hagel IT-Services
Festpreis-Angebot
15 Min.
Notebook auf Sofa und Laptop — Home-Office Migration auf Windows 11

Windows-Migration für KMU: Von Windows XP über Windows 10 zu Windows 11

Jens Hagel
Jens Hagel in IT-Service

Inhalt in Kürze

  • Windows XP ist seit April 2014 EOL. Wer es noch im Netz hat, betreibt eine offene Tür für jeden Angreifer.
  • Windows 10 wurde am 14. Oktober 2025 eingestellt. Seitdem gibt es keine kostenlosen Sicherheitsupdates mehr – das BSI empfiehlt eindeutig den Wechsel.
  • Windows 11 ist der einzig sinnvolle Zielkurs für KMU – plus Hardware-Refresh für Geräte ohne TPM 2.0 (rund 55 Prozent der Bestände).
  • Migration in 8 bis 12 Wochen ist machbar, wenn Hardware-Check, Pilot-Welle und Intune/Autopilot-Setup richtig aufgesetzt sind.

Die Frage lautet 2026 nicht mehr „Was kommt nach XP?”. Die Frage lautet: Wie bringen wir den ganzen Maschinenpark sauber auf Windows 11 – ohne Produktionsausfall und ohne nach jedem Patch über den Schreibtisch zu rennen.

Wir sehen das täglich bei Neukunden in Hamburg, Bremen und Norddeutschland. XP-Restbestände in Maschinen-PCs. Windows-7-Buchhaltungsrechner, die seit 2020 keinen Patch mehr gesehen haben. Windows-10-Notebooks, die seit Oktober 2025 unbemerkt in Betrieb sind. Wer das ignoriert, fängt sich früher oder später eine Welle ein – meist über einen Anhang in der Buchhaltung. Dieser Artikel zeigt, was Sie als Geschäftsführer wirklich tun müssen.

Windows XP Upgrade 2026 – kurz beantwortet: Windows XP wurde am 8. April 2014 von Microsoft offiziell abgekündigt – seit zwölf Jahren keine Sicherheits-Updates mehr. Ein direkter Upgrade-Pfad von XP zu Windows 11 ist nicht möglich. Realistische Wege 2026: (1) neuer PC mit Windows 11 (preferred), (2) Migration auf Linux Mint XFCE bei alter Hardware, (3) Isolation der XP-Maschine in einem Air-Gapped-Netzwerk für unverzichtbare Legacy-Software.

Warum Windows XP 2026 ein kritisches Risiko ist

Wer 2026 noch Windows XP betreibt, betreibt ein Betriebssystem, das seit zwölf Jahren keinen einzigen Sicherheits-Patch von Microsoft mehr gesehen hat. In dieser Zeit wurden hunderte CVEs gemeldet – kein einziger davon ist im XP-Code geschlossen. Konkret heißt das: Es gibt kein TLS 1.3 (moderne Webdienste reden gar nicht mehr mit XP), keine aktuellen SMB-Versionen (Wurm-Angriffe wie WannaCry oder EternalBlue ziehen sich seit Jahren durch ungepatchte XP-Netze), keine modernen Browser, keine Endpoint-Protection mehr für XP. Ein XP-Rechner im Firmennetz ist nicht „etwas weniger sicher” – er ist eine offene Tür, über die ein Angreifer in Minuten über laterale Bewegung jeden anderen Rechner übernehmen kann.

Dazu kommt die rechtliche Seite. DSGVO Art. 32 verpflichtet zu „Stand der Technik” bei der Datensicherheit – XP erfüllt das definitiv nicht. Im Schadensfall kann eine Cyberversicherung die Leistung verweigern, wenn dokumentiert ist, dass ein veraltetes Betriebssystem im Netz lief. Und beim TPM-2.0- und Secure-Boot-Zwang von Windows 11 (auch in 24H2/25H2) sind XP-Geräte von der Migration ohnehin ausgeschlossen – ein direktes Upgrade existiert nicht.

Warum die Frage „Wechsel von XP” 2026 anders aussieht

Vor zehn Jahren war die Antwort simpel: Sie wechseln von Windows XP auf Windows 7 oder 8. Heute ist Windows 7 ebenfalls EOL (Januar 2020), Windows 8.1 endete 2023 – und Windows 10 hat seit dem 14. Oktober 2025 keinen Support mehr.

