IT-Sicherheit 08.05.2026

Windows 11 Migration für KMU: Was Unternehmen jetzt tun müssen

Windows 10 ist seit dem 14. Oktober 2025 offiziell tot – kein Microsoft-Support, keine Sicherheitsupdates, keine Bugfixes. Trotzdem laufen sieben Monate später noch immer rund ein Viertel aller Windows-PCs weltweit auf Windows 10. Viele davon stehen in österreichischen KMU. Wer die Windows 11 Migration jetzt nicht ernsthaft angeht, riskiert DSGVO-Bußgelder, den Verlust der Cyber-Versicherung und akute Ransomware-Schäden. In diesem Ratgeber zeigt Krempl-IT, was Unternehmen 2026 wirklich tun müssen, welche Migrationswege es gibt und wo die teuren Fallen liegen.

Was bedeutet das Support-Ende von Windows 10 konkret?

Microsoft hat den Support für Windows 10 am 14. Oktober 2025 vollständig eingestellt. Seither gibt es:

Keine Sicherheitsupdates – auch nicht bei kritischen Zero-Day-Lücken
Keine Quality-Updates und keine Bugfixes
Keinen technischen Support durch Microsoft
Keine Treiber-Pflege für neue Hardware

Die PCs funktionieren weiter, werden aber mit jedem Tag unsicherer. Microsoft selbst formuliert es eindeutig: „Antivirus-Software allein kann ungeschützte Systeme nicht absichern, da das Betriebssystem selbst die kritischen Sicherheitspatches nicht mehr erhält."

Besonders heikel: Die ursprünglichen Secure-Boot-Zertifikate auf vielen Windows-10-Geräten laufen ab Sommer 2026 aus. Ohne Updates erhalten betroffene Systeme die neuen Zertifikate nicht – Secure Boot wird wirkungslos. Genau diese Lücke nutzen Angreifer aktuell für Ransomware-Kampagnen gezielt aus.

Wo stehen Österreichs Unternehmen wirklich?

Die Migration läuft – aber langsamer als Microsoft hofft. Laut StatCounter lag der weltweite Marktanteil von Windows 11 im April 2026 bei rund 70 %, Windows 10 immer noch bei rund 28,5 %. In KMU ist das Bild noch ungünstiger: Hardware-Inkompatibilität, Branchensoftware und schlicht aufgeschobene Investitionen halten viele Mittelständler auf Windows 10.

Wer dachte, dass das Problem mit ein paar In-Place-Upgrades erledigt ist, irrt. Microsoft setzt für Windows 11 TPM 2.0, UEFI Secure Boot und mindestens Intel-CPUs der 8. Generation oder AMD Ryzen 2000+ voraus. Ältere Geräte – auch wenn sie technisch noch problemlos laufen – werden offiziell nicht unterstützt. Das betrifft in vielen KMU einen erheblichen Teil des Bestands.

Drei Risiken, die viele KMU unterschätzen

1. DSGVO-Risiko: Bußgeld plus persönliche Haftung

Art. 32 DSGVO verlangt, dass personenbezogene Daten „unter Berücksichtigung des Stands der Technik" geschützt werden. Datenschutzbehörden orientieren sich dabei an den Standards des deutschen BSI und an Frameworks wie ISO 27001 – diese werden ausdrücklich als Stand der Technik anerkannt. Die Datenschutzbehörde Österreich folgt dieser EU-Linie.

Ein Betriebssystem, das keine Sicherheitsupdates mehr erhält, erfüllt diesen Stand der Technik nicht. Das ist keine Auslegungsfrage – Bundes- und Landesdatenschutzbehörden in Deutschland haben das schon zu Windows 7 EoL klargestellt. Konsequenzen für österreichische KMU:

Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 DSGVO)
Beweislast-Umkehr – das Unternehmen muss belegen, warum trotz EoL angemessene Sicherheit gewährleistet ist
Keine Mitigation im Schadensfall – ein Datenleck auf veralteter Software gilt als grob fahrlässig
Bei NIS2-pflichtigen Unternehmen kommt zusätzlich die persönliche Haftung der Geschäftsführung dazu (siehe unser Beitrag zu NIS2 / NISG 2026)

2. Cyber-Versicherung verweigert die Leistung

Die Cyber-Versicherer haben ihre Bedingungen 2026 massiv verschärft. Aktuelle Branchenzahlen aus dem Coalition 2026 Cyber Claims Report und weiteren Marktanalysen:

Über 40 % aller Cyber-Schadensfälle werden 2026 durch Ausschluss-Klauseln ganz oder teilweise abgelehnt
41 % der Versicherungsanträge werden bereits beim ersten Antrag abgelehnt – Top-Gründe: fehlende MFA und unzureichender Endpoint-Schutz
96 % der Versicherer verlangen erzwungene Multi-Faktor-Authentifizierung auf E-Mail, VPN, Remote-Zugängen und allen Admin-Konten
88 % verlangen EDR oder MDR (Endpoint Detection and Response) auf allen Endgeräten
Unpatched- und End-of-Life-Systeme zählen zu den am häufigsten genannten Ablehnungsgründen

Besonders bitter: Laut KPMG-Cybersecurity-Studie Österreich 2025 verfügen nur etwa 22 % der österreichischen Unternehmen überhaupt über eine Cyber-Versicherung. Wer eine hat und gleichzeitig Windows 10 betreibt, läuft Gefahr, im Ernstfall den Schaden komplett selbst zu tragen – und Ransomware-Lösegelder sind 2026 laut Coalition gegenüber dem Vorjahr um 47 % gestiegen.

3. Ransomware nutzt End-of-Life-Systeme gezielt aus

Die Bedrohungslage ist eindeutig. Laut BSI-Lagebericht 2025 wurden im Berichtszeitraum 950 Ransomware-Angriffe registriert – davon rund 80 % gegen kleine und mittlere Unternehmen, nicht gegen Großkonzerne. Gleichzeitig erfüllen KMU laut BSI im Schnitt nur 56 % der Basisanforderungen an IT-Sicherheit. KMU sind bevorzugte Ziele, weil sie oft keine spezialisierte IT-Abteilung haben, gewachsene IT-Landschaften betreiben und auf Altsysteme angewiesen sind.

Ein PC ohne Sicherheitsupdates ist für Angreifer wie eine offene Tür. Konkrete Folgen, die wir in der Praxis sehen:

Tagelange Betriebsausfälle bis zur Wiederherstellung
Datenverlust trotz Backups – wenn die Backups mit verschlüsselt wurden
Lösegeldforderungen in Bitcoin (oft 50.000 € bis 500.000 €)
Reputationsschaden bei Kunden und Lieferanten
Meldepflicht an die Datenschutzbehörde innerhalb von 72 Stunden

Wer das Thema Phishing und Awareness ernst nimmt, Backups nach 3-2-1-Regel hat und auf einem unterstützten Betriebssystem läuft, hat eine reelle Chance. Ohne diese Basis spielt man Russisch Roulette mit dem Unternehmen.

Migrationswege im Vergleich

Es gibt nicht den einen richtigen Weg. Welcher Pfad für Ihr Unternehmen passt, hängt vom Hardware-Bestand, von der eingesetzten Software und vom Budget ab.

Weg	Vorteile	Nachteile	Wann sinnvoll?
In-Place-Upgrade auf Windows 11	Kostenlos, Daten und Software bleiben, schnell	Nur auf kompatibler Hardware (TPM 2.0, Intel 8. Gen+)	Geräte ab ca. 2018, alle Anforderungen erfüllt
Hardware-Tausch + neues Windows 11	Performance-Sprung, lange Lebensdauer, Copilot+-fähig	Investition ca. 800–1.500 € pro Arbeitsplatz	Geräte vor 2018, Festplatte statt SSD, ohnehin überfällig
ESU-Lizenz als Übergang	Schnell aktivierbar, Updates bis max. Oktober 2028	Teuer, kumulativ, kein Feature-Update, kein Support	Wenn Migration 2026 nicht mehr schaffbar
Linux-Migration	Kostenlos, läuft auf alter Hardware, kein Vendor-Lock-in	Software-Kompatibilität prüfen (ERP, Branchen-Tools)	Office- und Browser-zentrische Workflows, siehe alter PC mit Linux

Die meisten KMU fahren am besten mit einer Mischstrategie: In-Place-Upgrade dort wo es geht, neue Geräte für ältere Hardware, ESU als Notnagel für ein paar Spezialgeräte, und Linux dort wo Software und Workflow es zulassen.

Hardware-Check: Ist mein PC Windows-11-fähig?

