Informations Technology (IT) wird zurecht mit allem Neuem und der Zukunft in Verbindung gebracht. Treibt sie doch die Art wie wir Leben stetig und unaufhörlich voran. Daher ist es leicht, die Rolle von Legacy-Technologien in modernen Infrastrukturen zu unterschätzen. Versteckt in Industrieanlagen, Finanzinstituten oder Krankenhäusern sorgen diese alten Systeme still und leise dafür, dass alles läuft – bis sie ausfallen. In diesem Moment wird ihre strategische Bedeutung deutlich und mangelnde Vorbereitung kann zu geschäftskritischen Ausfallzeiten führen.

Eine Geschichte an einem Montagmorgen

Montagmorgen, an einer Fertigungsstrasse. Nach den letzten Bearbeitungsschritten ist ein kritisches Teil bereit für die Qualitätskontrolle. Es wird vorbereitet und zur Messmaschine gebracht: einer Zeiss Prismo, Modell aus den frühen 2000er Jahren. Das System wird von einer speziellen Software gesteuert, die seit ihrer Installation auf demselben Computer läuft, der in einer Ecke des Labors steht.

Der Computer startet nicht. Mehrere Versuche schlagen fehl. Lange und kurze Pieptöne deuten auf viele mögliche Ursachen hin. Die Experten werden angefordert. Wir öffnen das Gehäuse: Wir wackeln an einigen Anschlüssen, dem IDE-Kabel der Festplatte, den Erweiterungskarten, den Netzsteckern. Immer noch nichts. Bei näherer Betrachtung zeigt die Grafikkarte einen dunklen Fleck in der Nähe eines Kondensators. Ein typischer Defekt alter Hardware. Das Problem ist identifiziert, aber wie können wir es schnell beheben? Die Messungen müssen bis Donnerstag abgeschlossen sein, sonst fallen saftige Vertragsstrafen an.

Der erste Schritt besteht darin, die Festplatte zu klonen. Irgendwo haben wir noch einen alten IDE-Kloner. Nachdem das Image fertiggestellt ist, versuchen wir, es in VMware zu starten. Das bekannte Windows 2000-Logo erscheint. Die Anwendung startet, läuft aber zu schnell. Wir müssen die VM verlangsamen, nach den Original-Treibern suchen und die Registrierungseinstellungen anpassen. Für mich ist das wie das Fahren meines ersten Renault 4 – unbequem, spartanisch, minimale Bedienelemente. Die jüngeren Ingenieure hinter uns schauten nur ungläubig zu.

Nach mehreren Versuchen und einer Rückkehr zum Albtraum der DL-Hölle, lange vor der Zeit von Containern, läuft die Anwendung schliesslich. Aber sie benötigt einen 9-poligen seriellen Anschluss. Nach Adaptern, weiteren Anpassungen und drei Tagen Arbeit sind wir endlich erfolgreich. Wir haben einen kleinen Teil eines alten Systems virtualisiert. Ein unbemerktes Rädchen in einer komplexen Maschine, das Jahrzehntelang unverzichtbar war, ohne dass jemand darauf geachtet hat.

Die Allgegenwart von Altsystemen

Obwohl in der Branche ständig von Cloud, Containerisierung und softwaredefinierten Netzwerken die Rede ist, wurden unzählige Computer in Industrie- und Unternehmensumgebungen nie aktualisiert. Ihre Anwendungen wurden nie weiterentwickelt und sind daher in der Zeit stehen geblieben. Diese Relikte sind für automatisierte Erkennungsprozesse oft unsichtbar. Niemand wagt es, einen EDR-Agenten zu installieren: Fass niemals ein laufendes System an lautet die ungeschriebene Regel, insbesondere wenn es bekanntermassen anfällig ist. Und in jedem Fall werden sie von modernen Sicherheitstools nicht mehr unterstützt.

Legacy-Technologie gibt es in vielen verschiedenen Formen. Im Bank- und Versicherungswesen führen Mainframes immer noch täglich Millionen von COBOL-Transaktionen aus. In grossen Rechenzentren sind Magnetbänder nach wie vor das kostengünstigste Medium für die Langzeitspeicherung. In Krankenhäusern und Universitäten werden kritische Anwendungen weiterhin von Solaris, HP-UX oder AIX -Servern betrieben. In Fabriken steuern Windows XP, Windows 7 und sogar MS-DOS-Rechner still und leise CNC-Anlagen und medizinische Geräte. Einst als veraltet erklärte Programmiersprachen wie FORTRAN, Assembly, Perl, Visual Basic 6 sind in Wissenschaft, Verteidigung und Büroautomation nach wie vor im Einsatz. Faxgeräte, ISDN-Leitungen und unverschlüsselte Protokolle wie Telnet oder FTP bestehen in einigen Netzwerken aufgrund rechtlicher, kompatibilitätsbezogener oder betrieblicher Einschränkungen weiterhin.

