Inhalt in Kuerze
- Windows XP ist seit April 2014 EOL. Wer es noch im Netz hat, betreibt eine offene Tuer fuer jeden Angreifer.
- Windows 10 wurde am 14. Oktober 2025 eingestellt. Seitdem gibt es keine kostenlosen Sicherheitsupdates mehr – das BSI empfiehlt eindeutig den Wechsel.
- Windows 11 ist der einzig sinnvolle Zielkurs fuer KMU – plus Hardware-Refresh fuer Geraete ohne TPM 2.0 (rund 55 Prozent der Bestaende).
- Migration in 8 bis 12 Wochen ist machbar, wenn Hardware-Check, Pilot-Welle und Intune/Autopilot-Setup richtig aufgesetzt sind.
Die Frage lautet 2026 nicht mehr „Was kommt nach XP?”. Die Frage lautet: Wie bringen wir den ganzen Maschinenpark sauber auf Windows 11 – ohne Produktionsausfall und ohne nach jedem Patch ueber den Schreibtisch zu rennen.
Wir sehen das taeglich bei Neukunden in Hamburg, Bremen und Norddeutschland. XP-Restbestaende in Maschinen-PCs. Windows-7-Buchhaltungsrechner, die seit 2020 keinen Patch mehr gesehen haben. Windows-10-Notebooks, die seit Oktober 2025 unbemerkt in Betrieb sind. Wer das ignoriert, faengt sich frueher oder spaeter eine Welle ein – meist ueber einen Anhang in der Buchhaltung. Dieser Artikel zeigt, was Sie als Geschaeftsfuehrer wirklich tun muessen.
Warum Windows XP 2026 ein kritisches Risiko ist
Wer 2026 noch Windows XP betreibt, betreibt ein Betriebssystem, das seit zwoelf Jahren keinen einzigen Sicherheits-Patch von Microsoft mehr gesehen hat. In dieser Zeit wurden hunderte CVEs gemeldet – kein einziger davon ist im XP-Code geschlossen. Konkret heisst das: Es gibt kein TLS 1.3 (moderne Webdienste reden gar nicht mehr mit XP), keine aktuellen SMB-Versionen (Wurm-Angriffe wie WannaCry oder EternalBlue ziehen sich seit Jahren durch ungepatchte XP-Netze), keine modernen Browser, keine Endpoint-Protection mehr fuer XP. Ein XP-Rechner im Firmennetz ist nicht „etwas weniger sicher” – er ist eine offene Tuer, ueber die ein Angreifer in Minuten ueber laterale Bewegung jeden anderen Rechner uebernehmen kann.
Dazu kommt die rechtliche Seite. DSGVO Art. 32 verpflichtet zu „Stand der Technik” bei der Datensicherheit – XP erfuellt das definitiv nicht. Im Schadensfall kann eine Cyberversicherung die Leistung verweigern, wenn dokumentiert ist, dass ein veraltetes Betriebssystem im Netz lief. Und beim TPM-2.0- und Secure-Boot-Zwang von Windows 11 (auch in 24H2/25H2) sind XP-Geraete von der Migration ohnehin ausgeschlossen – ein direktes Upgrade existiert nicht.
Warum die Frage „Wechsel von XP” 2026 anders aussieht
Vor zehn Jahren war die Antwort simpel: Sie wechseln von Windows XP auf Windows 7 oder 8. Heute ist Windows 7 ebenfalls EOL (Januar 2020), Windows 8.1 endete 2023 – und Windows 10 hat seit dem 14. Oktober 2025 keinen Support mehr.
Die einzige sinnvolle Antwort heisst Windows 11. Alles andere ist ein Workaround.
Wir hatten kuerzlich einen Hamburger Maschinenbauer mit 35 Mitarbeitern in der Inventur. Auf zwei Maschinen-PCs lief noch Windows XP, drei Buero-Notebooks waren auf Windows 7, der Rest Windows 10. Drei verschiedene Betriebssysteme im selben Netz, alle ohne aktuelle Sicherheitsupdates. Genau die Konstellation, in der ein einziger Phishing-Klick reicht, um die ganze Domain zu uebernehmen.
Auch ein einzelner Windows-XP- oder Windows-10-Rechner ohne Updates gefaehrdet das ganze Netz. Angreifer scannen automatisiert nach veralteten SMB- und RDP-Versionen. Ein verwundbarer Endpoint reicht – unabhaengig davon, wie gut der Rest geschuetzt ist.
