Anzeige

rote Ampel

Fast jedes Unternehmen hat Software im Einsatz, die in die Jahre gekommen ist. Das kann ein Problem sein – muss es aber nicht. Ein Ampelprinzip hilft bei der Einschätzung, ob Handlungsbedarf besteht, erläutert der IT-Dienstleister Avision. 

Software-Schwachstellen sind eines der wichtigsten Einfallstore für Malware und Hacker, weshalb Unternehmen Software-Aktualisierungen höchste Priorität einräumen sollten. Doch oft fällt es ihnen ob der Fülle an Anwendungen, die sie einsetzen, schwer einzuschätzen, wo tatsächlich Handlungsbedarf besteht. Und manchmal stolpern sie in eine der häufigsten Fallen: Wenn Software keine akuten Probleme verursacht, sind sie schnell versucht, diese erstmal gar nicht anzufassen.

Der IT-Dienstleister Avision zeigt auf, wie Unternehmen ihre Anwendungen nach dem Ampelprinzip einstufen und Legacy-Software aufspüren, die den Geschäftsbetrieb gefährdet:

Alles im grünen Bereich.

Auf Grün steht die Software-Ampel für alle Anwendungen, die Unternehmen regelmäßig aktualisiert haben und für deren Pflege das Know-how intern vorhanden ist. Das bedeutet nicht, dass sie diese Anwendungen fortan ignorieren können – ihr Ziel sollte sein, den grünen Status beizubehalten, um nicht in Handlungsnot zu geraten. Unternehmen benötigen dafür Mitarbeiter, die die Verantwortung für den Code übernehmen und sich um seine kontinuierliche Verbesserung kümmern. Er muss sowohl aktuelle Sicherheitsanforderungen berücksichtigen als auch möglichst wenige technische Schulden aufweisen. Solche technischen Schulden sind beispielsweise unzureichende Code-Dokumentationen oder nicht eingehaltene Coding-Standards. Darüber hinaus ist es ratsam, neben dem Quellcode auch die Build-Umgebungen zu archivieren, um ältere Anwendungen bei Bedarf unkompliziert anpassen zu können. Vernachlässigen Unternehmen die Pflege einer Anwendung zu lange, springt die Ampel auf Gelb.

Die gelbe Warnleuchte geht an.

Haben Unternehmen eine Software mehr als zwei Jahre nicht aktualisiert, ist das ein eindeutiges Warnsignal. Nach diesem Zeitraum laufen oft Support-Zyklen für externe Software-Komponenten aus und das Sicherheitsrisiko steigt. Zudem entspricht alte Software häufig nicht mehr den Anforderungen, sodass Mitarbeiter Workarounds nutzen, um ihre Aufgaben zu erledigen. Manche Funktionen setzen sie auch gar nicht mehr ein – deren Code könnten Unternehmen eigentlich ausbauen, um Sicherheitsrisiken zu minimieren und die Pflege der Anwendungen zu vereinfachen. Ein weiteres Warnsignal ist, wenn sich die Code-Qualität verschlechtert. Dies erschwert Entwicklern die Einarbeitung und treibt die Kosten bei jedem neuen Release nach oben. Kennen sich nur noch zwei oder weniger Mitarbeiter mit der Anwendung aus, ist das gleich doppelt riskant: Zum einen sind die Ressourcen für die regelmäßige Wartung sehr knapp bemessen, zum anderen kann die Anwendung nur noch mit sehr hohem Aufwand gewartet werden, sollten diese Mitarbeiter das Unternehmen verlassen. 

Ein Grund zur Panik ist das aber noch nicht. Unternehmen sollten allerdings nach den Ursachen der Probleme forschen und gezielt Veränderungen anstoßen: etwa weitere Mitarbeiter in die Software einarbeiten, veraltete Funktionen und Programmbestandteile entfernen oder aktualisieren, Sicherheitsfeatures integrieren oder ein Refactoring einleiten. Tun sie das nicht, springt die Software-Ampel früher oder später auf Rot – für ein sorgfältig geplantes Vorgehen ist es dann zu spät: Brandbekämpfung ist angesagt.

Alarmstufe Rot.

Nicht immer springt die Software-Ampel auf Rot, weil Unternehmen die Gelbphase verschlafen. Manchmal sind es einzelne Ereignisse, die ein schnelles Handeln erfordern, zum Beispiel neu entdeckte Sicherheitslücken oder kurzfristig veränderte Anforderungen wie die Mehrwertsteuersenkung des vergangenen Jahres. Häufiger kommt es allerdings vor, dass der Support für Anwendungen oder einzelne Software-Komponenten ausgelaufen ist und es für diese keine Updates und Security-Patches mehr gibt. Bisweilen verhindern aber auch unternehmensspezifische Anpassungen an Anwendungen das Einspielen verfügbarer Aktualisierungen.

