Windows 10 läuft ab – was KMU in Bayern sechs Monate nach dem Support-Ende tun sollten

Sechs Monate sind vergangen, seit Microsoft am 14. Oktober 2025 den Support für Windows 10 eingestellt hat. In unseren Bestandskundengesprächen seit November zeigt sich ein klares Muster: Die meisten mittelständischen Betriebe wissen es — und haben trotzdem noch nicht gehandelt. Ein Metallbauunternehmen aus Bischofswiesen im Berchtesgadener Land mit 34 Arbeitsplätzen brachte es im März auf den Punkt: "Wir haben es immer wieder verschoben, weil der Betrieb läuft. Jetzt sind wir uns nicht mehr sicher, ob das noch legal ist."

Das ist kein Einzelfall. Nach unserer Einschätzung laufen in bayerischen KMU noch heute 30 bis 50 Prozent aller Büro-Arbeitsplätze unter Windows 10. Die Gründe sind vertraut: knappe IT-Budgets, Angst vor Kompatibilitätsproblemen mit älteren Fachanwendungen, fehlende interne Ressourcen. Aber die Frage, ob der Betrieb noch läuft, beantwortet nicht die Frage, ob er noch sicher ist.

Was "kein Support" konkret bedeutet

Solange Microsoft Sicherheitspatches veröffentlichte, wurden bekannte Schwachstellen in Windows 10 innerhalb von Wochen geschlossen. Dieses Netz gibt es nicht mehr. Jede Sicherheitslücke, die ab Oktober 2025 in Windows 10 entdeckt wird, bleibt offen — dauerhaft. Angreifer kennen diesen Mechanismus und starten erfahrungsgemäß verstärkte Kampagnen gegen Systeme kurz nach EOL-Terminen, weil sich der Aufwand lohnt: Ein gefundener Zero-Day ist auf ungepatchten Systemen für Jahre nutzbar.

Für Unternehmen, die unter NIS2 oder dem DSGVO-Artikel 32 fallen, kommt ein weiteres Problem hinzu. Beide Regelwerke verlangen den Einsatz von Systemen auf einem aktuellen, supporteten Stand als Teil der technischen Schutzmaßnahmen. Ein Datenschutzvorfall auf einem Windows-10-Rechner ohne aktiven Support dürfte bei der Meldepflicht gegenüber dem BayLDA unangenehme Folgefragen erzeugen. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt seit Jahren explizit, nicht mehr unterstützte Betriebssysteme aus produktiven Umgebungen zu entfernen.

ESU: Sicherheitsnetz oder teures Pflaster?

Microsoft bietet mit dem Extended Security Updates-Programm (ESU) eine Verlängerung des Sicherheitspatch-Supports — kostenpflichtig, gestaffelt und zeitlich begrenzt. Für Unternehmen gilt: Jahr 1 kostet 61 USD pro Gerät über Volumenlizenz oder CSP-Partner. Jahr 2 kostet 122 USD, Jahr 3 bereits 244 USD pro Gerät. Das Programm läuft maximal bis Oktober 2028.

Beim Ingolstädter Metallbaubetrieb haben wir das durchgerechnet: 34 Geräte, alle drei ESU-Jahre genutzt. Kosten allein für den verlängerten Patch-Support: rund 14.700 USD — ohne Migrations- und Managementaufwand, ohne neue Hardware. Für denselben Betrag hätte man nach unserer Kalkulation 12 bis 15 Geräte komplett erneuert und den Rest über Windows-11-Upgrades abgedeckt, da ein Teil der Hardware die Systemanforderungen bereits erfüllt.

ESU ist sinnvoll für Geräte, die aus technischen Gründen kurzfristig nicht migrierbar sind — etwa spezialisierte Messrechner an Maschinen mit proprietärer Software, für die der Hersteller noch kein Windows-11-Zertifikat hat. Als Strategie für den Büro-Regelbetrieb ist es das teuerste aller schlechten Optionen. In unserer IT-Security-Beratung empfehlen wir ESU ausschließlich als Überbrückung für konkret benannte Ausnahme-Systeme.

Windows 11: Hardware-Hürden in der Praxis

Die meisten Windows-11-Diskussionen enden schnell beim TPM 2.0-Chip. Das ist berechtigt — ohne ihn verweigert der offizielle Installer die Installation. In unserer Praxis bei Bestandskunden mit Geräten aus den Jahren 2018 bis 2021 sieht die Lage differenzierter aus. Viele Rechner dieser Generation haben TPM 2.0 bereits verbaut, es ist nur im UEFI-BIOS deaktiviert. Ein Firmware-Update und eine BIOS-Einstellung lösen das Problem in zwanzig Minuten.

Bei älteren Systemen (Baujahr 2016 und früher) ohne TPM 2.0 und ohne aktivierbare Alternative gibt es zwei Wege: Austausch der Hardware oder Betrieb in einer kontrollierten Ausnahme-Policy. Microsoft hat für Unternehmen mit aktiver Azure-AD-Anbindung und Microsoft Intune eine verwaltete Ausnahme-Route dokumentiert — wir setzen sie bei einzelnen Spezialgeräten ein, würden sie aber nie für die Breite des Maschinenparks empfehlen. Das umgeht die Anforderung, schafft aber keine sichere Umgebung.

Die eigentliche Arbeit bei einer Migration in einem Betrieb mit 20 bis 80 Arbeitsplätzen liegt nicht im Betriebssystem-Upgrade selbst, sondern in der Vorbereitung: Welche Fachanwendung läuft auf welchem Rechner, gibt es einen Windows-11-Kompatibilitätstest des Herstellers, und wie verhalten sich lokale Drucker, Netzlaufwerke und VPN-Clients unter Windows 11? Diese Bestandsaufnahme dauert bei uns typischerweise ein bis zwei Tage für einen Betrieb dieser Größe — und spart deutlich mehr Zeit als sie kostet.

Was sinnvoller ist als abzuwarten

Ein strukturiertes Vorgehen ist im Frühjahr 2026 immer noch möglich, aber das Zeitfenster für eine ruhige Migration schließt sich. Mit jedem Monat steigt das statistische Risiko, dass eine bekannte Windows-10-Schwachstelle aktiv ausgenutzt wird.

Wir empfehlen unseren Kunden eine dreigeteilte Herangehensweise: Zuerst eine Bestandsaufnahme aller Windows-10-Geräte mit Alters- und Hardwareprofil. Dann eine klare Kategorisierung — migrierbar, migrierbar mit Hardwaretausch, oder berechtigte ESU-Ausnahme. Schließlich einen Migrationsfahrplan mit realistischen Zeitfenstern, der den laufenden Betrieb nicht gefährdet.

Für die IT-Infrastruktur vieler Betriebe ist eine Windows-11-Migration ohnehin der sinnvolle Zeitpunkt, um gleichzeitig auf moderne Verwaltungskonzepte wie Microsoft Intune oder Entra ID umzusteigen. Wer heute noch mit lokalen Gruppenrichtlinien und manuellen Windows-Updates arbeitet, hat nach der Migration die Chance, diesen Aufwand dauerhaft zu reduzieren.

Der Metallbauunternehmer aus Bischofswiesen hat sich Ende März für einen hybriden Weg entschieden: 28 Geräte werden auf Windows 11 migriert, 4 Maschinen an der Fertigung erhalten ESU für maximal zwölf Monate bis der CAD-Hersteller das Windows-11-Zertifikat liefert, 2 Geräte werden getauscht. Die Migration läuft gerade — ohne Betriebsunterbrechung, Abteilung für Abteilung.

---