Windows-Lifecycle 2026: Wer ist noch supported?
Microsoft veroeffentlicht den Lifecycle-Status pro Produkt. Ein Blick in die offizielle Microsoft-Doku zum Windows-10-Supportende macht es eindeutig.
| Betriebssystem | Support-Ende | Status 2026 |
|---|---|---|
| Windows XP | 8. April 2014 | EOL – betriebsblind weiternutzen unverantwortlich |
| Windows 7 | 14. Januar 2020 | EOL – ohne ESU keine Patches mehr |
| Windows 8.1 | 10. Januar 2023 | EOL – kein Mainstream-Support |
| Windows 10 | 14. Oktober 2025 | EOL – ESU bis maximal Oktober 2028 (kostenpflichtig) |
| Windows 11 | mindestens bis 2031 | Supported – aktueller Stand: Version 24H2 |
Laut StatCounter haben weltweit ueber 70 Prozent aller Windows-Rechner mittlerweile auf Windows 11 gewechselt. Im deutschen Mittelstand hinkt der Wechsel etwas hinterher. Genau hier sehen wir den groessten Handlungsdruck.
Wieso Windows 10 wirklich „weg” ist
Viele Geschaeftsfuehrer fragen mich: „Mein PC startet doch noch ganz normal. Warum jetzt umstellen?” Die Antwort ist unbequem. Ein Betriebssystem ohne Sicherheitsupdates ist nicht „etwas weniger sicher” – es ist nach drei bis sechs Monaten massiv unsicher. Genau das schreibt auch das BSI: Windows 10 wird mit jedem Monat verwundbarer, weil neue Schwachstellen entdeckt, aber nicht mehr geschlossen werden.
Die koennen einfach so viel mehr Unternehmen angreifen. Das geht alles mit KI – Massenangriff. Ob Sie nun klein sind oder gross, das ist voellig wurscht. Mit einem ungepatchten Windows 10 sind Sie 2026 das einfachste Ziel im Internet.
Jens HagelGeschaeftsfuehrer, hagel IT-Services GmbH
Windows 10 vs. Windows 11 – der ehrliche Vergleich fuer KMU
Windows 11 ist nicht „nur ein neues Design”. Es ist die erste Windows-Generation, die durchgaengig auf moderne Hardware-Sicherheit setzt: TPM 2.0, Secure Boot, virtualisierungsbasierter Schutz (VBS) und Hypervisor-Code-Integritaet sind Pflicht. Genau das macht den Unterschied gegen Ransomware aus.
| Kriterium | Windows 10 | Windows 11 |
|---|---|---|
| Support / Patches | ❌ EOL seit 14.10.2025 | ✅ supported bis mindestens 2031 |
| TPM 2.0 Pflicht | optional | Pflicht |
| Secure Boot | optional | Pflicht |
| Microsoft Copilot | nachgeruestet, eingeschraenkt | nativ integriert |
| Snap-Layouts / Multitasking | basic | deutlich verbessert |
| Microsoft Intune / Autopilot | unterstuetzt | unterstuetzt + bessere Policies |
| ESU / Lizenzkosten 2026 | ca. 61 USD pro Geraet (Jahr 1) | im Geraet enthalten |
| Installer-Hash-Schutz | nein | SmartApp Control |
| Eignung fuer Hamburg-KMU 2026 | nicht mehr empfehlenswert | klare Empfehlung |
Ein Aspekt wird oft uebersehen: Windows 11 in Verbindung mit Cloud und Microsoft 365 plus Microsoft Intune schaltet erst die Funktionen frei, fuer die Sie M365 ohnehin schon zahlen – Conditional Access, Compliance-Policies, Autopilot, Defender for Endpoint. Ohne Windows 11 bleiben das Karteileichen.
Hardware-Realitaet: Wer schafft den Sprung auf Windows 11?
Die ehrliche Zahl, die wir fast jede Woche bei Inventuren sehen: Etwa 55 Prozent der Unternehmens-PCs erfuellen die Windows-11-Mindestanforderungen nicht. Hauptgrund ist das fehlende TPM 2.0 oder eine zu alte CPU-Generation – das deckt sich mit den Beobachtungen, die heise im Migrations-Special fuer den Mittelstand schildert.
Die Microsoft-Mindestanforderungen im Klartext
- CPU: 64-Bit-Prozessor, mindestens 1 GHz, mindestens zwei Kerne und auf der Microsoft-Kompatibilitaetsliste (Intel ab 8. Generation / AMD Ryzen 2000+ in der Regel ja).
