New call-to-action

Datenschutz und Cybersecurity: Warum ist die Stilllegung die sicherste Lösung für Legacy Anwendungen?

15-05-2023 | 4 | Außerbetriebnahme von Legacy-Systemen, Cybersecurity

Autor: Thierry Julien, CEO der TJC-Gruppe

Die Stilllegung von Altsystemen ist einer der entscheidenden Faktoren, die Unternehmen berücksichtigen müssen. Dies hilft nicht nur bei der Einhaltung künftiger Vorschriften, sondern auch bei Cyberangriffen und Datenschutzverletzungen. Hier ein Überblick darüber, warum die Stilllegung von Legacy Anwendungen heute die sicherste Lösung ist!

Millionen personenbezogener Daten aufgrund einer Datenpanne offengelegt!

Vor ein paar Monaten stieß ich auf eine auffällige Schlagzeile im 01net-Magazin, die lautete : „Die DNA von 2,1 Millionen Menschen wurde aufgrund einer unvorstellbaren Nachlässigkeit gehackt“.

Die Geschichte beginnt ganz klassisch: Ein Unternehmen wird erpresst und zur Zahlung eines Lösegelds aufgefordert. Eine Software namens Cobalt Strike konnte in das Netzwerk des DNA Diagnostics Centre (DDC) eindringen, einer amerikanischen Gesundheitsorganisation, die auf DNA- und Vaterschaftstests spezialisiert ist.

Die Software drang in die Datenbanken der Organisation ein und griff auf Millionen personenbezogener Daten zu. Als dieses Eindringen entdeckt wurde, wurden die Warnungen unverständlicherweise ignoriert. Aus einem unbekannten Grund hat das DNA-Diagnosezentrum nicht sofort auf die Warnung seines Sicherheitsdienstleisters reagiert.

Noch interessanter ist jedoch, dass sich herausstellte, dass es sich bei der Software um dieselbe handelt, die Cybersecurity-Experten zur Prüfung der Systemresistenz verwenden.

Alles in allem waren die Folgen des Einbruchs schwerwiegend, denn sie schadeten dem Ruf des Unternehmens und führten zu empfindlichen Geldstrafen. Ganz zu schweigen von den schwerwiegenden Folgen für die Opfer, wie z. B. die Offenlegung von Gesundheits- und personenbezogenen Daten.

Obwohl dies in unseren Zeitungen nur allzu häufig vorkommt, ist es in diesem Fall etwas Besonderes, dass es sich um die Beteiligung von Servern und Datenbanken handelt und nicht um eine einzelne Anwendung. Wie die US-Bundesbehörden berichten: „Fünf Server wurden kompromittiert und enthielten Backups von 28 Datenbanken, und ein stillgelegter Server wurde zum Exfiltrieren von Daten verwendet“.

Ein Altsystem, das Epizentrum

Bei diesen Servern handelte es sich wahrscheinlich um virtuelle Maschinen, die besonders anfällig sind, wenn sie unbeaufsichtigt bleiben. Was diesen Artikel jedoch so interessant macht, ist der Grund für diese Nachlässigkeit: Bei den gestohlenen Daten handelte es sich um Altdaten, die bei der Übernahme eines kleineren Unternehmens durch DDC im Jahr 2012 weitergegeben wurden. Das auf DNA-Tests spezialisierte Unternehmen gab zu, nicht die leiseste Ahnung davon gehabt zu haben, dass solche Daten auf seinen Servern gespeichert waren.

Wie in dem Artikel berichtet: „EinSpezialist des DNA-Diagnostikzentrums versichert, dass eine frühere Bestandsaufnahme seiner Archive das Vorhandensein der Daten nicht ergeben hat„.

Die Tatsache, dass ein Server auf „Stand-by“ geschaltet war, erwies sich als grobe Fahrlässigkeit. Es ist eine solche Nachlässigkeit bei der Verwaltung von Altsystemen, die DDC in ernste Schwierigkeiten gebracht hat. Altsysteme werden nicht mehr aktualisiert und erhalten keine Unterstützung oder Wartung. Daher sind sie auch übermäßig anfällig für Sicherheitslücken, weshalb man die alten Server außer Betrieb nehmen muss, um diese Daten zu schützen.

Nun ist es viel zu einfach, sich auf „Unachtsamkeit“ zu berufen. Die eigentliche Frage ist: Wie oft haben wir im Laufe der Jahre Daten und Server „gesichert“? Die Verlagerung in die Cloud und die Datenschutzbestimmungen haben dazu geführt, dass solche alten Praktiken, die früher sicher waren, zu einem erheblichen Risiko werden, das nicht mehr akzeptabel ist. Daher ist die Anwendung eines Legacy-Systems heute die Norm!

Die Kehrseite der virtuellen Maschinen

Virtuelle Maschinen (VM) werden als praktikable und schnelle Lösung zur Speicherung von Altsystemen angesehen. VMs bergen jedoch drei ernsthafte Fallstricke , wenn sie als Stilllegungslösung eingesetzt werden:

  • VMs bieten nicht die Möglichkeit, Datenschutzverpflichtungen zu verwalten, was das Unternehmen Risiken bei der Einhaltung von Vorschriften aussetzt.
  • Sie ermöglichen es Organisationen, Informationen zu speichern und zu vergessen. An dem Tag, an dem die Mitarbeiter das Projekt oder das Unternehmen verlassen oder in den Ruhestand gehen, wird es schwierig sein, die potenziell schädlichen Informationen zu identifizieren.
  • VMs sind anfälliger für benutzerdefinierte Ransomware, die diese Technologien lahmlegen soll.