Die einzige sinnvolle Antwort heißt Windows 11. Alles andere ist ein Workaround.

Wir hatten kürzlich einen Hamburger Maschinenbauer mit 35 Mitarbeitern in der Inventur. Auf zwei Maschinen-PCs lief noch Windows XP, drei Büro-Notebooks waren auf Windows 7, der Rest Windows 10. Drei verschiedene Betriebssysteme im selben Netz, alle ohne aktuelle Sicherheitsupdates. Genau die Konstellation, in der ein einziger Phishing-Klick reicht, um die ganze Domain zu übernehmen.

Wichtig:

Auch ein einzelner Windows-XP- oder Windows-10-Rechner ohne Updates gefährdet das ganze Netz. Angreifer scannen automatisiert nach veralteten SMB- und RDP-Versionen. Ein verwundbarer Endpoint reicht – unabhängig davon, wie gut der Rest geschützt ist.

Windows-Lifecycle 2026: Wer ist noch supported?

Microsoft veröffentlicht den Lifecycle-Status pro Produkt. Ein Blick in die offizielle Microsoft-Doku zum Windows-10-Supportende macht es eindeutig.

BetriebssystemSupport-EndeStatus 2026
Windows XP8. April 2014EOL – betriebsblind weiternutzen unverantwortlich
Windows 714. Januar 2020EOL – ohne ESU keine Patches mehr
Windows 8.110. Januar 2023EOL – kein Mainstream-Support
Windows 1014. Oktober 2025EOL – ESU bis maximal Oktober 2028 (kostenpflichtig)
Windows 11mindestens bis 2031Supported – aktueller Stand: Version 24H2

Laut StatCounter haben weltweit über 70 Prozent aller Windows-Rechner mittlerweile auf Windows 11 gewechselt. Im deutschen Mittelstand hinkt der Wechsel etwas hinterher. Genau hier sehen wir den größten Handlungsdruck.

Wieso Windows 10 wirklich „weg” ist

Viele Geschäftsführer fragen mich: „Mein PC startet doch noch ganz normal. Warum jetzt umstellen?” Die Antwort ist unbequem. Ein Betriebssystem ohne Sicherheitsupdates ist nicht „etwas weniger sicher” – es ist nach drei bis sechs Monaten massiv unsicher. Genau das schreibt auch das BSI: Windows 10 wird mit jedem Monat verwundbarer, weil neue Schwachstellen entdeckt, aber nicht mehr geschlossen werden.

„Die können einfach so viel mehr Unternehmen angreifen. Das geht alles mit KI – Massenangriff. Ob Sie nun klein sind oder groß, das ist völlig wurscht. Mit einem ungepatchten Windows 10 sind Sie 2026 das einfachste Ziel im Internet."

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Windows 10 vs. Windows 11 – der ehrliche Vergleich für KMU

Windows 11 ist nicht „nur ein neues Design”. Es ist die erste Windows-Generation, die durchgängig auf moderne Hardware-Sicherheit setzt: TPM 2.0, Secure Boot, virtualisierungsbasierter Schutz (VBS) und Hypervisor-Code-Integrität sind Pflicht. Genau das macht den Unterschied gegen Ransomware aus.

KriteriumWindows 10Windows 11
Support / Patches❌ EOL seit 14.10.2025✅ supported bis mindestens 2031
TPM 2.0 PflichtoptionalPflicht
Secure BootoptionalPflicht
Microsoft Copilotnachgerüstet, eingeschränktnativ integriert
Snap-Layouts / Multitaskingbasicdeutlich verbessert
Microsoft Intune / Autopilotunterstütztunterstützt + bessere Policies
ESU / Lizenzkosten 2026ca. 61 USD pro Gerät (Jahr 1)im Gerät enthalten
Installer-Hash-SchutzneinSmartApp Control
Eignung für Hamburg-KMU 2026nicht mehr empfehlenswertklare Empfehlung

Ein Aspekt wird oft übersehen: Windows 11 in Verbindung mit Cloud und Microsoft 365 plus Microsoft Intune schaltet erst die Funktionen frei, für die Sie M365 ohnehin schon zahlen – Conditional Access, Compliance-Policies, Autopilot, Defender for Endpoint. Ohne Windows 11 bleiben das Karteileichen.

