr erhält, ist ein offenes Einfallstor. Unpatchte Systeme gehören zu den häufigsten Ursachen erfolgreicher Ransomware-Angriffe — Angreifer suchen gezielt nach bekannten, nicht geschlossenen Schwachstellen, weil diese den geringsten Aufwand bedeuten. Je länger ein Windows-10-Gerät ohne ESU im Netz hängt, desto mehr solcher Lücken sammeln sich an.

Für Unternehmen hat das zwei unmittelbare Konsequenzen jenseits der reinen Technik:

Cyberversicherung. Versicherer knüpfen die Deckung zunehmend an technische Mindeststandards, zu denen ein aktuelles, mit Updates versorgtes Betriebssystem gehört. Kommt es zu einem Schaden und stellt sich heraus, dass veraltete, nicht mehr unterstützte Systeme im Einsatz waren, kann der Versicherer die Leistung kürzen oder ganz verweigern. Die Police schützt Sie dann nicht mehr — genau in dem Moment, in dem Sie sie brauchen.

NIS2 und Patch-Management. Die NIS2-Richtlinie verlangt von betroffenen Unternehmen ein systematisches Management von Schwachstellen und Updates als Basispflicht. Ein Betriebssystem ohne Update-Versorgung ist damit nicht vereinbar. Auch Unternehmen, die formal nicht direkt unter NIS2 fallen, geraten über ihre Rolle in Lieferketten zunehmend unter denselben Erwartungsdruck. Was NIS2 für kleinere und mittlere Unternehmen konkret bedeutet, ordnen wir in einem gesonderten Beitrag ein.

Ergänzend gilt: Selbst wenn Ihre Endgeräte migriert sind, lohnt ein Blick auf das Gesamtbild. Ein kostenloser Port- und Schwachstellen-Check — etwa über ifcsd.de — zeigt, welche Systeme von außen erreichbar sind und ob dort ungepatchte Dienste offenliegen. Das ist eine sinnvolle Ergänzung zur Betriebssystem-Migration, kein Ersatz dafür.

Empfohlenes Vorgehen: Inventarisierung, Priorisierung, Rollout

Aus der Migrationsplanung in der Praxis hat sich ein dreistufiges Vorgehen bewährt. Es verhindert die zwei häufigsten Fehler: entweder in Panik alles auf einmal umzustellen und dabei den Betrieb lahmzulegen — oder aus Unsicherheit gar nichts zu tun und das Risiko einfach weiterlaufen zu lassen.

Schritt 1 — Inventarisierung. Verschaffen Sie sich zuerst einen vollständigen Überblick: Welche Geräte laufen unter Windows 10? Welche erfüllen die Windows-11-Anforderungen, welche nicht? Wie alt ist die Hardware, wann läuft die Abschreibung aus? Welche Fachanwendungen laufen auf welchen Geräten und sind sie Windows-11-tauglich? Ohne diese Bestandsaufnahme ist jede Entscheidung ein Ratespiel.

Schritt 2 — Priorisierung. Sortieren Sie die Geräte nach Risiko und Aufwand. Höchste Priorität haben Systeme mit Zugang zu sensiblen Daten und Geräte, die aus dem Internet erreichbar sind. Danach kommt die Masse der Standard-Arbeitsplätze. Zu jeder Geräteklasse gehört eine Entscheidung: Upgrade, Neukauf, ESU-Überbrückung oder Alternative. Am Ende dieses Schritts steht ein klarer Plan, welches Gerät welchen Weg geht.

Schritt 3 — gestaffelter Rollout. Setzen Sie die Migration in Wellen um, nicht in einem großen Sprung. Beginnen Sie mit einer kleinen Pilotgruppe, prüfen Sie, ob alle Fachanwendungen unter Windows 11 laufen, und rollen Sie erst dann breiter aus. Kritische oder noch nicht migrierbare Geräte werden per ESU überbrückt, bis sie an der Reihe sind. So bleibt der Betrieb durchgängig lauffähig und jede Welle liefert Erfahrungswerte für die nächste.

Als IT-Genossenschaft und Systemhaus in Magdeburg begleiten wir KMU durch genau diesen Prozess — von der Inventarisierung über die Entscheidung pro Geräteklasse bis zum gestaffelten Rollout, herstellerunabhängig und ohne den Druck, mehr zu verkaufen als nötig.

