Windows 10 nach dem Supportende macht ESU, Geräteaustausch und Ausnahmen zur Führungsaufgabe

Seit dem 14. Oktober 2025 ist Windows 10 kein regulär unterstütztes Client-Betriebssystem mehr. Viele Organisationen behandeln das Thema trotzdem noch wie einen überfälligen Migrationspunkt im Projektplan. Genau das ist im Alltag zu kurz gedacht. Denn nach dem Supportende geht es nicht nur um den späteren Wechsel auf Windows 11, sondern um eine akute Betriebsfrage: Welche Endpunkte laufen noch auf einer tragfähigen Basis, welche nur noch als befristete Ausnahme, und wo fehlt schon heute die saubere Steuerung?

Microsoft ist in seinen Hinweisen klar. Nach dem Supportende entfallen für Windows 10 reguläre technische Unterstützung, Feature-Updates sowie Sicherheitsupdates außerhalb des Extended-Security-Updates-Programms. Geräte funktionieren zwar weiter, aber eben nicht mehr unter normalen Supportbedingungen. In vielen Unternehmen entsteht dadurch eine gefährliche Grauzone. PCs bleiben produktiv im Einsatz, obwohl weder Sicherheitslage, Office-Unterstützung noch Hardware-Pfad verbindlich geklärt sind.

Für Workplace-Teams, Service Desks und IT-Leitungen lohnt deshalb ein nüchterner Blick auf fünf operative Felder: Bestandssegmentierung, ESU-Steuerung, Windows-11-Tauglichkeit, Anwendungs- und Peripheriepfade sowie ein belastbares Modell für Ausnahmen und Austausch. Erst wenn diese Punkte sauber zusammenlaufen, wird aus einem Altlastenthema wieder ein steuerbarer Client-Betrieb.

Bestände nach Handlungsdruck statt nur nach Stückzahl segmentieren

Der häufigste Fehler beginnt beim Reporting. Viele Dashboards zeigen nur, wie viele Windows-10-Geräte noch aktiv sind. Für die operative Steuerung reicht das nicht. Entscheidend ist, welche dieser Geräte tatsächlich weitertragbar sind, welche kurzfristig migriert werden können und welche nur noch mit dokumentierter Ausnahme geführt werden dürfen. Dazu gehören nicht nur Standard-Notebooks, sondern auch Kiosk-Systeme, Schulungsräume, Laborgeräte, Produktionsarbeitsplätze, gemeinsam genutzte Geräte und schlecht dokumentierte Spezialimages.

Sinnvoll ist deshalb eine Einteilung nach Handlungsdruck. Eine erste Gruppe umfasst Geräte, die technisch Windows-11-fähig sind und in definierte Rolloutfenster eingeplant werden können. Eine zweite Gruppe umfasst Endpunkte, die vorübergehend über ESU abgesichert werden müssen. Eine dritte Gruppe betrifft Geräte, die wegen Hardwaregrenzen, Applikationsabhängigkeiten oder Peripherieproblemen nicht einfach umgestellt werden können. Diese Segmentierung verschiebt das Gespräch weg von einer abstrakten Migrationsquote hin zu einem realen Risikobild.

Gerade Service-Organisationen profitieren davon, weil sich dadurch Incident-Risiken, Austauschbedarf und Kommunikationslast früher erkennen lassen. Wer nur Geräte zählt, sieht den Stau im Betrieb zu spät. Wer nach Betriebsfähigkeit segmentiert, erkennt schneller, welche Restbestände schon heute Führungsaufmerksamkeit brauchen.

ESU als befristete Ausnahme führen, nicht als stilles Parallelmodell

Das Extended-Security-Updates-Programm ist nützlich, aber nur dann, wenn es streng geführt wird. Microsoft beschreibt ESU ausdrücklich als kostenpflichtige Übergangslösung für Windows 10 nach dem Supportende. Voraussetzung ist Windows 10 in Version 22H2. Abgedeckt werden kritische und wichtige Sicherheitsupdates, nicht aber neue Funktionen, reguläre nicht sicherheitsrelevante Korrekturen oder allgemeiner Produktsupport. Für Unternehmen startet ESU laut Microsoft bei 61 US-Dollar pro Gerät im ersten Jahr, verdoppelt sich in jedem Folgejahr und ist maximal für drei Jahre verfügbar.

Genau deshalb darf ESU nicht als bequeme Verlängerung des alten Betriebsmodells verstanden werden. Jedes ESU-Gerät braucht einen nachvollziehbaren Ausnahmegrund, einen verantwortlichen Owner, ein Enddatum und einen dokumentierten Migrations- oder Austauschpfad. Sonst kippt die Übergangslösung schnell in einen teuren Dauerzustand, der organisatorisch kaum noch zurückgedreht wird.

Wichtig ist außerdem der Plattformblick. Microsoft nennt mehrere Cloud- und Virtualisierungsszenarien, in denen ESU ohne zusätzliche Kosten verfügbar ist, etwa für Windows 365, Azure Virtual Desktop oder bestimmte Azure-VM-Modelle. Für größere Umgebungen kann es deshalb sinnvoller sein, problematische Altgeräte gezielt in besser steuerbare virtuelle Betriebsmodelle zu überführen, statt lokale Ausnahmen einzeln jahrelang mitzuschleppen.

