New call-to-action

Warum Softwarewartung unverzichtbar ist – auch bei Altsystemen?

06 Februar 2026 | 5 Minute gelesen | Außerbetriebnahme von Legacy-Systemen, Enterprise Legacy System-Applikation (ELSA), SAP-Datenverwaltung

Autor: Thierry Julien, CEO, TJC Group

Ein aktuelles Bußgeld in Höhe von 1,7 Mio. € durch die französische Datenschutzbehörde ist eine deutliche Mahnung: Softwarewartung ist nicht länger optional. Organisationen, die proaktive Sicherheitsmaßnahmen vernachlässigen – insbesondere bei Altsystemen –, müssen mit erheblichen regulatorischen, finanziellen und Reputationsfolgen rechnen. Daher ist es zwingend erforderlich, dass Organisationen sicherstellen, dass ihre Systeme – ob Legacy oder nicht – regelmäßig gewartet werden. Allerdings ist eine der besten Möglichkeiten, die Kosten für die Wartung von Altsystemen zu vermeiden, deren Stilllegung. Lesen Sie weiter, um mehr zu erfahren!

Inhaltsübersicht

Einführung

In der heutigen Regulierungslandschaft hat sich die Softwarewartung von einer rein technischen Angelegenheit zu einer kritischen Compliance-Verpflichtung entwickelt. Organisationen können Sicherheitsupdates nicht länger als optionale Aufgaben behandeln, die man bei Gelegenheit erledigt. Die Folgen vernachlässigter Wartung werden zunehmend gravierender. Regulierungsbehörden in ganz Europa schlagen einen härteren Kurs ein, und jüngste Durchsetzungsmaßnahmen zeigen, dass Ausreden – ob Ressourcenmangel oder hohes Systemalter – Organisationen nicht vor Verantwortung schützen. Dieser Wandel erfordert ein grundlegendes Umdenken darin, wie Unternehmen ihren gesamten Softwarebestand angehen – einschließlich jener Altsysteme, die in modernen Sicherheitspraktiken häufig durchs Raster fallen.

Der Weckruf: Das CNIL-Bußgeld von 1,7 Mio. €

Am 22. Dezember 2025 verhängte die französische Datenschutzbehörde (CNIL) ein erhebliches Bußgeld in Höhe von 1,7 Mio. € gegen ein IT-Unternehmen, weil es keine angemessenen Sicherheitsmaßnahmen implementiert hatte. Die betreffende Anwendung, ein PCRM-System, das von öffentlichen Sozialdiensten genutzt wurde, verarbeitete sensible personenbezogene Daten ohne ausreichenden Schutz. Doch wie kam es zu dieser hohen Geldstrafe?

Die Ursachen dafür, dass die CNIL gegen das Unternehmen ein Bußgeld verhängte, waren anhaltende Sicherheitslücken, bekannte Defizite gegenüber dem Stand der Technik sowie erhebliche Verzögerungen bei der Umsetzung von Korrekturmaßnahmen. Besonders kritisch: Audits hatten diese Probleme bereits lange vor etwaigen Datenabflüssen identifiziert. Zudem ist hier schockierend, dass die Organisation von den Problemen wusste, aber nicht entschlossen handelte.

Damit wird eine klare Botschaft an alle Organisationen gesendet: Bewusstsein ohne Handeln ist keine Verteidigung. Regulierungsbehörden prüfen nicht nur, ob Sie Schwachstellen erkannt haben, sondern wie schnell und wirksam Sie sie behoben haben.

Alles, was Sie über die NIS2-Richtlinie in der EU wissen müssen

Warum Softwarewartung eine Compliance-Pflicht ist?

Sicherheitswartung muss proaktiv sein, nicht reaktiv

Erst auf Vorfälle oder Beschwerden zu warten, bevor man handelt, ist niemals eine sinnvolle Lösung. Gemäß Artikel 32 des EU-Datenschutzrechts, der DSGVO, sind Organisationen verpflichtet, geeignete technische und organisatorische Maßnahmen umzusetzen, die den aktuellen Bedrohungen und dem Stand der Technik entsprechen. Diese Verpflichtung ist nicht verhandelbar und ein fortlaufender Prozess – keine einmalige Checkbox-Übung. Da sich Bedrohungen weiterentwickeln und neue Schwachstellen entstehen, müssen sich Ihre Sicherheitsmaßnahmen entsprechend anpassen. Reaktive Ansätze lassen gefährliche Zeitfenster der Verwundbarkeit entstehen, die leicht ausgenutzt werden können.