Steffen Huntscha

IT-Berater & Gründungsmitglied · Koreva eG

Cisco-zertifizierter Netzwerk- & Security-Spezialist (CCNA/CCNP, seit 2010), BSI-zertifizierter Security-Risk-Check-Berater. Arbeitet seit Jahren produktiv mit KI — auch lokal auf eigener GPU-Infrastruktur.

Häufige Fragen

Windows 10 funktioniert nach dem 14.10.2025 technisch weiter — aber Microsoft liefert für die reguläre Version keine Sicherheitsupdates mehr. Das heißt: Jede nach diesem Datum entdeckte Sicherheitslücke bleibt dauerhaft offen. Mit jedem Monat wächst die Zahl bekannter, ungepatchter Schwachstellen und damit die Angriffsfläche.

Ein Windows-10-System ohne ESU-Verlängerung ist deshalb kein sicheres System mehr — es ist nur noch nicht kompromittiert. Für die Nutzung im Unternehmen ist das kritisch, weil unpatchte Systeme das häufigste Einfallstor für Ransomware und Datenabfluss sind.

Microsoft bietet mit dem Extended Security Updates Programm (ESU) kostenpflichtige Sicherheitsupdates über das Support-Ende hinaus an. Das erste Jahr läuft von Oktober 2025 bis Oktober 2026 und ist jährlich verlängerbar — maximal bis Oktober 2028. ESU umfasst ausschließlich sicherheitskritische Patches, keine Funktionsupdates und keinen technischen Support.

Die konkreten Preise pro Gerät und Jahr sowie Rabatte für Volumenlizenzen legt Microsoft fest und sie steigen typischerweise von Jahr zu Jahr — die für Ihr Szenario gültigen Konditionen prüfen wir vor einer Empfehlung individuell. ESU ist als Überbrückung gedacht, nicht als Dauerlösung.

Windows 11 setzt einen TPM-2.0-Chip, aktiviertes Secure Boot und eine von Microsoft unterstützte CPU voraus. Ob Ihr Gerät die Anforderungen erfüllt, prüfen Sie am schnellsten mit der Microsoft-App PC Integritätsprüfung (PC Health Check) oder über die Systeminformationen.

Viele Business-Geräte ab etwa Baujahr 2018 bringen TPM 2.0 mit, es ist im BIOS/UEFI aber teilweise deaktiviert und muss erst eingeschaltet werden. Ältere Geräte fallen dagegen an der CPU-Kompatibilitätsliste durch — dann hilft kein BIOS-Schalter, sondern nur neue Hardware, ESU zur Überbrückung oder eine Alternative.

Für Geräte, die die Windows-11-Anforderungen nicht erfüllen, gibt es drei sinnvolle Wege. Erstens: ESU als zeitliche Überbrückung, bis das Gerät regulär ersetzt wird — sinnvoll für einzelne, noch nicht abgeschriebene Maschinen. Zweitens: Hardware-Refresh, wobei sich die Umstellung oft mit einem Wechsel auf schlanke Thin Clients plus zentraler Virtualisierung kombinieren lässt.

Drittens: Zweitverwendung — ältere Geräte können unter einem gepflegten Linux oder als reine Cloud-/Browser-Arbeitsplätze weiterlaufen, sofern die eingesetzte Fachsoftware das zulässt. Welcher Weg wirtschaftlich ist, hängt vom Alter der Geräte, der Software-Landschaft und dem Sicherheitsbedarf ab.

Ja — für bestimmte Arbeitsplätze sind Linux-Desktops oder cloudbasierte Arbeitsplätze eine echte Alternative. Wo hauptsächlich mit Browser, E-Mail und Office gearbeitet wird, deckt ein gepflegtes Linux mit LibreOffice oder eine Cloud-Umgebung den Bedarf ab, ohne Lizenzkosten für das Betriebssystem und mit langer Update-Versorgung.

Die Grenze ist die Fachsoftware: Wo Windows-only-Anwendungen, spezielle Branchenlösungen oder tiefe Microsoft-365-Integration im Spiel sind, ist ein reiner Umstieg selten praktikabel. Der realistische Weg für die meisten KMU ist deshalb eine Mischung — Windows 11 dort, wo es sein muss, Linux oder Cloud dort, wo es passt.

Windows-10-Umstieg planen lassen

Wir inventarisieren Ihre Geräte, klären die Windows-11-Kompatibilität und begleiten Sie durch einen gestaffelten, betriebssicheren Umstieg — herstellerunabhängig und ohne Verkaufsdruck.