Bevor Sie über Budget reden, brauchen Sie eine ehrliche Inventur. Microsoft setzt für Windows 11 (Stand: Version 25H2, Mai 2026) folgende Mindestanforderungen:

CPU: 1 GHz, mindestens 2 Kerne, 64-Bit, auf Microsofts Kompatibilitätsliste
Generation: Intel ab 8. Core-Generation oder AMD Ryzen ab 2000-Serie
Arbeitsspeicher: mindestens 4 GB RAM (in der Praxis: 8 GB+ für vernünftiges Arbeiten)
Speicher: 64 GB freier Speicher (besser: SSD mit 256 GB+)
TPM: Trusted Platform Module Version 2.0
Firmware: UEFI mit Secure Boot
Grafik: DirectX 12 mit WDDM 2.0
Display: 720p, mindestens 9 Zoll, 8 Bit pro Farbkanal

TPM 2.0: Oft nur deaktiviert, nicht fehlend

Eine wichtige Praxis-Beobachtung: Bei sehr vielen Geschäfts-PCs aus den letzten 5–7 Jahren ist TPM 2.0 bereits verbaut, aber im BIOS deaktiviert. Das Aktivieren ist kostenlos und dauert wenige Minuten. Vor einem teuren Hardware-Tausch lohnt es sich also, jeden Verdachtskandidaten ehrlich zu prüfen – wir machen das im Rahmen unseres Migration-Audits routinemäßig.

Copilot+ PC: Wann sich der Aufpreis lohnt

Wer 2026 ohnehin Hardware tauscht und plant, Microsoft Copilot und KI-Funktionen produktiv einzusetzen, sollte sich Copilot+-PCs ansehen. Sie verlangen 16 GB RAM, 256 GB SSD und eine NPU mit mindestens 40 TOPS (z.B. Intel Core Ultra 200V, AMD Ryzen AI 300, Qualcomm Snapdragon X). Für klassische Office-Arbeitsplätze ohne KI-Integration sind sie aktuell nicht zwingend nötig. Mehr dazu in unserem Beitrag zu KI für KMU.

ESU für Unternehmen: Sinnvolle Übergangslösung oder teure Falle?

Microsoft bietet das Extended Security Updates (ESU)-Programm für Organisationen über die Volumenlizenzierung an. Listenpreise österreichischer Microsoft-Volumenlizenz-Reseller (netto, exkl. USt.):

Jahr	Zeitraum	Preis pro Gerät (netto)	Kumulativ
Jahr 1	November 2025 – Oktober 2026	ca. 58 €	ca. 58 €
Jahr 2	November 2026 – Oktober 2027	ca. 116 €	ca. 174 €
Jahr 3	November 2027 – Oktober 2028	ca. 232 €	ca. 406 €

Wichtige Details laut Microsoft:

Kumulativ: Wer erst in Jahr 2 einsteigt, muss Jahr 1 nachzahlen. Wer in Jahr 3 einsteigt, zahlt Jahr 1+2+3.
Maximal 3 Jahre – nach Oktober 2028 ist endgültig Schluss.
Mindestabnahme: 1 Lizenz pro Jahr – auch ein Einzelplatz lässt sich absichern.
Cloud-Rabatt: Über Microsoft Intune oder Windows Autopatch verwaltete Geräte erhalten Jahr 1 für rund 43 € statt 58 € (Microsoft-Listenpreis 45 USD).
Keine Features, kein technischer Support – nur Sicherheitsupdates.
Kostenlos für Windows 365 / Azure VMs – wer sowieso in der Cloud arbeitet, profitiert hier deutlich.

Rechenbeispiel für ein typisches KMU mit 30 PCs, die alle 3 Jahre brauchen:

30 × 406 € ≈ rund 12.180 € netto über drei Jahre, nur für Sicherheitsupdates
Demgegenüber: ein durchschnittlicher Hardware-Tausch zu ca. 800–1.200 €/Arbeitsplatz mit Windows 11 inklusive – langfristig fast immer die wirtschaftlichere Lösung

ESU ist ein Übergangsinstrument – kein langfristiger Plan. Sinnvoll ist es vor allem für kritische Spezialgeräte (Maschinensteuerungen, alte Branchensoftware), die kurzfristig nicht migriert werden können.

Die 5 Schritte einer sauberen Windows-11-Migration für KMU

Eine strukturierte Migration vermeidet die typischen Stolperfallen – Datenverlust, ausgefallene Drucker, kaputte Branchensoftware, Mitarbeiter-Frust.