Regelmäßiges Patchen und Updates sind zentrale Compliance-Aufgaben

Ein besonders wichtiger Punkt ist, dass Softwarewartung weit über die Systemstabilität hinausgeht. Sie ist im Kern eine Compliance-Aktivität, die unerlässlich ist, um personenbezogene Daten zu schützen und das Risiko durch bekannte Exploits zu begrenzen. Tatsächlich werden Verzögerungen bei der Bereitstellung immer schwerer zu rechtfertigen, sobald Patches für bekannte Schwachstellen verfügbar sind. Jeder Tag, an dem eine bekannte Schwachstelle unbehandelt bleibt, erhöht das Risiko in Ihrer IT-Landschaft – ein Punkt, den Regulierungsbehörden im Falle eines Vorfalls genau prüfen werden.

Allein Audits sind nicht ausreichend

Viele Organisationen investieren erheblich in Sicherheitsaudits, in der Annahme, damit ihre Sorgfaltspflicht nachzuweisen. Auch wenn Investitionen in Sicherheitsmaßnahmen wichtig sind, ist festzuhalten: Das Identifizieren von Schwachstellen durch solche Maßnahmen ist lediglich der erste Schritt. Regulatorische Prüfungen konzentrieren sich darauf, was nach Vorlage der Audit-Ergebnisse passiert – etwa: Wie schnell wurden Korrekturen ausgerollt? Wurden Ressourcen angemessen bereitgestellt? Und so weiter. Diese Fragen entscheiden darüber, ob eine Organisation als compliant oder fahrlässig eingestuft wird.

Altsysteme: Ein schwaches Glied, das von Regulierungsbehörden ins Visier genommen wird

Veraltete Systeme bergen erhöhte Risiken

Altsysteme verfügen häufig nicht über Herstellersupport, moderne Sicherheitskontrollen und Integrationsmöglichkeiten mit aktuellen Security-Tools. In Berichten zu Sicherheitsvorfällen und in regulatorischen Feststellungen werden sie regelmäßig als Hochrisiko-Umgebungen hervorgehoben. Diese Systeme wurden oft in einer Zeit entwickelt, in der Cybersicherheitsbedrohungen weniger ausgefeilt waren. Ihre Architektur unterstützt möglicherweise keine modernen Verschlüsselungsstandards, Zugriffskontrollen oder Monitoring-Funktionen, was sie zu leichten Zielen für Angreifer und zu besorgniserregenden Prioritäten für Regulierungsbehörden macht.

Regulierungsbehörden erwarten Risikominderung, keine Ausreden

Ob Software neu oder alt ist, individuell entwickelt oder von der Stange: Die Verpflichtung, angemessene Sicherheit zu gewährleisten, bleibt konstant. CNIL-Leitlinien zur Wartung und Kontrolle von Eingriffen Dritter unterstreichen diese Verantwortung über den gesamten Lebenszyklus. Tatsächlich mindert das Alter eines Systems nicht die Sorgfaltspflicht einer Organisation. Im Gegenteil: Ältere Systeme benötigen gerade deshalb mehr Aufmerksamkeit, weil ihnen integrierte Schutzmechanismen fehlen, die moderne Plattformen bieten. Regulierungsbehörden verstehen diese Herausforderungen, erwarten jedoch, dass Organisationen kompensierende Kontrollen implementieren oder schwierige Entscheidungen zur Außerbetriebnahme treffen.