Blick durch die Tür ins Arbeitszimmer mit Desktop-PC — Vorbereitung des Windows-10-EOL-Umstiegs
Vor dem Rollout steht der Hardware-Check: Welche Geräte erfüllen die Windows-11-Anforderungen, welche müssen ersetzt werden?

Hardware-Realität: Wer schafft den Sprung auf Windows 11?

Die ehrliche Zahl, die wir fast jede Woche bei Inventuren sehen: Etwa 55 Prozent der Unternehmens-PCs erfüllen die Windows-11-Mindestanforderungen nicht. Hauptgrund ist das fehlende TPM 2.0 oder eine zu alte CPU-Generation – das deckt sich mit den Beobachtungen, die heise im Migrations-Special für den Mittelstand schildert.

Die Microsoft-Mindestanforderungen im Klartext

  1. CPU: 64-Bit-Prozessor, mindestens 1 GHz, mindestens zwei Kerne und auf der Microsoft-Kompatibilitätsliste (Intel ab 8. Generation / AMD Ryzen 2000+ in der Regel ja).
  2. RAM: 4 GB Minimum – für ein Business-Notebook 2026 sollten Sie 16 GB einplanen, sonst ärgert sich der Anwender täglich.
  3. Speicher: 64 GB – realistisch sind 256 GB SSD aufwärts, sonst bleibt für M365, OneDrive und Teams nichts übrig.
  4. TPM 2.0: Pflicht. Bei Geräten ab 2018/2019 oft per BIOS-Update aktivierbar (oft als „PTT" oder „fTPM" benannt).
  5. Secure Boot: Pflicht. UEFI-Mode nötig, Legacy/CSM muss aus.
  6. Grafik: DirectX-12-fähig, WDDM-2.0-Treiber.

Drei Szenarien aus der Hamburger Praxis

In jedem Migrations-Projekt sehen wir die gleiche Verteilung der Geräte:

  • Geräte von 2020 oder jünger – fast immer kompatibel. Hier reicht ein In-Place-Upgrade bzw. ein sauberes Re-Image über Intune/Autopilot. Kosten: nur Arbeit.
  • Geräte von 2018 bis 2019 – Mischbild. Oft TPM 2.0 verbaut, aber im BIOS deaktiviert. Wir aktivieren PTT/fTPM, machen Secure Boot scharf, schalten UEFI um. Etwa eine bis zwei Stunden Arbeit pro Gerät.
  • Geräte vor 2018 – meist nicht migrierbar. Selbst wenn ein TPM-Modul existiert, bremst die CPU. Empfehlung: gezielter Hardware-Refresh über unseren Hardware-Einkauf vom Systemhaus.
55 %
der Unternehmens-PCs erfüllen Windows 11 nicht (Quelle: heise / Branchenanalysen)
14.10.2025
offizielles Windows-10-Supportende
8–12
Wochen Migrations-Dauer für 30–100 Arbeitsplätze
50 €/AP/M.
Managed IT inklusive Patch- und Lifecycle-Management

Optionen 2026: Was Sie wirklich tun können

Wir sehen in der Praxis fünf Wege, wie Unternehmen mit der Situation umgehen. Vier davon sind sinnvoll – einer ist ein Risiko.

Option 1: Windows 11 Inplace-Upgrade auf bestehender Hardware

Für kompatible Geräte der schnellste Weg. Microsoft liefert das Upgrade über Windows Update, alternativ über das Installation-Assistent-Tool. Bei mehr als zehn Rechnern lohnt sich der Weg über Microsoft Intune und Autopilot plus eine zentrale Update-Compliance-Policy.

Vorteile: keine Neuanschaffung, Daten und Profile bleiben. Nachteile: älterer „Schmutz” wandert mit, Treiberprobleme möglich.

Option 2: Hardware-Refresh + sauberer Windows-11-Rollout

Der saubere Weg für alles, was vor 2018 angeschafft wurde. Neue Geräte kommen mit Windows 11 Pro vorinstalliert. Per Autopilot werden Profile, Apps und Daten automatisch verteilt – der Anwender packt aus, meldet sich an, fertig.