Schritt 1: Inventur und Hardware-Check. Welche Geräte gibt es, in welchem Zustand, welche sind Windows-11-fähig? TPM-Status, CPU-Generation und RAM systematisch erfassen. Ergebnis: eine Liste mit drei Kategorien – „Upgrade", „Tausch", „Spezialfall".
Schritt 2: Anwendungs- und Treiber-Audit. Welche Software ist im Einsatz – ERP, Buchhaltung, Branchenlösungen, Drucker, Scanner, Spezialhardware? Welche Versionen sind Windows-11-tauglich? Alte Versionen jetzt updaten, nicht erst während der Migration.
Schritt 3: Plan und Budget. Realistische Aufwände einplanen: 2–4 Stunden pro Arbeitsplatz für In-Place-Upgrades, 4–6 Stunden für Clean Installs, plus Pufferzeit für Probleme. Budget mit 20 % Reserve. Großprojekte (50+ Geräte) brauchen 4–6 Monate.
Schritt 4: Pilot-Rollout mit 5–10 Geräten. Bevor das ganze Unternehmen umgestellt wird: einzelne Abteilungen oder typische Arbeitsplätze testen, Probleme dokumentieren, Treiber- und Software-Konflikte lösen. Erst danach das große Rollout.
Schritt 5: Rollout, Schulung und MFA aktivieren. Beim Rollout gleich saubere Sicherheitsbasics mitnehmen: Multi-Faktor-Authentifizierung, Microsoft 365 Security-Defaults, saubere Backup-Strategie, Awareness-Schulung. Migration ist die ideale Gelegenheit, Versäumnisse aufzuholen.

Wer diese Reihenfolge einhält, hat selbst bei mittleren Stückzahlen die Migration in 8–12 Wochen sauber durch – und nutzt sie als Hebel für ein höheres Sicherheitsniveau insgesamt.

Krempl-IT: Migrations-Service für Weiz, Hartberg und die Oststeiermark

Als IT-Dienstleister in Weiz, Gleisdorf, St. Ruprecht an der Raab, Birkfeld, Hartberg, Pöllau, Vorau, Passail und im Großraum Graz begleiten wir KMU durch die Windows 11 Migration – pragmatisch, ohne unnötige Hardware-Käufe und mit klarem Fokus auf Sicherheit und Betriebskontinuität:

Migration-Audit – schriftliche Inventur Ihrer Geräte, Hardware-Check, Software-Kompatibilität
In-Place-Upgrades auf Windows 11 für kompatible Geräte
Hardware-Beschaffung und -Einrichtung – wir liefern, installieren, migrieren Daten
ESU-Lizenzen für Spezialgeräte über Microsoft-Volumenlizenzierung
Linux-Migration als Alternative für geeignete Arbeitsplätze – siehe unsere Open-Source-Beratung
Microsoft 365 + MFA im Rahmen der Migration sauber aufsetzen – siehe Microsoft 365 Administration
Schulung & Awareness für Mitarbeiter, Geschäftsführer und Datenschutzbeauftragte
Laufende Betreuung über unser strukturiertes Vorgehen – damit aus dem Migrationsprojekt eine dauerhaft sichere IT-Landschaft wird

Wir kommen vor Ort oder unterstützen per Fernwartung – je nachdem, was für Ihr Unternehmen schneller geht.

Fazit

Windows 10 ist seit Oktober 2025 ein DSGVO-Risiko, ein Versicherungsproblem und eine offene Flanke gegenüber Ransomware. Die Windows 11 Migration ist 2026 keine Kür mehr, sondern Pflicht – nicht weil Microsoft das so will, sondern weil Datenschutz, Cyber-Versicherer und reale Bedrohungslage es so erzwingen. Die gute Nachricht: Mit einer sauberen Inventur, einer realistischen Budgetplanung und einem strukturierten Rollout ist die Migration auch für kleine und mittlere Betriebe in 2–6 Monaten gut machbar – und sie ist die ideale Gelegenheit, MFA, Backups und Awareness gleich mit zu modernisieren.

Sie wissen nicht, wie viele Ihrer PCs Windows-11-fähig sind, oder möchten die Migration strukturiert angehen? Kontaktieren Sie uns für ein unverbindliches Migrations-Erstgespräch oder nutzen Sie für akute Fragen unsere Fernwartung – wir sagen Ihnen ehrlich, welche Geräte sich lohnen, welche getauscht werden sollten und wie der Zeitplan bis Ende 2026 realistisch aussieht.