Deshalb wäre es in der in diesem Artikel beschriebenen Situation für das DNA-Diagnostikzentrum am sichersten gewesen, das erworbene Altsystem ohne zu zögern außer Betrieb zu nehmen.

Weitere Informationen über virtuelle Maschinen finden Sie hier: Virtuelle Maschinen zur Wartung von Altsystemen: eine gute oder schlechte Idee?

Systemstilllegung, eine sichere Sache

Die Stilllegung von Altsystemen ermöglicht es den Unternehmen, den Zugang zu den alten Daten beizubehalten (in den meisten Fällen für geschäftliche Erfordernisse oder Audits) und gleichzeitig die erforderlichen Datenschutzkontrollen durchzuführen, wenn dies erforderlich ist. Wenn das von DDC erworbene Altsystem relevant oder datenschutzrelevant war, hätte es mit einer Altsystemanwendung wie ELSA von der TJC Group verwaltet werden müssen. Enterprise Legacy System Application ist eine SAP BTP-zertifizierte Lösung, die sicherstellt, dass nach der Ausmusterung eines Altsystems jederzeit und aus jeder Quelle wieder auf alle Altdaten zugegriffen werden kann.

ELSA_by_TJC_-_Legacy_systems_directory_-_workspace
ELSA von TJC, Verzeichnis des Altsystems. Quelle: TJC-Gruppe.

Abschließende Schlussfolgerungen

Es gibt mehrere Gründe, warum ein Unternehmen ein Altsystem außer Betrieb nehmen möchte – einer davon ist der Schutz des Unternehmens vor Cyberangriffen oder vor künftigen Compliance-Anforderungen, beides Faktoren, auf die wir keinen Einfluss haben.

ELSA_Gründe_für_die_Initiierung_eines_Stilllegungsprojekts
Gründe für die Durchführung eines Stilllegungsprojekts. Quelle: TJC-Gruppe.

Wenn Altsysteme nicht außer Betrieb genommen werden, besteht ein hohes Risiko, dass sie in Zukunft „Bomben“ enthalten. Andererseits basieren Altsysteme auf alten Technologien, die früher oder später veraltet sein werden. Die Suche nach IT-Fachleuten, die über dieses Nischentalent verfügen, kann sich als schwierig und kostspielig erweisen, während die neuen Mitarbeiter nicht über das Wissen verfügen, um zukünftige Probleme zu bewältigen.

Abschließend sei darauf hingewiesen, dass alle IT-Systeme, die sensible Informationen enthalten, außer Betrieb genommen werden sollten – und nicht nur „auslaufen“. Wenn Sie weitere Informationen oder Unterstützung bei der Stilllegung eines Altsystems benötigen, setzen Sie sich mit uns in Verbindung.

Quellen für Informationen

  • L’ADN de 2,1 millions de personnes a été piraté à cause d’une incroyable negligence, 01net magazine.
  • Die Sicherheit virtueller Maschinen neu überdenken, CSO Online
  • Sind virtuelle Maschinen das neue Gold für Cyber-Kriminelle, Mcafee.
Zurück zu allen Blogs
Außerbetriebnahme von Legacy-Systemen Business to Government Compliance Cybersecurity DART Datenmanagement S/4HANA-Migration DSGVO-Konformität Enterprise-Legacy-System-Anwendung (ELSA) Fichier des Écritures Comptables (FEC) IT-Trends Karriere Nachhaltigkeit SAF-T-Konformität SAP BTP SAP Information Lifecycle Management SAP-Datenarchivierung SAP-Datenverwaltung SAP-Highlights Steuer- und Prüfungsbereitschaft Unternehmen der TJC-Gruppe Vorfall
April 2024March 2024February 2024January 2024December 2023November 2023October 2023September 2023August 2023July 2023June 2023May 2023April 2023March 2023February 2023January 2023December 2022November 2022October 2022September 2022August 2022June 2022April 2022March 2022February 2022December 2021November 2021October 2021September 2021July 2021June 2021May 2021April 2021March 2021February 2021January 2021December 2020November 2020October 2020September 2020August 2020June 2020May 2020April 2020March 2020February 2020January 2020December 2019October 2019September 2019July 2019November 2018August 2018July 2018June 2018April 2018February 2018December 2017May 2017February 2016December 2015May 2015February 2014March 2013

Aktuelle Artikel

data privacy
Data privacy: Your absolute guide to its importance, regulations, and more

17/04/2024 |  

9

Shwetha Siddappa - SAP Technical Lead, TJC Group
Team spotlight | Shwetha Siddappa – SAP Technical Consultant

04/04/2024 |  

4

Mehr wie das

Header for data archiving and cybersecurity

Data archiving and cybersecurity: Working hand-in-hand for vulnerabilities

29/03/2024 |  

6

Rise with SAP

What are the benefits of RISE with SAP?

05/03/2024 |  

4

navigating legacy systems decommissioning

A comprehensive guide to navigating legacy system decommissioning

01/03/2024 |  

6