- RAM: 4 GB Minimum – fuer ein Business-Notebook 2026 sollten Sie 16 GB einplanen, sonst aergert sich der Anwender taeglich.
- Speicher: 64 GB – realistisch sind 256 GB SSD aufwaerts, sonst bleibt fuer M365, OneDrive und Teams nichts uebrig.
- TPM 2.0: Pflicht. Bei Geraeten ab 2018/2019 oft per BIOS-Update aktivierbar (oft als „PTT" oder „fTPM" benannt).
- Secure Boot: Pflicht. UEFI-Mode noetig, Legacy/CSM muss aus.
- Grafik: DirectX-12-faehig, WDDM-2.0-Treiber.
Drei Szenarien aus der Hamburger Praxis
In jedem Migrations-Projekt sehen wir die gleiche Verteilung der Geraete:
- Geraete von 2020 oder juenger – fast immer kompatibel. Hier reicht ein In-Place-Upgrade bzw. ein sauberes Re-Image ueber Intune/Autopilot. Kosten: nur Arbeit.
- Geraete von 2018 bis 2019 – Mischbild. Oft TPM 2.0 verbaut, aber im BIOS deaktiviert. Wir aktivieren PTT/fTPM, machen Secure Boot scharf, schalten UEFI um. Etwa eine bis zwei Stunden Arbeit pro Geraet.
- Geraete vor 2018 – meist nicht migrierbar. Selbst wenn ein TPM-Modul existiert, bremst die CPU. Empfehlung: gezielter Hardware-Refresh ueber unseren Hardware-Einkauf vom Systemhaus.
Optionen 2026: Was Sie wirklich tun koennen
Wir sehen in der Praxis fuenf Wege, wie Unternehmen mit der Situation umgehen. Vier davon sind sinnvoll – einer ist ein Risiko.
Option 1: Windows 11 Inplace-Upgrade auf bestehender Hardware
Fuer kompatible Geraete der schnellste Weg. Microsoft liefert das Upgrade ueber Windows Update, alternativ ueber das Installation-Assistent-Tool. Bei mehr als zehn Rechnern lohnt sich der Weg ueber Microsoft Intune und Autopilot plus eine zentrale Update-Compliance-Policy.
Vorteile: keine Neuanschaffung, Daten und Profile bleiben. Nachteile: aelterer „Schmutz” wandert mit, Treiberprobleme moeglich.
Option 2: Hardware-Refresh + sauberer Windows-11-Rollout
Der saubere Weg fuer alles, was vor 2018 angeschafft wurde. Neue Geraete kommen mit Windows 11 Pro vorinstalliert. Per Autopilot werden Profile, Apps und Daten automatisch verteilt – der Anwender packt aus, meldet sich an, fertig.
Genau das ist der Kern des Managed Workplace: Wir verwalten Hardware-Lifecycle, Imaging, Patch-Management und Helpdesk in einem Festpreis-Paket. Kein Geraete-Streuverlust mehr, keine „Wer hat den Laptop von Frau Mueller?”-Diskussionen.
Option 3: Cloud-PC / Windows 365
Statt physischer Notebook-Migration fahren Sie Ihre Anwender ueber Cloud-PC in Microsoft 365. Der Desktop liegt bei Microsoft, der Anwender braucht nur einen schlanken Endpunkt – idealerweise ein duennes Notebook oder ein Thin Client. Macht Sinn fuer Remote-Teams, externe Auftragnehmer und Anwender mit hohen Compliance-Anforderungen.
Option 4: Extended Security Updates (ESU) fuer Windows 10 – nur als Bruecke
ESU ist Microsofts Notbehelf. Sie zahlen pro Jahr eine Lizenz und bekommen weiterhin kritische Sicherheitsupdates. Im ersten Jahr rund 61 USD pro Geraet, danach jeweils Verdoppelung. ESU ist sinnvoll fuer Spezialgeraete (z.B. Maschinen-PCs), die Sie 2026 nicht migrieren koennen. Aber ESU ist kein Plan fuer den Bueromaschinenpark – nach drei Jahren haben Sie das Geld verbrannt, das ein neuer Rechner kosten wuerde.
