Ein strategischer Imperativ: Stilllegung von Altsystemen für mehr Cybersicherheit

02-07-2024 | 6 Minute gelesen | Außerbetriebnahme von Legacy-Systemen, Cybersecurity, Enterprise Legacy System-Applikation (ELSA)

Die Autoren: Laura Parri Royo, Marketing Director bei der TJC Group, und Audren Butery, SAP-Berater bei der TJC Group.

Die Sicherheit steht ganz oben auf der Liste der Risikofaktoren. Unternehmen mit Altsystemen, die nicht kontrolliert werden, können besonders anfällig für Angriffe von Hackern und Cyberkriminellen sein, aber das ist noch nicht alles. Dieser Artikel illustriert ein reales Beispiel eines US-Unternehmens, dessen Altsysteme im Epizentrum der Ransomware standen. In einer Zeit, in der viele aktuelle SAP ECC-Anwender den optimalen Migrationspfad zu SAP S/4 HANA evaluieren, könnten Unternehmen versucht sein, mit ihrem alten ERP-System „nichts zu tun“. Doch abgesehen von den Sicherheitsrisiken gibt es viele weitere gute Gründe, in die Stilllegung von Altsystemen durch Experten zu investieren.

Mit Patches und System-Updates Schritt zu halten, ist eine echte Herausforderung für IT-Experten, wie der SAPinsider Cybersecurity Report 2023 berichtet. Leider ist dies das tägliche Brot für IT-Sicherheitsteams, die mit SAP-Systemen arbeiten; die Liste der SAP-Schwachstellen, die man im Auge behalten muss, ist lang. Der CISO von TJC Group hat darüber in diesem Artikel geschrieben: SAP-Sicherheitslücken und warum es nicht sicher ist, Legacy-Daten in einem alten SAP-System zu speichern.

Abbildung 1 SAP-Sicherheitslücken, CVE. Quelle: CVE-Details.

Für Unternehmen, die auf SAP S/4HANA migrieren, wird SAP die Wartung bis 2027 beenden – 2025 für Unternehmen, die EPH5 einsetzen. Beachten Sie, dass ungepatchte Systeme eine der größten Herausforderungen für Unternehmen bei der Sicherung ihrer SAP-Systeme sind, wie der SAPinsider Cybersecurity Report von 2023 zeigt. Daher ist das Ende der Wartung von SAP-Legacy-Systemen und/oder das Fehlen von Patches zu einem Sicherheitsproblem geworden. Dies bringt SAP und seine ECC-Kunden in eine schwierige Lage. SAP könnte das Ende der Wartungsfristen erneut verschieben, aber wenn das der Fall ist, werden sie so lange wie möglich warten. Deshalb raten wir Ihnen, einen Plan auszuarbeiten, wie Sie mit Altsystemen und historischen Daten möglichst kosteneffizient und gesetzeskonform umgehen. Haben Sie Fragen?

Kontaktieren Sie uns, wenn Sie Fragen haben.

Lassen Sie uns zunächst die Auswirkungen auf die Sicherheit bedenken, wenn wir Altsysteme auf unbestimmte Zeit weiterlaufen lassen. Wir haben bereits über die Sicherheitsrisiken gesprochen. Altsysteme sind viel anfälliger für Datenschutzverletzungen, da sie möglicherweise keine Updates und Patches mehr von den Anbietern erhalten. Selbst wenn ein Anbieter noch Wartungsupdates anbietet, hat das Anwenderunternehmen vielleicht aufgehört, diese zu implementieren – ein weiterer häufiger Fehler –, weil es vielleicht nicht mehr über die richtigen Fähigkeiten verfügt oder einfach, weil die neuen Systeme die ganze Aufmerksamkeit bekommen. Diese Praxis macht kritische Daten sehr anfällig für Cyber-Bedrohungen und ist eine der häufigsten Möglichkeiten, wie Hacker die Firewall eines Unternehmens durchbrechen können.

Datenschutzverletzungen sind derzeit eines der am schnellsten wachsenden Ziele für Hacker. Laut MIT-Experte Professor Stuart Madnick„nehmen Datenschutzverletzungen von Jahr zu Jahr weiter zu, und von 2022 bis 2023 wurde ein Anstieg der Datenschutzverletzungen um 20% gemessen“. Im Rahmen dieser  von der Harvard Business Review durchgeführten Studie wurde festgestellt, dass einer der beliebtesten Wege für Hacker, sich Zugang zu verschaffen, über Sicherheitslücken in den Systemen der Anbieter und insbesondere in den Altsystemen führt.

Zusätzlich zu den Sicherheitsaspekten gibt es auch Überlegungen zur Einhaltung von Vorschriften, wenn Altsysteme nicht kontrolliert werden. Diese sind ebenso kritisch. Wenn veraltete Systeme weiter betrieben werden, anstatt sie außer Betrieb zu nehmen, kann dies zur Nichteinhaltung moderner regulatorischer Standards wie der Datenschutzgrundverordnung (GDPR) führen, so dass ein Unternehmen Gefahr läuft, ein Bußgeld in Höhe von mehreren Millionen Euro zu erhalten und von den Regulierungsbehörden gerichtlich angefochten zu werden. Wir haben über die ernsten  finanziellen Risiken von GDPR-Strafen in der Vergangenheit geschrieben.

Betrachten wir die Kosten. Ein Artikel, der sich mit den Folgen der Nichtstilllegung von Altsystemen befasst, wäre unvollständig, ohne die Auswirkungen auf die Kosteneffizienz zu berücksichtigen. Wir befinden uns inmitten eines IT-Fachkräftemangels, der sich nach Einschätzung von Experten weiter verschärfen wird.