Genau das ist der Kern des Managed Workplace: Wir verwalten Hardware-Lifecycle, Imaging, Patch-Management und Helpdesk in einem Festpreis-Paket. Kein Geräte-Streuverlust mehr, keine „Wer hat den Laptop von Frau Müller?”-Diskussionen.

Option 3: Cloud-PC / Windows 365

Statt physischer Notebook-Migration fahren Sie Ihre Anwender über Cloud-PC in Microsoft 365. Der Desktop liegt bei Microsoft, der Anwender braucht nur einen schlanken Endpunkt – idealerweise ein dünnes Notebook oder ein Thin Client. Macht Sinn für Remote-Teams, externe Auftragnehmer und Anwender mit hohen Compliance-Anforderungen.

Option 4: Extended Security Updates (ESU) für Windows 10 – nur als Brücke

ESU ist Microsofts Notbehelf. Sie zahlen pro Jahr eine Lizenz und bekommen weiterhin kritische Sicherheitsupdates. Im ersten Jahr rund 61 USD pro Gerät, danach jeweils Verdoppelung. ESU ist sinnvoll für Spezialgeräte (z.B. Maschinen-PCs), die Sie 2026 nicht migrieren können. Aber ESU ist kein Plan für den Büromaschinenpark – nach drei Jahren haben Sie das Geld verbrannt, das ein neuer Rechner kosten würde.

Option 5: Nichts tun und „hoffen”

Das ist die teuerste Variante. Ein Cyberangriff kostet im Mittelstand laut Bitkom durchschnittlich mehrere hunderttausend Euro – über Lösegeld, Produktionsausfall und Wiederaufbau. Drei Monate Stillstand sind keine Theorie, wir haben das bei einem Sanitärbetrieb in der Hamburger Umgebung selbst miterlebt.

„Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt – jedes Dokument, jede E-Mail, jede Rechnung."

Bernd Kühn, Geschäftsführer, Sanitärbetrieb, 20–25 Mitarbeiter

Der Migrationsplan: 8 bis 12 Wochen, vier Phasen

Wir fahren jeden Rollout im Mittelstand nach demselben Schema. Egal ob 30 oder 200 Arbeitsplätze – die Phasen sind identisch, die Dauer skaliert.

  1. Phase 1 – Inventur und Hardware-Check (Woche 1–2): Wir scannen Ihren kompletten Gerätepark via Intune oder agentenbasiert. Ergebnis: kompatible / per BIOS aufrüstbare / nicht migrierbare Geräte plus eine App-Compat-Liste für Branchensoftware.
  2. Phase 2 – Pilot-Welle (Woche 3–4): Fünf bis zehn Anwender bekommen Windows 11 zuerst – meist die IT, die Geschäftsleitung und ein Fachbereich mit komplexer Software. Hier finden wir 90 Prozent der Stolpersteine, bevor das Telefon im Helpdesk glühte.
  3. Phase 3 – Wellenrollout (Woche 5–10): Pro Woche eine Welle von 10–20 Geräten. Wir machen Imaging entweder zentral im Rechenzentrum oder via Autopilot direkt am Anwenderarbeitsplatz. Daten gehen über OneDrive oder einen Migrations-Job, Profile werden automatisiert mitgenommen.
  4. Phase 4 – Nacharbeit und Optimierung (Woche 11–12): Restgeräte, Sondermaschinen, Drucker-Treiber, ergonomische Feinarbeit. Lessons Learned werden in eine Standardkonfiguration gegossen, die der nächste neue Mitarbeiter automatisch bekommt.
Aus der Praxis:

Bei einem Hamburger Logistiker mit 60 Arbeitsplätzen haben wir den ganzen Rollout in 9 Wochen abgewickelt – ohne einen einzigen Produktionsausfall. Schlüssel war die Pilot-Welle: In Woche 4 fanden wir einen Treiberkonflikt mit einem alten Lager-Scanner. Wenn wir das in Woche 8 entdeckt hätten, wären die Überstunden zweistellig gewesen.