Option 5: Nichts tun und „hoffen”
Das ist die teuerste Variante. Ein Cyberangriff kostet im Mittelstand laut Bitkom durchschnittlich mehrere hunderttausend Euro – ueber Loesegeld, Produktionsausfall und Wiederaufbau. Drei Monate Stillstand sind keine Theorie, wir haben das bei einem Sanitaerbetrieb in der Hamburger Umgebung selbst miterlebt.
Drei Monate lang konnten wir nicht arbeiten. Alles verschluesselt – jedes Dokument, jede E-Mail, jede Rechnung.
Der Migrationsplan: 8 bis 12 Wochen, vier Phasen
Wir fahren jeden Rollout im Mittelstand nach demselben Schema. Egal ob 30 oder 200 Arbeitsplaetze – die Phasen sind identisch, die Dauer skaliert.
- Phase 1 – Inventur und Hardware-Check (Woche 1–2): Wir scannen Ihren kompletten Geraetepark via Intune oder agentenbasiert. Ergebnis: kompatible / per BIOS aufruestbare / nicht migrierbare Geraete plus eine App-Compat-Liste fuer Branchensoftware.
- Phase 2 – Pilot-Welle (Woche 3–4): Fuenf bis zehn Anwender bekommen Windows 11 zuerst – meist die IT, die Geschaeftsleitung und ein Fachbereich mit komplexer Software. Hier finden wir 90 Prozent der Stolpersteine, bevor das Telefon im Helpdesk gluehte.
- Phase 3 – Wellenrollout (Woche 5–10): Pro Woche eine Welle von 10–20 Geraeten. Wir machen Imaging entweder zentral im Rechenzentrum oder via Autopilot direkt am Anwenderarbeitsplatz. Daten gehen ueber OneDrive oder einen Migrations-Job, Profile werden automatisiert mitgenommen.
- Phase 4 – Nacharbeit und Optimierung (Woche 11–12): Restgeraete, Sondermaschinen, Drucker-Treiber, ergonomische Feinarbeit. Lessons Learned werden in eine Standardkonfiguration gegossen, die der naechste neue Mitarbeiter automatisch bekommt.
Bei einem Hamburger Logistiker mit 60 Arbeitsplaetzen haben wir den ganzen Rollout in 9 Wochen abgewickelt – ohne einen einzigen Produktionsausfall. Schluessel war die Pilot-Welle: In Woche 4 fanden wir einen Treiberkonflikt mit einem alten Lager-Scanner. Wenn wir das in Woche 8 entdeckt haetten, waeren die Ueberstunden zweistellig gewesen.
Die Migrations-Checkliste fuer Geschaeftsfuehrer
- Bestand kennen. Inventur aller Windows-Geraete, inkl. Maschinen-PCs, Kassen, Spezialhardware. Niemand vergessen, sonst „findet" der Angreifer ihn.
- Kritische Branchensoftware pruefen. Hat DATEV / SAP / die ERP-Nische auch unter Windows 11 24H2 freigegeben? Wenn nein – Hersteller jetzt anschreiben.
- Hardware-Roadmap aufstellen. Fuer alle Geraete mit Baujahr vor 2018: Refresh-Plan in das Budget 2026/2027 einbauen.
- Microsoft 365 / Intune aktivieren. Ohne Intune verteilen Sie 50 Notebooks 50-mal manuell – das ist Zeitverschwendung.
- Pilot vor Welle. Niemals direkt mit der gesamten Belegschaft starten. Fuenf bis zehn Anwender zuerst, eine Woche Beobachtung.
- Backup vor Migration pruefen. Vor jedem Geraete-Re-Image: laeuft das Backup, lassen sich Dateien tatsaechlich zurueckspielen?
- Anwender mitnehmen. Eine 30-Minuten-Schulung pro Welle reicht – aber sie reduziert Helpdesk-Tickets in den ersten 14 Tagen um zwei Drittel.
- Rollback-Plan. Nicht jedes Inplace-Upgrade gelingt. Fuer den Notfall ein Restore-Image bereithalten.
Aus der Praxis: Drei Hamburger KMU – drei Migrations-Wege
Damit das nicht abstrakt bleibt: drei reale (anonymisierte) Faelle, die wir 2025/2026 begleitet haben.
Fall 1 – Architekturbuero, 12 Mitarbeiter: Geraete alle aus 2021/2022, kompatibel. Wir haben in drei Wochen via Autopilot komplett auf Windows 11 plus Intune migriert. Daten lagen ohnehin in OneDrive. Kosten: ca. 1.200 Euro im Projekt – danach laeuft das Lifecycle-Management im Managed Workplace mit.