Das ist keine Nostalgie. Das ist Realität. Die Systeme funktionieren, sie erfüllen wichtige Funktionen, und ihr Austausch ist teuer und riskant. Daher bleiben sie viel länger als ursprünglich geplant in Betrieb und werden Teil der kritischen Infrastruktur vieler Organisationen.

Sicherheitsherausforderungen

Das Vorhandensein von Legacy-Technologie ist nicht nur eine operative Belastung, sondern auch ein ernstes Sicherheitsrisiko. Betriebssysteme wie Windows XP, Windows 7 oder Solaris erhalten keine Sicherheitspatches mehr, sodass sie dauerhaft bekannten Exploits ausgesetzt sind. Legacy-Anwendungen, die in COBOL oder FORTRAN geschrieben wurden, verarbeiten möglicherweise weiterhin kritische Daten, verfügen jedoch nicht über sichere Codierungspraktiken, Eingabevalidierung oder Verschlüsselung. Sie werden zu einfachen Einstiegspunkten für SQL-Injection- oder Pufferüberlauf-Angriffe.

Hardware und Kommunikationsprotokolle stellen eine weitere Schwachstelle dar. Telnet und FTP übertragen Anmeldedaten nach wie vor im Klartext. Industrielle Steuerungen in SCADA-Netzwerken wurden nie mit Blick auf Authentifizierung entwickelt. Selbst Faxgeräte, die nach wie vor in Krankenhäusern und der öffentlichen Verwaltung verwendet werden, können als Angriffsvektor missbraucht werden. Im industriellen und medizinischen Kontext bedeutet die Unmöglichkeit, Geräte zu patchen oder zu aktualisieren, dass Schwachstellen dauerhaft bestehen bleiben. Gleichzeitig wird die Einhaltung von Rahmenwerken wie NIS2 oder DSGVO nahezu unmöglich.

Schliesslich darf auch der Faktor Mensch nicht ausser Acht gelassen werden. Viele dieser Systeme sind schlecht dokumentiert und werden von einem einzigen alternden Experten oder sogar von externen Auftragnehmern gewartet, die über das einzige Betriebswissen verfügen. Dies schafft gefährliche Single Points of Failure. Wenn eine solche Person in den Ruhestand geht oder nicht mehr verfügbar ist, kann die Kontinuität ganzer Prozesse gefährdet sein.

Unser Ansatz

Bei scip AG verfügen wir über mehr als 30 Jahre Erfahrung im Umgang mit modernsten und veralteten Technologien. Wir helfen Unternehmen dabei, diese versteckten Risiken durch einen strukturierten Ansatz zu bewältigen. Unser erster Schritt ist immer eine Bewertung. Wir führen Schwachstellenanalysen und Penetrationstests durch, die auf veraltete Systeme und Protokolle zugeschnitten sind, und messen Compliance-Lücken anhand von Standards wie ISO 27001 (Datenschutz-Grundverordnung), PCI DSS (Payment Card Industry Data Security Standard) oder NIS2 (Richtlinie über die Netz- und Informationssicherheit).

Im Laufe der Jahrzehnte haben wir ein umfangreiches Fachwissen aufgebaut, das verschiedene Ebenen der Computertechnologie umfasst. Wir haben unzählige Stunden mit der Programmierung in Pascal, Modula, Perl und Rexx verbracht, Solaris-Cluster mit gemeinsamen SCSI-Bussen aufgebaut und Fehler behoben als auch Frame-Relay-Netzwerke gewartet, lange nachdem die Branche sich weiterentwickelt hatte. Wir haben uns mit Data Link Switching befasst, um Token Ring mit Ethernet zu verbinden, und Novell IPX konfiguriert, als TCP/IP noch nicht dominant war – oder TCP/IP in AS/400 und OS/2-Systeme integriert. Wir haben NFR_- und _Raptor, Checkpoint,StoneBeat -Firewalls verwaltet, Entrust CA -Infrastrukturen bereitgestellt und mit vielen anderen Produkten und Protokollen gearbeitet, die aus den meisten Umgebungen verschwunden sind, aber in einigen Unternehmen noch heute kritische Prozesse ausführen.

