Anzeige

Legacy Systems

IT-Dienstleister Avision erläutert, wie Unternehmen ihre Legacy-Anwendungen absichern können. Legacy-Software ist für viele Unternehmen unverzichtbar. Sie erfüllt eine kritische Funktion und lässt sich nicht einfach ohne Weiteres durch eine neue Lösung ersetzen.

Zu ihren Alterserscheinungen zählt aber meist auch mangelnde Sicherheit. Der auf Software Revival spezialisierte IT-Dienstleister Avision zeigt auf, mit welchen Maßnahmen Unternehmen ihre Altanwendungen sicherheitstechnisch auf Vordermann bringen können.

1. Basissoftware aktualisieren.

Oft kommen bei Legacy-Anwendungen noch Versionen von Java, Datenbanken oder Betriebssystemen zum Einsatz, die so veraltet sind, dass ihre Anbieter sie nicht mehr mit Support unterstützen. Da ihre Sicherheitslücken nicht mehr durch Patches geschlossen werden, machen sie die Anwendungen insgesamt unsicher. Die Basissoftware sollte deshalb auf aktuellere, unterstütze Versionen gebracht werden. 

2. Passwortrichtlinien implementieren.

Unsichere Passwörter sind das Sicherheitsrisiko Nummer eins. Unternehmen müssen gewährleisten, dass die Mitarbeiter nur Passwörter verwenden, die ausreichend lang und komplex sind. Einfache oder zu allgemeine Passwörter sind anfällig für Brute-Force-Attacken oder lassen sich – noch schlimmer – vielleicht sogar erraten.

3. Rollenkonzepte festlegen.

Vor allem bei personenbezogenen Daten ist ein eingeschränkter Zugriff wichtig, denn hier müssen Unternehmen den Vorgaben der DSGVO gerecht werden. Nutzer sollten gemäß dem Need-to-Know-Prinzip nur Zugang zu Informationen erhalten, die sie für die Ausführung ihrer Tätigkeiten unbedingt benötigen. Das lässt sich durch die Implementierung entsprechender Rollenkonzepte realisieren.

4. Übertragungswege verschlüsseln.

Häufig kommen in Legacy-Anwendungen noch veraltete, unverschlüsselte Protokolle zum Einsatz. So nutzen sie etwa HTTP für die Übertragung von Webseiteninhalten, FTP für die Übertragung von Dateien oder Telnet für Fernzugriffe auf Rechner. Sie können durch die modernen, verschlüsselten Protokolle HTTPS, SFTP beziehungsweise SSH ersetzt werden. 

5. Typische Sicherheitslücken schließen.

Zusätzlich sollten Unternehmen auch generelle Sicherheitsprobleme von Software beseitigen, die nicht nur Legacy-Anwendungen aufweisen. Dazu zählen etwa Sicherheitslücken in Webseiten, die Cross-Site-Scripting ermöglichen, oder offene Ports in Anwendungen, die sich für Angriffe nutzen lassen. Mit Hilfe spezieller Sicherheitsscans lassen sich solche Einfallstore finden und schließen. 

6. Zugriffsmöglichkeiten einschränken.

Kann eine kritische Legacy-Anwendung nicht mehr ausreichend abgesichert werden, sollten Unternehmen die externen Zugriffsmöglichkeiten darauf einschränken. Das können sie etwa durch die Einrichtung einer so genannten Demilitarisierten Zone erreichen. Eine solche Pufferzone trennt internes und externes Netzwerk durch Firewalls und strenge Kommunikationsregeln voneinander ab.

7. Peripherie nicht vergessen.

Selbst wenn eine Legacy-Anwendung rundum gesichert ist, nutzt das wenig, wenn sie auf unsicheren Endgeräten genutzt wird. Das gilt beispielsweise für Notebooks oder Tablets mit dem Betriebssystem Windows XP, dessen Support ausgelaufen ist. Es darf keine Peripherie zum Einsatz kommen, die Einfallstore für Hacker bietet.

„Nicht jede Altanwendung benötigt dasselbe Sicherheitsniveau“, sagt Nadine Riederer, CEO bei Avision. „Deshalb sollten Unternehmen die sicherheitstechnische Modernisierung von Legacy-Software gezielt angehen. Sie sollen eruieren, was genau die Anwendung macht, welche Risiken damit einhergehen und welcher konkrete Schutzbedarf sich dann daraus ergibt.“

Nadine Riederer, CEO
Nadine Riederer
CEO, Avision

Artikel zu diesem Thema

Cloud Computing
Feb 09, 2021

SAP-Daten in die Cloud migrieren – ganz ohne SAP

Wie schafft man es, Informationen aus SAP-Systemen mit anderen Unternehmensinformationen…
Passwortmanagement
Feb 07, 2021

Viele smarte Geräte besitzen leicht knackbare Passwörter

Laut dem IoT-Forscherteam von Avira erfolgen 34 Prozent aller Cyber-Angriffe auf die…
digitale Sprechstunde
Feb 03, 2021

Datenschutz in der digitalen Sprechstunde: Wie der CLOUD Act die DSGVO aushebelt

Immer mehr Ärztinnen und Ärzte sowie medizinisches Pflegepersonal setzen zur Eindämmung…

Weitere Artikel

Cyber Security

Mittelstandsnachfrage beflügelt deutschen Cyber-Security-Markt

Die Nachfrage mittelständischer Unternehmen nach Cyber-Security-Lösungen ist in Deutschland zuletzt stark angestiegen. Entsprechende Anbieter müssen deshalb über ein ausgewogenes Portfolio verfügen, mit dem sie sowohl Großkunden als auch Mittelständler…
Endpoint Security

Warum Endpoint-Schutz auch bei Offline-Systemen notwendig ist

In Teilen der IT-Welt dominiert die Meinung, dass einige Systeme keinen Endpoint-Schutz benötigen. Diese Einschätzung ist häufig für solche Geräte anzutreffen, die isoliert und nicht mit dem Internet verbunden sind oder keine wichtigen Daten oder Programme…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.