According to IDC Der wachsende IT-Fachkräftemangel wirkt sich auf Unternehmen aller Branchen und in allen Regionen aus. Fast zwei Drittel der Führungskräfte, die für einen aktuellen Forschungsbericht befragt wurden, gaben an, dass der Mangel an Fähigkeiten zu verfehlten Umsatzwachstumszielen, Qualitätsproblemen und einem allgemeinen Rückgang der Kundenzufriedenheit geführt hat. IDC prognostiziert, dass bis zum Jahr 2026 mehr als 90 % der Unternehmen weltweit von der IT-Fachkräftekrise betroffen sein werden, was zu Verlusten in Höhe von etwa 5,5 Billionen Dollar führen wird.

Es ist in den besten Zeiten schwierig, gute IT-Fachleute zu finden und zu halten, und wenn ihre Fähigkeiten noch spezieller sind, wird die Situation noch problematischer. Viele Altsysteme sind auf einen kleinen Pool von IT-Experten innerhalb eines Unternehmens angewiesen, um sie zu warten, was ein Risiko darstellt, wenn diese Ressourcen nicht mehr verfügbar sind. Anstatt wichtige IT-Budgets mit Legacy-Fähigkeiten zu binden, können durch die Stilllegung alter Systeme oder Anwendungen IT-Ressourcen für strategischere Projekte eingesetzt werden, die positiv zum Wachstum und zur Innovation des Unternehmens beitragen.

Der andere sehr wichtige Faktor, den es abzuwägen gilt, sind die Umweltkosten (und die Verschwendung), die durch die unnötige Stromversorgung von Altsystemen entstehen. Es ist allgemein bekannt, dass Rechenzentren heute der größte Stromverbraucher der Welt sind, und mit der wachsenden Datenmenge steigt auch der Stromverbrauch. Die Aufrechterhaltung von Altsystemen, die stillgelegt werden könnten, verschwendet eine Menge Strom. In einer Zeit, in der Unternehmen überall unter Druck stehen, ihren CO2-Fußabdruck zu reduzieren, könnte dies ein einfacher Gewinn sein. Wir haben über die  positiven Auswirkungen der Verwaltung von Datenmengen in der Vergangenheit geschrieben.

Nachdem wir die Bedeutung der Stilllegung von Altsystemen erläutert haben, stellt sich die Frage, welche Schritte IT-Experten unternehmen können, um den Prozess der sicheren Entfernung dieser Systeme so einfach wie möglich zu gestalten. Einer der grundlegenden Einwände in Unternehmen, die die Stilllegung von Altsystemen in Erwägung ziehen, lautet: „Was passiert, wenn wir die Daten wieder brauchen? Diese Sorge ist verständlich, insbesondere wenn man bedenkt, dass Unternehmen in einigen Branchen historische Aufzeichnungen für Steuer-, Audit- oder Compliance-Zwecke aufbewahren müssen. Glücklicherweise gibt es spezielle Lösungen, die dies ermöglichen, darunter ELSA von TJC Group.

Der folgende Artikel gibt Aufschluss darüber, wie man ein altes System in den Ruhestand versetzt, vom Auslaufen bis zur Außerbetriebnahme: https://www.tjc-group.com/blogs/legacy-systems-a-journey-from-sunsetting-to-decommissioning/

ELSA (Enterprise Legacy System Application) ist eine einzigartige, von SAP zertifizierte Lösung, die den Zugriff auf alle SAP- und Nicht-SAP-Legacy-Systeme, die nicht mehr für die täglichen Geschäftstransaktionen benötigt werden, so einfach wie möglich macht. Sie wurde exklusiv von TJC entwickelt, um die Herausforderungen der Stilllegung bei der Migration auf S/4 HANA oder ein anderes ERP-System zu bewältigen. Sie kann vor Ort über die SAP Business Technology Platform oder als SaaS bereitgestellt werden.

ELSA ermöglicht Endanwendern einen einfachen Zugriff auf Altdaten, Dokumente und historische Transaktionen, nachdem ein altes ERP-System abgeschaltet wurde. Der direkte Zugriff der Endbenutzer ist von großer Bedeutung, da er sicherstellt, dass die IT-Abteilungen nicht für die Erleichterung des Zugriffs auf Altdaten verantwortlich sind, was eine Verschwendung von IT-Ressourcen darstellt.

Die Lösung ist leistungsfähig genug, um 100 % der Altsysteme in einem Unternehmen stillzulegen – von einer einzelnen ERP-Datenbank bis hin zu Hunderten von Anwendungen – und kann vollständige Rückverfolgungsprotokolle führen, um die künftige Einhaltung lokaler Steuergesetze und Datenschutzbestimmungen einschließlich der Datenschutzgesetze zu gewährleisten. ELSA kann auch in automatisierte Datenarchivierungslösungen integriert werden, um sicherzustellen, dass ein vollständiges Information Lifecycle Management implementiert wird. So kann Ihr Unternehmen das Wachstum des Datenvolumens dauerhaft unter Kontrolle bringen.

Die Investition in die Stilllegung von Altsystemen ist eine wichtige strategische Maßnahme für jedes große Unternehmen. Dadurch werden Sicherheits- und Compliance-Risiken gemindert und die Kosten und der CO2-Fußabdruck reduziert. Glücklicherweise stehen heute modernste Technologien zur Verfügung, um dieses Problem zu lösen. Bedenken Sie die Vorteile für Ihr Unternehmen und sprechen Sie mit den Experten über die nächsten Schritte.

Quellen für Informationen