Fall 2 – Steuerkanzlei, 28 Mitarbeiter: Mischpark, Haelfte 2017/2018, Haelfte 2020+. Wir haben aufgeteilt: 14 Geraete per BIOS-Anpassung gerettet, 14 neue Notebooks im Hardware-Refresh ueber unseren Einkauf bestellt. DATEV-Update auf eine 11-kompatible Version war der Knackpunkt – ein Tag Vorlauf, dann 6 Wochen Rollout.
Fall 3 – Maschinenbauer mit Produktion, 40 Mitarbeiter: Buero auf Windows 11 migriert. Drei Maschinen-PCs blieben aus harten Lizenzgruenden auf Windows XP/7 – diese laufen jetzt segmentiert in einem isolierten Produktions-VLAN ohne Internetzugang, gemonitort durch unser Managed-IT-Team. Kein Risiko fuer das Hauptnetz mehr, kein Stillstand der Maschinen.
Windows-Migration ohne Schock?
15 Minuten Erstgespraech mit Jens Hagel – wir schauen Ihren Geraetepark an, schaetzen Aufwand und Kosten ein. Kostenlos, ohne Vertriebsdruck.
Erstgespraech buchen →Was Windows-Migration im Festpreis bei hagel IT bedeutet
Wer einmal eine Migration mit Stundensatz-Abrechnung erlebt hat, vergisst das nicht. „Wir hatten ja noch einen Druckertreiber-Stress” – und plotzlich ist ein Drittel des Budgets weg, ohne dass jemand etwas Boeses wollte. Genau deswegen rechnen wir Migrations-Projekte beim Mittelstand grundsaetzlich im Festpreis ab.
Konkret heisst das bei uns: Sie bekommen einen Festpreis fuer das gesamte Migrations-Projekt (Pruefung, Imaging, Datenuebernahme, App-Tests, Rollout, Schulung). Hardware kalkulieren wir transparent ueber unseren Hardware-Einkauf. Nach der Migration laeuft das Patch-, Update- und Lifecycle-Management im Managed-IT-Festpreis ab 50 Euro pro Arbeitsplatz und Monat – inklusive Helpdesk und 24/7-Monitoring.
Sie haetten den Wechsel auch selbst hinbekommen? Vermutlich. Aber das war auch nicht der Punkt. Der Punkt ist: Sie wollen sich auf Ihr Geschaeft konzentrieren – Architektur, Steuerberatung, Logistik, Maschinenbau – und nicht auf Windows-Imaging, TPM-Aktivierung und Treiberkonflikte. Genau deshalb gibt es uns.
Wir wollen, dass die IT bei Ihnen unsichtbar wird. Wenn Sie nach der Migration nichts mehr von uns hoeren, ausser dass alles laeuft – haben wir unseren Job richtig gemacht. Das ist der Anspruch.
Jens HagelGeschaeftsfuehrer, hagel IT-Services GmbH
Fazit: Wer 2026 nicht migriert, faellt zurueck
Windows XP und Windows 10 gehoeren 2026 nicht mehr in das Produktivnetz eines Hamburger Mittelstaendlers. Die Frage ist nicht „ob”, sondern „wie schnell” – und mit welchem Partner. Mit einem klaren Plan, einer Pilot-Welle und Microsoft Intune ist die Migration in 8 bis 12 Wochen erledigt. Ohne Plan endet sie in 12 Monaten Helpdesk-Chaos.
Wenn Sie heute auf Ihre Geraete schauen und nicht auf Anhieb sagen koennen, welche von Ihnen Windows 11 koennen und welche nicht – dann ist genau das der naechste Schritt. Buchen Sie 15 Minuten Erstgespraech oder rufen Sie unser Hamburger Buero in der Spaldingstrasse an. Wir machen den Hardware-Check kostenlos – Sie wissen danach, was Sache ist. Auch wenn Sie hinterher entscheiden, dass Sie das doch lieber selbst machen, haben Sie dann zumindest die richtigen Fragen.
Wir sind seit 2002 IT-Dienstleister in Hamburg und haben in den letzten 24 Jahren ungefaehr jede Windows-Generation in den Mittelstand gebracht. Von XP nach 7. Von 7 nach 10. Jetzt von 10 nach 11. Das wird auch nicht das letzte Mal sein – aber dieses Mal ist es das mit dem groessten Sicherheits-Hebel.
