New call-to-action

Datenschutz und Cybersecurity: Warum ist eine Stilllegung die sicherste Lösung für Legacy-Anwendungen?

15-05-2023 | 4 | Außerbetriebnahme von Legacy-Systemen, Cybersecurity

Autorin: Thierry Julien, CEO der TJC Group

Die Stilllegung von Legacy-Systemen ist einer der entscheidenden Faktoren, die Unternehmen berücksichtigen müssen. Dies hilft nicht nur bei der Einhaltung künftiger Vorschriften, sondern auch bei Cyberangriffen und Datenschutzverletzungen. Ein Überblick darüber, warum die Stilllegung von Legacy-Anwendungen heute die sicherste Lösung ist.

Millionen personenbezogener Daten aufgrund einer Datenpanne offengelegt

Vor ein paar Monaten stieß ich auf eine auffällige Schlagzeile im 01net-Magazin: „Die DNA von 2,1 Millionen Menschen wurde aufgrund einer unvorstellbaren Nachlässigkeit gehackt“.

Die Geschichte beginnt ganz klassisch: Ein Unternehmen wird erpresst und zur Zahlung eines Lösegelds aufgefordert. Eine Software namens Cobalt Strike konnte in das Netzwerk des DNA Diagnostics Centre (DDC) eindringen, einer amerikanischen Gesundheitsorganisation, die auf DNA- und Vaterschaftstests spezialisiert ist.

Die Software drang in die Datenbanken der Organisation ein und griff auf Millionen personenbezogener Daten zu. Doch alle Warnungen wurden bei der Entdeckung unverständlicherweise ignoriert. Aus einem unbekannten Grund hat das DNA-Diagnosezentrum nicht sofort auf die Alarmierung seines Sicherheitsdienstleisters reagiert.

Noch interessanter ist jedoch, dass sich herausstellte, dass es sich bei der Software um dieselbe handelt, die Cybersecurity-Experten zur Prüfung der Systemresistenz verwenden.

Alles in allem waren die Folgen des Einbruchs weitreichend, denn sie schadeten dem Ruf des Unternehmens und führten zu empfindlichen Geldstrafen. Ganz zu schweigen von den schwerwiegenden Folgen für die Opfer, wie die Offenlegung von Gesundheits- und personenbezogenen Daten.

Obwohl dies in unseren Zeitungen nur allzu häufig vorkommt, ist es in diesem Fall etwas Besonderes, da es sich um die Beteiligung von Servern und Datenbanken handelt und nicht um eine einzelne Anwendung. Die US-Bundesbehörden berichten, dass „fünf Server kompromittiert [wurden] und Back-ups von 28 Datenbanken [enthielten], und ein stillgelegter Server zum Exfiltrieren von Daten verwendet [wurde]“.

Ein Legacy-System, das Epizentrum

Bei diesen Servern handelte es sich wahrscheinlich um virtuelle Maschinen, die besonders anfällig sind, wenn sie unbeaufsichtigt bleiben. Was diesen Artikel jedoch so interessant macht, ist der Grund für diese Nachlässigkeit: Bei den gestohlenen Daten handelte es sich um Altdaten, die bei der Übernahme eines kleineren Unternehmens durch DDC im Jahr 2012 weitergegeben wurden. Das auf DNA-Tests spezialisierte Unternehmen gab zu, nicht die leiseste Ahnung davon gehabt zu haben, dass solche Daten auf seinen Servern gespeichert waren.

Wie in dem Artikel berichtet: „EinSpezialist des DNA-Diagnostikzentrums versichert, dass eine frühere Bestandsaufnahme seiner Archive das Vorhandensein der Daten nicht ergeben hat„.

Die Tatsache, dass ein Server auf „Stand-by“ geschaltet war, erwies sich als grobe Fahrlässigkeit. Es ist eine solche Nachlässigkeit bei der Verwaltung von Legacy-Systemen, die das DDC in ernste Schwierigkeiten gebracht hat. Die Systeme werden nicht mehr aktualisiert und erhalten keine Unterstützung oder Wartung. Daher sind sie auch übermäßig anfällig für Sicherheitslücken, weshalb man die alten Server außer Betrieb nehmen muss, um diese Daten zu schützen.

Nun ist es viel zu einfach, sich auf „Unachtsamkeit“ zu berufen. Die eigentliche Frage ist: Wie oft haben wir im Laufe der Jahre Daten und Server „gesichert“? Die Verlagerung in die Cloud und die Datenschutzbestimmungen haben dazu geführt, dass solche alten Praktiken, die früher sicher waren, zu einem erheblichen Risiko werden, das nicht mehr akzeptabel ist. Daher ist die Anwendung eines Legacy-Systems heute die Norm.

Die Kehrseite der virtuellen Maschinen

Virtuelle Maschinen werden als praktikable und schnelle Lösung zur Speicherung von Legacy-Systemen angesehen. Sie bergen jedoch drei ernsthafte Fallstricke, wenn sie als Stilllegungslösung eingesetzt werden:

  • VMs bieten keine Möglichkeit, Datenschutzverpflichtungen zu verwalten, sodass das Unternehmen Risiken bei der Einhaltung von Vorschriften ausgesetzt ist.
  • Sie ermöglichen es Organisationen, Informationen zu speichern und zu vergessen. Ab dem Tag, an dem die Mitarbeiter das Projekt oder das Unternehmen verlassen oder in den Ruhestand gehen, ist es schwierig, die potenziell schädlichen Informationen zu identifizieren.
  • VMs sind anfälliger für benutzerdefinierte Ransomware, die diese Technologien lahmlegen soll.