Die Migrations-Checkliste für Geschäftsführer

  • Bestand kennen. Inventur aller Windows-Geräte, inkl. Maschinen-PCs, Kassen, Spezialhardware. Niemand vergessen, sonst „findet" der Angreifer ihn.
  • Kritische Branchensoftware prüfen. Hat DATEV / SAP / die ERP-Nische auch unter Windows 11 24H2 freigegeben? Wenn nein – Hersteller jetzt anschreiben.
  • Hardware-Roadmap aufstellen. Für alle Geräte mit Baujahr vor 2018: Refresh-Plan in das Budget 2026/2027 einbauen.
  • Microsoft 365 / Intune aktivieren. Ohne Intune verteilen Sie 50 Notebooks 50-mal manuell – das ist Zeitverschwendung.
  • Pilot vor Welle. Niemals direkt mit der gesamten Belegschaft starten. Fünf bis zehn Anwender zuerst, eine Woche Beobachtung.
  • Backup vor Migration prüfen. Vor jedem Geräte-Re-Image: läuft das Backup, lassen sich Dateien tatsächlich zurückspielen?
  • Anwender mitnehmen. Eine 30-Minuten-Schulung pro Welle reicht – aber sie reduziert Helpdesk-Tickets in den ersten 14 Tagen um zwei Drittel.
  • Rollback-Plan. Nicht jedes Inplace-Upgrade gelingt. Für den Notfall ein Restore-Image bereithalten.

Aus der Praxis: Drei Hamburger KMU – drei Migrations-Wege

Damit das nicht abstrakt bleibt: drei reale (anonymisierte) Fälle, die wir 2025/2026 begleitet haben.

Fall 1 – Architekturbüro, 12 Mitarbeiter: Geräte alle aus 2021/2022, kompatibel. Wir haben in drei Wochen via Autopilot komplett auf Windows 11 plus Intune migriert. Daten lagen ohnehin in OneDrive. Kosten: ca. 1.200 Euro im Projekt – danach läuft das Lifecycle-Management im Managed Workplace mit.

Fall 2 – Steuerkanzlei, 28 Mitarbeiter: Mischpark, Hälfte 2017/2018, Hälfte 2020+. Wir haben aufgeteilt: 14 Geräte per BIOS-Anpassung gerettet, 14 neue Notebooks im Hardware-Refresh über unseren Einkauf bestellt. DATEV-Update auf eine 11-kompatible Version war der Knackpunkt – ein Tag Vorlauf, dann 6 Wochen Rollout.

Fall 3 – Maschinenbauer mit Produktion, 40 Mitarbeiter: Büro auf Windows 11 migriert. Drei Maschinen-PCs blieben aus harten Lizenzgründen auf Windows XP/7 – diese laufen jetzt segmentiert in einem isolierten Produktions-VLAN ohne Internetzugang, gemonitort durch unser Managed-IT-Team. Kein Risiko für das Hauptnetz mehr, kein Stillstand der Maschinen.

Windows-Migration ohne Schock?

15 Minuten Erstgespräch mit Jens Hagel – wir schauen Ihren Gerätepark an, schätzen Aufwand und Kosten ein. Kostenlos, ohne Vertriebsdruck.

Erstgespräch buchen →

Was Windows-Migration im Festpreis bei hagel IT bedeutet

Wer einmal eine Migration mit Stundensatz-Abrechnung erlebt hat, vergisst das nicht. „Wir hatten ja noch einen Druckertreiber-Stress” – und plötzlich ist ein Drittel des Budgets weg, ohne dass jemand etwas Böses wollte. Genau deswegen rechnen wir Migrations-Projekte beim Mittelstand grundsätzlich im Festpreis ab.

Das Wichtigste: Eine Windows-Migration ist kein Update-Klick – sie ist ein Mini-Projekt mit vier Phasen, einem klaren Hardware-Plan und einer Pilot-Welle. Wer das in den nächsten 12 Wochen ordentlich aufsetzt, ist 2027 sauber – wer wartet, zahlt im Schadensfall ein Vielfaches.

Konkret heißt das bei uns: Sie bekommen einen Festpreis für das gesamte Migrations-Projekt (Prüfung, Imaging, Datenübernahme, App-Tests, Rollout, Schulung). Hardware kalkulieren wir transparent über unseren Hardware-Einkauf. Nach der Migration läuft das Patch-, Update- und Lifecycle-Management im Managed-IT-Festpreis ab 50 Euro pro Arbeitsplatz und Monat – inklusive Helpdesk und 24/7-Monitoring.

