Legacy-Anwendungen: wie viele Leichen haben SIE im Keller?

Jedes etwas größere Unternehmen hat irgendwann mal spezialisierte Fachanwendungen von externen Anbietern gekauft, im Auftrag entwickeln lassen oder selbst programmiert. Nicht selten  schlummern im Keller Hunderte solcher Anwendungen. Besonders wenn diese älter als zehn Jahre sind, sollten Sie genauer hinschauen. Falls einzelne Anwendungen auch noch mit Teilnehmern außerhalb des Unternehmensnetzwerks kommunizieren, sollten Sie nicht viel Zeit verlieren.

Software-Qualitätssicherung war zwar bereits in den 90er-Jahren kein Fremdwort, aber die Sicherheit von Anwendungen hatte man seinerzeit nicht so sehr im Blickfeld – zumal viele Bedrohungen erst später auf den Plan traten. Wer beispielweise 1998 den Begriff „SQL Injection“ gehört hätte, hätte vermutlich dabei eher an eine neue Einspritztechnik im Golf GTI gedacht als eine Angriffsmethode.

Was ist also zu tun? Spezifizieren Sie nochmals die Sicherheitsanforderungen an die Anwendung und den Geschäftsprozess, den sie unterstützt, und zwar aus heutiger Sicht. Prüfen Sie, ob die Anwendung den aktuellen Anforderungen noch standhält. Auf den Prüfstein gehören unter anderem – und ganz im Sinne der ISO-Norm 27002 – die korrekte Verarbeitung von Informationen in Anwendungen, die kryptographischen Maßnahmen, das Zusammenspiel mit Maßnahmen der Netzwerksicherheit und der sichere Betrieb der Anwendungen.

Voraussetzung ist, dass Sie die rechtlichen und faktischen Möglichkeiten haben, einen genauen Blick auf die einzelne Anwendung zu werfen. Ich kenne Fälle, in denen externe Hersteller den Eindruck erwecken, dass sie eine Verschleppung des Prüfvorgangs im Schilde führen. Das sollte Sie noch misstrauischer machen.

Sie sollten natürlich auch saubere Verfahren für die Abnahme und Freigabe von Software und für das Änderungs-Management haben, damit in Zukunft nur jene Anwendungen in Produktion gehen und bleiben, die die Sicherheitsanforderungen erfüllen.