Deshalb wäre es in der in diesem Artikel beschriebenen Situation für das DNA-Diagnostikzentrum am sichersten gewesen, das erworbene Legacy-System ohne zu zögern außer Betrieb zu nehmen.

Weitere Informationen über virtuelle Maschinen finden Sie hier: Virtuelle Maschinen zur Wartung von Altsystemen: eine gute oder schlechte Idee?

Systemstilllegung, eine sichere Sache

Die Stilllegung von Altsystemen ermöglicht es Unternehmen, den Zugang zu alten Daten beizubehalten (in den meisten Fällen aus geschäftlichen Gründen oder für Audits) und gleichzeitig die erforderlichen Datenschutzkontrollen durchzuführen, falls notwendig. Wenn das vom DDC erworbene Legacy-System relevant oder datenschutzrelevant war, hätte es mit einer Altsystemanwendung wie ELSA von der TJC Group verwaltet werden müssen. Die Enterprise Legacy System Application ist eine SAP BTP-zertifizierte Lösung, die sicherstellt, dass nach der Ausmusterung eines Legacy-Systems jederzeit und aus jeder Quelle wieder auf alle Altdaten zugegriffen werden kann.

ELSA_by_TJC_-_Legacy_systems_directory_-_workspace
ELSA von TJC, Verzeichnis des Altsystems. Quelle: TJC-Gruppe.

Fazit

Es gibt mehrere Gründe, warum ein Unternehmen ein Altsystem außer Betrieb nehmen möchte – einer davon ist der Schutz des Unternehmens vor Cyberangriffen oder vor künftigen Compliance-Anforderungen, beides Faktoren, auf die wir keinen Einfluss haben.

ELSA_Gründe_für_die_Initiierung_eines_Stilllegungsprojekts
Gründe für die Durchführung eines Stilllegungsprojekts. Quelle: TJC-Gruppe.

Wenn Legacy-Systeme nicht außer Betrieb genommen werden, besteht ein hohes Risiko, dass sie in Zukunft „Bomben“ enthalten. Andererseits basieren sie auf alten Technologien, die früher oder später veraltet sein werden. Die Suche nach IT-Fachleuten, die über dieses Nischentalent verfügen, kann sich als schwierig und kostspielig erweisen, während neue Mitarbeiter nicht das nötige Wissen haben, um zukünftige Probleme zu bewältigen.

Abschließend sei darauf hingewiesen, dass alle IT-Systeme, die sensible Informationen enthalten, außer Betrieb genommen werden und nicht nur „auslaufen“ sollten. Wenn Sie weitere Informationen oder Unterstützung bei der Stilllegung eines Legacy-Systems benötigen, setzen Sie sich mit uns in Verbindung.

Quellen:

  • L’ADN de 2,1 millions de personnes a été piraté à cause d’une incroyable négligence, 01net magazine
  • Rethinking the security of virtual machines, CSO Online
  • Are virtual machines the new gold for cyber criminals?, McAfee
Zurück zu allen Blogs
Außerbetriebnahme von Legacy-Systemen Business to Government Compliance Cybersecurity DART Datenmanagement S/4HANA-Migration Einhaltung der DSGVO Enterprise Legacy System-Applikation (ELSA) Fichier des Écritures Comptables (FEC) Globale E-Rechnung und E-Reporting IT-Trends Karriere Nachhaltigkeit SAF-T-Konformität SAP BTP SAP Information Lifecycle Management SAP-Datenarchivierung SAP-Datenverwaltung SAP-Highlights Steuer- und Prüfungsbereitschaft Unternehmen der TJC-Gruppe Vorfall
November 2024October 2024September 2024August 2024July 2024June 2024May 2024April 2024March 2024February 2024January 2024December 2023November 2023October 2023September 2023August 2023July 2023June 2023May 2023April 2023March 2023February 2023January 2023December 2022November 2022October 2022September 2022August 2022June 2022April 2022March 2022February 2022December 2021November 2021October 2021September 2021July 2021June 2021May 2021April 2021March 2021February 2021January 2021December 2020November 2020October 2020September 2020August 2020June 2020May 2020April 2020March 2020February 2020January 2020December 2019October 2019September 2019July 2019November 2018August 2018July 2018June 2018April 2018February 2018December 2017May 2017February 2016December 2015May 2015February 2014March 2013

Aktuelle Artikel

New Zealand - Data Privacy - Header
Datenschutzgesetz: Was verbirgt sich hinter dem New Zealand Privacy Act 2020?

04/11/2024 |  

5

NIS2 patching derogation
Sollten wir die Ausnahmeregelung für NIS2-Patches auf SAP-Altsysteme anwenden?

29/10/2024 |  

4

Mehr wie das

NIS2 patching derogation

Sollten wir die Ausnahmeregelung für NIS2-Patches auf SAP-Altsysteme anwenden?

29/10/2024 |  

4

ISO27001 and Legacy Systems Header (1) (1)

ISO27001 und Altsysteme | Alles, was Sie darüber wissen müssen!

28/10/2024 |  

9

SAP S/4HANA in the content of legacy systems decommissioning

Alles über die Stilllegung von Altsystemen bei der S/4HANA-Migration

24/07/2024 |  

9