Sie hätten den Wechsel auch selbst hinbekommen? Vermutlich. Aber das war auch nicht der Punkt. Der Punkt ist: Sie wollen sich auf Ihr Geschäft konzentrieren – Architektur, Steuerberatung, Logistik, Maschinenbau – und nicht auf Windows-Imaging, TPM-Aktivierung und Treiberkonflikte. Genau deshalb gibt es uns.

„Wir wollen, dass die IT bei Ihnen unsichtbar wird. Wenn Sie nach der Migration nichts mehr von uns hören, außer dass alles läuft – haben wir unseren Job richtig gemacht. Das ist der Anspruch."

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Fazit: Wer 2026 nicht migriert, fällt zurück

Windows XP und Windows 10 gehören 2026 nicht mehr in das Produktivnetz eines Hamburger Mittelständlers. Die Frage ist nicht „ob”, sondern „wie schnell” – und mit welchem Partner. Mit einem klaren Plan, einer Pilot-Welle und Microsoft Intune ist die Migration in 8 bis 12 Wochen erledigt. Ohne Plan endet sie in 12 Monaten Helpdesk-Chaos.

Wenn Sie heute auf Ihre Geräte schauen und nicht auf Anhieb sagen können, welche von Ihnen Windows 11 können und welche nicht – dann ist genau das der nächste Schritt. Buchen Sie 15 Minuten Erstgespräch oder rufen Sie unser Hamburger Büro in der Spaldingstraße an. Wir machen den Hardware-Check kostenlos – Sie wissen danach, was Sache ist. Auch wenn Sie hinterher entscheiden, dass Sie das doch lieber selbst machen, haben Sie dann zumindest die richtigen Fragen.

Wir sind seit 2002 IT-Dienstleister in Hamburg und haben in den letzten 24 Jahren ungefähr jede Windows-Generation in den Mittelstand gebracht. Von XP nach 7. Von 7 nach 10. Jetzt von 10 nach 11. Das wird auch nicht das letzte Mal sein – aber dieses Mal ist es das mit dem größten Sicherheits-Hebel.

Jens Hagel
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen
Thorsten Eckel

„Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.“

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Fallstudie: IT-Betreuung Spedition Hamburg – Vom Ein-Mann-Risiko zur stabilen Struktur
Fallstudie · Logistik
IT-Betreuung Spedition Hamburg – Vom Ein-Mann-Risiko zur stabilen Struktur
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Alle ansehen
Kostenlos & unverbindlich

IT-Herausforderungen? Wir helfen.

Sprechen Sie mit unseren Experten — 15 Minuten, kostenlos, kein Vertriebsdruck.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

Nein. Einen direkten Upgrade-Pfad von Windows XP auf Windows 11 gibt es nicht. XP-Geräte erfüllen weder die Hardware-Anforderungen (TPM 2.0, Secure Boot, 64-Bit-CPU der Microsoft-Kompatibilitätsliste) noch ist ein In-Place-Upgrade über so viele Generationen technisch vorgesehen. Realistisch sind drei Wege: (1) neuer PC mit Windows 11 Pro – preferred, (2) Linux Mint XFCE auf der vorhandenen alten Hardware, wenn nur Browser/Office gebraucht wird, (3) Isolation der XP-Maschine in einem Air-Gapped-Produktionsnetz, wenn unverzichtbare Legacy-Software läuft.

Windows XP ist seit dem 8. April 2014 EOL – also seit zwölf Jahren ohne Sicherheitsupdates. Es fehlen TLS 1.3, moderne SMB- und RDP-Versionen, ASLR-Verschärfungen, jeder neue CVE bleibt offen. Im DSGVO-Sinn ist XP im Produktivnetz ein Verstoß gegen die Pflicht zur Datensicherheit nach Art. 32 – ein XP-Rechner reicht, um über laterale Bewegung die ganze Domain zu kompromittieren. Wer XP 2026 noch im Büro hat, riskiert Ransomware, Datenabfluss und im Schadensfall die Versicherungsdeckung.

In 95 Prozent der Fälle: neue Hardware. Ein Business-Notebook mit Windows 11 Pro kostet 700 bis 1.200 Euro – das ist nach drei bis vier Monaten ESU-Notbehelf bereits eingespielt und Sie haben moderne Sicherheit, mehr Geschwindigkeit und Garantie. XP-Wiederbelebung ist nur sinnvoll für Sondergeräte, die zwingend an einer Maschine hängen und nicht ersetzt werden können – und auch dann nur isoliert im Produktions-VLAN ohne Internetzugang.