Oft bemerken Unternehmen solche Probleme, die ihren Geschäftsbetrieb und ihre Reputation gefährden, erst, wenn Anwendungen nicht mehr funktionieren, Sicherheits- und Datenschutzverletzungen auftreten oder Externe sie auf eine Schwachstelle hinweisen. Dann heißt es, schnell handeln und alle verfügbaren Ressourcen auf das Problem ansetzen – Kostenerwägungen dürfen in dieser Situation nicht im Vordergrund stehen. Unternehmen müssen das Problem analysieren und klären, ob sie es intern oder mit Unterstützung durch Dienstleister beseitigen können. Die Lösung sollte dabei möglichst langfristig ausgelegt sein, denn nicht ausreichend durchdachte Anpassungen erhöhen die technischen Schulden und schaffen später neue Probleme. Schließlich steht die Software-Ampel auch bei Anwendungen auf Rot, deren Pflege hohe Kosten verursacht und bei denen die Ressourcen nicht in die fachliche Weiterentwicklung fließen, sondern nur noch dazu dienen, die Anwendung einsatzbereit zu halten.

Haben Unternehmen die akute Situation bereinigt und die Anwendung hat wieder einen gelben Status, sollten sie direkt mit der Planung für eine Verbesserung zu Grün beginnen. Schließlich ist der Aufstieg von Gelb zu Grün stressfreier und kostengünstiger als die aufwändigen Arbeiten unter Zeitdruck, die ein roter Status erfordert.

„Die Pflege und regelmäßige Aktualisierung von Software verursacht zwar Kosten, doch diese sind deutlich niedriger als die Kosten, die entstehen, wenn Software das Ende ihres Lebenszyklus erreicht hat. Dann drohen Betriebsunterbrechungen und Sicherheitsverletzungen, sodass Unternehmen sehr kurzfristig reagieren müssen“, betont Nadine Riederer, CEO bei Avision. „Die kontinuierliche Bewertung, in welcher Lebensphase sich Anwendungen befinden, und die Einstufung nach einem Ampelprinzip erleichtern es Unternehmen, konkreten Handlungsbedarf zu erkennen und ihre Ressourcen zielgerichtet einzusetzen.“

www.avision-it.de


Artikel zu diesem Thema

Hackerangriff
Jul 20, 2021

USA, EU und Verbündete prangern Hackerangriffe Chinas an

Die US-Regierung und mehrere Verbündete machen China für «unverantwortliche böswillige…
Cybercrime
Jun 30, 2021

Büro-Rückkehrende als Ziel für Cyber-Kriminelle

Am 01. Juli endet die Homeoffice-Pflicht in Deutschland. Dann müssen Arbeitgeber ihren…
Legacy-System
Mai 03, 2021

Legacy-Software kann unnötige Kosten verursachen

Avision zeigt auf, welche unnötigen Kosten bei Altanwendungen anfallen können – und wie…

Weitere Artikel

KRITIS

Die Energiewende als Herausforderungen für die Cybersicherheit

Die Energiewende ist in vollem Gange. Doch dabei sollte die Cybersicherheit nicht zu kurz kommen. Denn die neue Technologie bringt auch neue Angriffsvektoren mit sich.
Open Source

Gipfeltreffen zur Sicherheit von Open-Source-Software

Akamai Technologies hat an dem vom Weißen Haus veranstalteten Gipfeltreffen zur Sicherheit von Open-Source-Software teilgenommen und dabei die Gelegenheit genutzt, seine Ansichten und Empfehlungen zu diesem wichtigen Thema darzulegen. Ein Kommentar von…
Home Office Security

Hybrides Arbeiten: IT-Sicherheit neu gedacht

Durch die Coronapandemie haben sich die Koordinaten der Arbeitswelt nachhaltig verschoben. Hybride Arbeitsplätze sind in vielen Unternehmen zum Standard geworden. Das Thema Sicherheit spielt dabei eine zentrale Rolle – nicht nur in puncto Cyberabwehr. Dell…
Phishing

Phishing-Abwehr auf Basis von Crowd-Sourcing erfolgreich

Eine Schweizer Phishing-Studie mit rund 15.000 Teilnehmern in einem 15-monatigen Experiment brachte einige interessante Ergebnisse hervor. Die Studie wurde von Forschern der ETH Zürich in Kooperation mit einem Großunternehmen durchgeführt, das anonym bleiben…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.