In den folgenden Jahren analysierten wir auch die Sicherheit von Spitzentechnologien (oder solchen, die als solche vermarktet wurden): von virtuellen Maschinen bis zu Containern, von softwaredefinierten Netzwerken bis zu den neuen Programmierparadigmen an der Grenze zwischen Hardware und Software.

All diese Erfahrungen ermöglichen es uns, die Lücke zwischen Legacy- und modernen Systemen zu schliessen. Wir wissen, dass Produktionsumgebungen selten homogen sind und dass Schattensysteme und veraltete Protokolle oft das schwächste Glied in einer ansonsten gut gesicherten Infrastruktur darstellen. Durch die Kombination unseres historischen Wissens mit modernsten Sicherheitsmethoden bieten wir realistische und effektive Bewertungen – von Code-Reviews bis hin zu Compliance-Audits – und stellen so sicher, dass Legacy-Systeme nicht zu einer Belastung werden.

Wenn Patches nicht mehr möglich sind, entwickeln wir Ausgleichsmassnahmen. Dazu gehören virtuelle Patches durch Intrusion-Prevention-Systeme, die strikte Segmentierung von Legacy-Netzwerken oder der Einsatz von Bastion-Hosts mit Multi-Faktor-Authentifizierung zur Zugriffskontrolle. Die Verschlüsselung der Kommunikation, die Entfernung schwacher Protokolle und die zentralisierte Protokollierung tragen dazu bei, eine ansonsten fragile Umgebung zu stärken.

Parallel dazu arbeiten wir mit unseren Kunden an der Kontinuitätsplanung und schrittweisen Modernisierung. Backup- und Disaster-Recovery -Strategien werden an Legacy-Plattformen angepasst. Schnittstellen werden in sicheren API-Gateways gekapselt, um notwendige Funktionen freizugeben, ohne den fragilen Kern zu verändern. Schliesslich helfen wir bei der Konzeption sicherer Migrationspfade – beispielsweise bei der Verlagerung von Workloads von AS/400-Systemen in Cloud-Umgebungen, wobei wir uns auf die Unterschiede und die wesentlichen Sicherheitsmassnahmen konzentrieren, die für einen sicheren Betrieb in der neuen Landschaft erforderlich sind.

Zusammenfassung

Altsysteme werden nicht über Nacht verschwinden. Sie sind versteckt, werden unterschätzt, sind aber unverzichtbar. Jedes Jahr werden sie wichtiger und anfälliger. Unseren Kunden bieten wir:

• Bewertung und Prüfung von Altsystemen, Netzwerken und Compliance-Status.
• Code-Analyse, gezielte Penetrationstests und Reverse Engineering veralteter Plattformen.
• Schutz durch virtuelles Patching, Segmentierung, Zugriffskontrolle und Härtung.
• Kontinuitätsplanung und schrittweise Modernisierung, von der Sicherung bis zur Migration.
• Strategische Beratung: Heute sichern, morgen ersetzen.

Fazit

Legacy-Technologie ist allgegenwärtig. Sie fällt erst dann auf, wenn sie ausfällt, aber dann kann sie ganze Produktionslinien lahmlegen, Lieferungen verzögern und Vertragsstrafen nach sich ziehen. Um diesen Risiken zu begegnen, sind sowohl fundiertes technisches Fachwissen als auch ein Gespür für die betrieblichen Realitäten erforderlich. Mit jahrzehntelanger praktischer Erfahrung ist die scip AG einzigartig positioniert, um Unternehmen dabei zu unterstützen, ihre Legacy-Infrastruktur zu sichern, zu integrieren und schrittweise zu modernisieren – bevor es am nächsten Montagmorgen zu einer Überraschung kommt.

Über den Autor

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Security Frameworks, Routing, Firewalling und Log Management.

Links

• https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
• https://scip.ch/publikationen/flyer/scip_company-flyer_plusTeams_2024_v01-de.pdf
• https://www.iso.org/isoiec-27001-information-security.html
• https://www.pcisecuritystandards.org/
• https://www.renault.de/renault-legenden/r4-erfolgsgeschichte.html
• https://www.scip.ch/?defense_securityreview_rapidsecurityassessment
• https://www.scip.ch/?offense
• https://www.zeiss.ch/messtechnik/systeme/koordinatenmessgeraete/portalmessgeraete/prismo-familie/prismo-ultra.html