Windows-11-Tauglichkeit nicht auf eine CPU-Liste reduzieren

Der nächste Engpass liegt meist nicht im Projektplan, sondern in der Gerätebasis. Microsoft nennt für Windows 11 unter anderem TPM 2.0, Secure Boot, mindestens 4 GB RAM und 64 GB Speicher als Mindestanforderungen. Diese Liste ist wichtig, bildet aber nur die Unterkante ab. Für den echten Betrieb zählen zusätzlich Firmware-Stand, Verschlüsselung, Treiberlage, BIOS-Konfiguration, Docking-Zubehör, VPN-Clients, Druckerpfade und Spezialhardware.

Genau hier entstehen sonst die typischen Folgeprobleme. Ein Gerät gilt formal als kompatibel, verursacht nach der Umstellung aber Ticketlast, weil einzelne Treiber fehlen, Sicherheitsfunktionen nicht sauber greifen oder Peripherie an den Außenstellen anders reagiert als im Standardtest. Wer Windows-11-Readiness nur als Kompatibilitätsabfrage behandelt, verschiebt die Reibung vom Projekt in den Service Desk.

Praktisch bewährt sich daher eine dreistufige Bewertung: technisch kompatibel, betrieblich standardisierbar und für die jeweilige Nutzergruppe ohne Zusatzlast einsetzbar. Diese Sicht ist trockener als Marketingfolien zum Plattformwechsel, aber für den Alltag erheblich wertvoller.

Microsoft 365, Fachanwendungen und Peripherie gemeinsam prüfen

Viele Teams schauen zuerst auf das Betriebssystem und erst später auf die Nutzbarkeit. Das ist beim Supportende von Windows 10 riskant. Microsoft weist inzwischen ausdrücklich darauf hin, dass Microsoft 365 Apps auf Windows 10 zwar weiterlaufen können, Unternehmen ihre Geräte aber auf Windows 11 verschieben sollten. Sicherheitsupdates für Microsoft 365 Apps auf Windows 10 sollen noch bis zum 10. Oktober 2028 bereitgestellt werden. Gleichzeitig bleiben Geräte laut Microsoft nach Release von Version 2608 auf diesem Stand und erhalten danach nur noch Sicherheitsupdates.

Für den Betrieb ist noch wichtiger, was im Supportfall passiert. Wenn ein Problem nur mit Microsoft 365 Apps auf Windows 10 auftritt und nicht unter Windows 11, wird Microsoft den Wechsel auf Windows 11 verlangen. Technische Workarounds können dann begrenzt oder gar nicht verfügbar sein. Das heißt praktisch: Ein Gerät kann formal noch laufen und trotzdem schon außerhalb einer wirklich belastbaren Supportrealität liegen.

Deshalb sollte die Prüfung nie beim Office-Client enden. Add-ins, Smartcard-Software, Branchenanwendungen, Browser-Abhängigkeiten, Druckpfade, Scanner, lokale Agenten und VPN-Komponenten gehören in dieselbe Freigabelogik. Erst wenn diese Pfade sauber getestet sind, ergibt ein Rolloutfenster operativ Sinn.

Ausnahmen, Austausch und Kommunikation in ein Betriebsmodell gießen

Am Ende entscheidet nicht die Roadmap, sondern der Betriebsrahmen. Wer genehmigt Ausnahmen für Windows-10-Restbestände? Wie werden ESU-Geräte im Bestand markiert? Welche Priorität hat der Austausch nicht kompatibler Hardware? Wann wird ein Fachbereich eskaliert, wenn Migrationstermine wiederholt verschoben werden? Und welche Texte nutzt der Service Desk, wenn Nutzer nach Support, Office-Kompatibilität oder Sicherheitsrisiken fragen?

Ein gutes Modell hält diese Fragen nicht als lose Einzelfallentscheidungen offen. Es verbindet ein Ausnahme-Register mit festen Review-Terminen, klare Eigentümer mit verbindlichen Enddaten und den Geräteaustausch mit nachvollziehbaren Prioritäten. Sinnvoll ist zum Beispiel eine monatlich geprüfte Liste geschäftskritischer Restbestände, ergänzt um Ampelstatus, Freigabeinstanz und nächsten Entscheidungspunkt. So wird sichtbar, wo Altgeräte toleriert werden, warum das geschieht und wann die Toleranz endet.

Ebenso wichtig ist die Nutzerkommunikation. Wer das Thema nur als technisches Upgrade verkauft, erntet Widerstand. Wer dagegen klar erklärt, dass es um Supportfähigkeit, Sicherheitsniveau und verlässliche Anwendungswege geht, entlastet den Service Desk und verkürzt die Debatten mit Fachbereichen spürbar.

Fazit

Windows 10 ist nach dem Supportende kein normaler Client-Standard mehr, sondern ein gesteuerter Ausnahmefall. Genau deshalb gehören ESU, Hardwaretausch, Office-Unterstützung und Kommunikationsregeln jetzt zusammen in ein Betriebsmodell. Wer Restbestände nur weiterlaufen lässt, verschiebt Risiko und Supportlast in die Linie. Wer sie aktiv segmentiert, befristet und mit klaren Ausstiegspfaden versieht, schafft wieder eine belastbare Grundlage für den Endpoint-Betrieb.

Quellen

• Microsoft Support: Windows 10 support has ended on October 14, 2025
• Microsoft Learn: Extended Security Updates (ESU) program for Windows 10
• Microsoft Learn: Windows 10 end of support and Microsoft 365 Apps
• Microsoft: Windows 11 Specs and System Requirements