Microsoft hat den Support für Windows 10 am 14. Oktober 2025 eingestellt. Seitdem gibt es keine kostenlosen Sicherheitsupdates mehr. Wer noch Windows 10 betreibt, sollte spätestens bis Mitte 2026 auf Windows 11 migriert sein – sonst steigt das Risiko für Ransomware und ein Verstoß gegen DSGVO-Pflichten zur Datensicherheit.

Nein. Windows XP ist seit April 2014 ohne Sicherheitsupdates. Es gibt für XP keine modernen Treiber, kein TLS 1.3 und keinen Schutz gegen aktuelle Angriffe. Wer XP heute noch im Produktionsnetz hat, betreibt im Klartext eine offene Tür für jeden Massenangriff. Oft sind das Sondergeräte in Maschinen – die müssen segmentiert oder ersetzt werden.

Bei hagel IT planen wir 80 bis 150 Euro pro Gerät für das reine Migrations-Projekt (Prüfung, Imaging, Datenübernahme, Anwendertest). Wenn neue Hardware nötig ist, kommen 700 bis 1.200 Euro pro Business-Notebook dazu. Im Managed-IT-Festpreis ab 50 Euro pro Arbeitsplatz und Monat ist das laufende Betriebssystem-Patch-Management dann inklusive.

ESU verlängert Sicherheitsupdates für Windows 10 maximal bis Oktober 2028. Im ersten Jahr kostet ESU rund 61 USD pro Gerät, im zweiten Jahr verdoppelt sich der Preis, im dritten Jahr nochmal. ESU ist eine Brücke – kein Plan. Wer mehr als ein paar Spezialgeräte im ESU hält, zahlt nach drei Jahren mehr als ein neues Notebook gekostet hätte.

Laut heise und Branchenanalysen erfüllen rund 55 Prozent der Unternehmens-PCs die Windows-11-Anforderungen nicht – meist fehlt TPM 2.0 oder eine kompatible CPU. Lösung: Geräte mit Baujahr ab 2018/2019 lassen sich oft per BIOS-Setting nachziehen. Älteres Material wird ausgetauscht – im Rahmen eines geplanten Hardware-Refreshs, nicht panikartig.

Microsoft 365, Office, gängige ERP-Systeme (DATEV, SAP, MS Dynamics), Standard-CAD und Branchensoftware laufen ohne Anpassung. Knackpunkt sind oft 32-Bit-Eigenentwicklungen, sehr alte Druckertreiber und Maschinen-PCs mit XP/7-Steuersoftware. Diese Fälle prüfen wir vor jedem Rollout in einer App-Compat-Liste.

Für 30 bis 100 Arbeitsplätze kalkulieren wir acht bis zwölf Wochen ab Auftrag: zwei Wochen Inventur und Hardware-Check, zwei Wochen Pilotgruppe, vier bis sechs Wochen Wellenrollout, eine Woche Nacharbeit. Wer auf Microsoft Intune und Autopilot setzt, kann die letzten beiden Phasen erheblich verkürzen.

Ja, das ist der Goldstandard. Mit Intune-Profilen plus Windows Autopilot wird ein neues Notebook fabrikneu vom Lieferanten an den Mitarbeiter geschickt, einmal angeschaltet – und der Rechner konfiguriert sich von selbst. Genau das nutzen wir im Managed Workplace bei hagel IT, damit ein Rollout für 50 Geräte nicht 50 manuelle Setups bedeutet.

Das könnte Sie auch interessieren

Headset am Laptop — KI-gestützter IT-Support, der rund um die Uhr erreichbar ist
IT-Service

KI-Telefonassistent für den IT-Support: Wie Lara rund um die Uhr abnimmt
MacBook, iPhone und Notizbuch auf einem Schreibtisch — Mac im Firmennetzwerk und Microsoft 365
IT-Service

MacBook ins Firmennetzwerk einbinden: Mac im Unternehmen verwalten
Team-Zusammenarbeit am Laptop als Symbol für Co-Managed IT
IT-Service

Co-Managed IT: Wenn die interne IT Verstärkung braucht