Legacy-Software ist für viele Unternehmen unverzichtbar. Sie erfüllt eine kritische Funktion und lässt sich nicht einfach ohne Weiteres durch eine neue Lösung ersetzen. Zu ihren Alterserscheinungen zählt aber meist auch mangelnde Sicherheit. Der auf Software Revival spezialisierte IT-Dienstleister Avision zeigt auf, mit welchen Maßnahmen Unternehmen ihre Altanwendungen sicherheitstechnisch auf Vordermann bringen können.
1. Basissoftware aktualisieren
Oft kommen bei Legacy-Anwendungen noch Versionen von Java, Datenbanken oder Betriebssystemen zum Einsatz, die so veraltet sind, dass ihre Anbieter sie nicht mehr mit Support unterstützen. Da ihre Sicherheitslücken nicht mehr durch Patches geschlossen werden, machen sie die Anwendungen insgesamt unsicher. Die Basissoftware sollte deshalb auf aktuellere, unterstütze Versionen gebracht werden.
2. Passwortrichtlinien implementieren
Unsichere Passwörter sind das Sicherheitsrisiko Nummer eins. Unternehmen müssen gewährleisten, dass die Mitarbeiter nur Passwörter verwenden, die ausreichend lang und komplex sind. Einfache oder zu allgemeine Passwörter sind anfällig für Brute-Force-Attacken oder lassen sich – noch schlimmer – vielleicht sogar erraten.
3. Rollenkonzepte festlegen
Vor allem bei personenbezogenen Daten ist ein eingeschränkter Zugriff wichtig, denn hier müssen Unternehmen den Vorgaben der DSGVO gerecht werden. Nutzer sollten gemäß dem Need-to-Know-Prinzip nur Zugang zu Informationen erhalten, die sie für die Ausführung ihrer Tätigkeiten unbedingt benötigen. Das lässt sich durch die Implementierung entsprechender Rollenkonzepte realisieren.
4. Übertragungswege verschlüsseln
Häufig kommen in Legacy-Anwendungen noch veraltete, unverschlüsselte Protokolle zum Einsatz. So nutzen sie etwa HTTP für die Übertragung von Webseiteninhalten, FTP für die Übertragung von Dateien oder Telnet für Fernzugriffe auf Rechner. Sie können durch die modernen, verschlüsselten Protokolle HTTPS, SFTP beziehungsweise SSH ersetzt werden.
5. Typische Sicherheitslücken schließen
Zusätzlich sollten Unternehmen auch generelle Sicherheitsprobleme von Software beseitigen, die nicht nur Legacy-Anwendungen aufweisen. Dazu zählen etwa Sicherheitslücken in Webseiten, die Cross-Site-Scripting ermöglichen, oder offene Ports in Anwendungen, die sich für Angriffe nutzen lassen. Mit Hilfe spezieller Sicherheitsscans lassen sich solche Einfallstore finden und schließen.
6. Zugriffsmöglichkeiten einschränken
Kann eine kritische Legacy-Anwendung nicht mehr ausreichend abgesichert werden, sollten Unternehmen die externen Zugriffsmöglichkeiten darauf einschränken. Das können sie etwa durch die Einrichtung einer so genannten Demilitarisierten Zone erreichen. Eine solche Pufferzone trennt internes und externes Netzwerk durch Firewalls und strenge Kommunikationsregeln voneinander ab.
7. Peripherie nicht vergessen
Selbst wenn eine Legacy-Anwendung rundum gesichert ist, nutzt das wenig, wenn sie auf unsicheren Endgeräten genutzt wird. Das gilt beispielsweise für Notebooks oder Tablets mit dem Betriebssystem Windows XP, dessen Support ausgelaufen ist. Es darf keine Peripherie zum Einsatz kommen, die Einfallstore für Hacker bietet.
„Nicht jede Altanwendung benötigt dasselbe Sicherheitsniveau“, sagt Nadine Riederer, CEO bei Avision. „Deshalb sollten Unternehmen die sicherheitstechnische Modernisierung von Legacy-Software gezielt angehen. Sie sollen eruieren, was genau die Anwendung macht, welche Risiken damit einhergehen und welcher konkrete Schutzbedarf sich dann daraus ergibt.“