Software-Schwachstellen sind eines der wichtigsten Einfallstore für Hacker, weshalb Unternehmen SW-Aktualisierungen höchste Priorität einräumen sollten. Doch oft fällt es ihnen ob der Fülle an Anwendungen schwer einzuschätzen, wo tatsächlich Handlungsbedarf besteht. Und manchmal stolpern sie in eine der häufigsten Fallen: Wenn Software keine akuten Probleme verursacht, sind sie schnell versucht, diese erstmal gar nicht anzufassen.
Avision zeigt auf, wie Unternehmen ihre Anwendungen nach dem Ampelprinzip einstufen und Legacy-Software aufspüren, die den Geschäftsbetrieb gefährdet:
Alles im grünen Bereich
Auf Grün steht die Software-Ampel für alle Anwendungen, die Unternehmen regelmäßig aktualisiert haben und für deren Pflege das Know-how intern vorhanden ist. Das bedeutet nicht, dass sie diese Anwendungen fortan ignorieren können – ihr Ziel sollte sein, den grünen Status beizubehalten, um nicht in Handlungsnot zu geraten.
Unternehmen benötigen dafür Mitarbeiter, die die Verantwortung für den Code übernehmen und sich um seine kontinuierliche Verbesserung kümmern. Er muss sowohl aktuelle Sicherheitsanforderungen berücksichtigen als auch möglichst wenige technische Schulden aufweisen. Solche technischen Schulden sind beispielsweise unzureichende Code-Dokumentationen oder nicht eingehaltene Coding-Standards.
Darüber hinaus ist es ratsam, neben dem Quellcode auch die Build-Umgebungen zu archivieren, um ältere Anwendungen bei Bedarf unkompliziert anpassen zu können. Vernachlässigen Unternehmen die Pflege einer Anwendung zu lange, springt die Ampel auf Gelb.
Die gelbe Warnleuchte geht an
Haben Unternehmen eine Software mehr als zwei Jahre nicht aktualisiert, ist das ein eindeutiges Warnsignal. Nach diesem Zeitraum laufen oft Support-Zyklen für externe Software-Komponenten aus und das Sicherheitsrisiko steigt. Zudem entspricht alte Software häufig nicht mehr den Anforderungen, sodass Mitarbeiter Workarounds nutzen, um ihre Aufgaben zu erledigen.
Manche Funktionen setzen sie auch gar nicht mehr ein – deren Code könnten Unternehmen eigentlich ausbauen, um Sicherheitsrisiken zu minimieren und die Pflege der Anwendungen zu vereinfachen. Ein weiteres Warnsignal ist, wenn sich die Code-Qualität verschlechtert. Dies erschwert Entwicklern die Einarbeitung und treibt die Kosten bei jedem neuen Release nach oben.
Kennen sich nur noch zwei oder weniger Mitarbeiter mit der Anwendung aus, ist das gleich doppelt riskant: Zum einen sind die Ressourcen für die regelmäßige Wartung sehr knapp bemessen, zum anderen kann die Anwendung nur noch mit sehr hohem Aufwand gewartet werden, sollten diese Mitarbeiter das Unternehmen verlassen.
Ein Grund zur Panik ist das aber noch nicht. Unternehmen sollten allerdings nach den Ursachen der Probleme forschen und gezielt Veränderungen anstoßen: etwa weitere Mitarbeiter in die Software einarbeiten, veraltete Funktionen und Programmbestandteile entfernen oder aktualisieren, Sicherheitsfeatures integrieren oder ein Refactoring einleiten.
Tun sie das nicht, springt die Software-Ampel früher oder später auf Rot – für ein sorgfältig geplantes Vorgehen ist es dann zu spät: Brandbekämpfung ist angesagt.
Alarmstufe Rot
Nicht immer springt die Software-Ampel auf Rot, weil Unternehmen die Gelbphase verschlafen. Manchmal sind es einzelne Ereignisse, die ein schnelles Handeln erfordern, zum Beispiel neu entdeckte Sicherheitslücken oder kurzfristig veränderte Anforderungen wie die Mehrwertsteuersenkung des vergangenen Jahres.
Häufiger kommt es allerdings vor, dass der Support für Anwendungen oder einzelne Software-Komponenten ausgelaufen ist und es für diese keine Updates und Security-Patches mehr gibt. Bisweilen verhindern aber auch unternehmensspezifische Anpassungen an Anwendungen das Einspielen verfügbarer Aktualisierungen.
Oft bemerken Unternehmen solche Probleme, die ihren Geschäftsbetrieb und ihre Reputation gefährden, erst, wenn Anwendungen nicht mehr funktionieren, Sicherheits- und Datenschutzverletzungen auftreten oder Externe sie auf eine Schwachstelle hinweisen. Dann heißt es, schnell handeln und alle verfügbaren Ressourcen auf das Problem ansetzen – Kostenerwägungen dürfen in dieser Situation nicht im Vordergrund stehen.
Unternehmen müssen das Problem analysieren und klären, ob sie es intern oder mit Unterstützung durch Dienstleister beseitigen können. Die Lösung sollte dabei möglichst langfristig ausgelegt sein, denn nicht ausreichend durchdachte Anpassungen erhöhen die technischen Schulden und schaffen später neue Probleme.
Schließlich steht die Software-Ampel auch bei Anwendungen auf Rot, deren Pflege hohe Kosten verursacht und bei denen die Ressourcen nicht in die fachliche Weiterentwicklung fließen, sondern nur noch dazu dienen, die Anwendung einsatzbereit zu halten.
Haben Unternehmen die akute Situation bereinigt und die Anwendung hat wieder einen gelben Status, sollten sie direkt mit der Planung für eine Verbesserung zu Grün beginnen. Schließlich ist der Aufstieg von Gelb zu Grün stressfreier und kostengünstiger als die aufwändigen Arbeiten unter Zeitdruck, die ein roter Status erfordert.
„Die Pflege und regelmäßige Aktualisierung von Software verursacht zwar Kosten, doch diese sind deutlich niedriger als die Kosten, die entstehen, wenn Software das Ende ihres Lebenszyklus erreicht hat. Dann drohen Betriebsunterbrechungen und Sicherheitsverletzungen, sodass Unternehmen sehr kurzfristig reagieren müssen“, betont Nadine Riederer, CEO bei Avision.
„Die kontinuierliche Bewertung, in welcher Lebensphase sich Anwendungen befinden, und die Einstufung nach einem Ampelprinzip erleichtern es Unternehmen, konkreten Handlungsbedarf zu erkennen und ihre Ressourcen zielgerichtet einzusetzen.“