Stilllegung von SAP-Altsystemen: Ein Einblick in die Vorteile, Tools & mehr!
https://www.tjc-group.com/de/blogs/stilllegung-von-sap-altsystemen-ein-einblick-in-die-vorteile-tools-mehr/

Risikoprofile wirken kumulativ

Legacy-Plattformen beherbergen typischerweise sensible historische Daten und sind in übergreifende Geschäftsprozesse eingebunden. Eine Kompromittierung kann auf weitere Systeme übergreifen und kaskadenartige Effekte in der Organisation auslösen. Dieses vernetzte Risiko bedeutet, dass ein Vorfall in einem scheinbar isolierten Altsystem aktuelle Abläufe, Kundendaten und die Geschäftskontinuität gefährden kann. Die Stilllegung von Altsystemen sollte daher nicht als optionales Modernisierungsprojekt verstanden werden, sondern als zwingende Cybersicherheitsmaßnahme.

Konkrete Schritte für Organisationen

Erstellen Sie eine Wartungsrichtlinie, die Legacy-Anwendungen ausdrücklich einschließt

Es ist äußerst wichtig, sicherzustellen, dass Ihre Wartungsrichtlinie kein System zurücklässt. Die Richtlinie muss klare Auslöser für Erneuerungszyklen, Patch-Rollouts und strategische Entscheidungen zur Stilllegung von Altsystemen definieren. Stellen Sie sicher, dass diese Richtlinien mit der CNIL (DSGVO-Behörde in Frankreich), der DSGVO sowie mit anderen lokalen Behörden bzw. Anforderungen in Bezug auf die Datenschutzgesetze der jeweiligen Region für dokumentierte Maßnahmen abgestimmt sind, damit Sie bei Audits Compliance nachweisen können.

Führen Sie regelmäßig risikobasierte Überprüfungen durch

Priorisieren Sie Systeme, die sensible Daten verarbeiten, für häufigere Sicherheitsupdates und Reviews. Tatsächlich müssen auch obsolete Systeme in Programme zum Schwachstellenmanagement einbezogen werden und dürfen nicht aufgrund ihres Alters oder ihrer vermeintlichen Isolation ausgenommen werden.

Erfassen Sie Wartungsmaßnahmen als Nachweis der Compliance

Aufzeichnungen über Eingriffe, Korrekturen und Entscheidungen werden zu zentralen Artefakten in Audits und in der internen Governance. Pflegen Sie eine umfassende Dokumentation, die das Engagement Ihrer Organisation für fortlaufende Sicherheitswartung belegt.

Ziehen Sie eine Stilllegung in Betracht, wo es sinnvoll ist

Bei Altsystemen, die nicht angemessen abgesichert werden können, kann die Stilllegung der sicherste Weg nach vorn sein. Moderne Decommissioning-Plattformen ermöglichen es Organisationen, veraltete Systeme außer Betrieb zu nehmen und gleichzeitig für Compliance-Zwecke den Zugriff auf historische Daten zu erhalten. Dieser Ansatz beseitigt die Sicherheitsrisiken der Wartung verwundbarer Systeme, ohne die Datenverfügbarkeit zu beeinträchtigen.

Fazit

Das CNIL-Bußgeld von 1,7 Mio. € markiert einen bedeutenden Moment für die Verpflichtungen zur Softwarewartung. Regulierungsbehörden haben ihre Compliance-Prüfpunkte deutlich verschärft und erwarten, dass Organisationen Sicherheitspraktiken über die gesamte Software- und IT-Landschaft hinweg umsetzen.

Altsysteme, die bei Modernisierungsinitiativen oft übersehen werden, sind genau dort, wo die regulatorische Aufmerksamkeit liegen wird. Wer eine robuste Wartung in der Breite nicht durchsetzt, riskiert spürbare Sanktionen und nachhaltigen Reputationsschaden.

Für Organisationen, die mit Altsystemen zu kämpfen haben, die fortlaufende Sicherheitsrisiken bergen, bietet die Stilllegung eine strategische Lösung. Die Enterprise Legacy System Application (ELSA) der TJC Group bietet einen sicheren, compliant Weg nach vorn. Diese SAP-zertifizierte Lösung ermöglicht es Organisationen, 100 % ihrer Altsysteme stillzulegen – von einem einzelnen ERP bis hin zu Hunderten von Anwendungen – und dabei jederzeit einen einfachen Zugriff auf historische Daten zu behalten.

Über das ELSA-Gateway können Unternehmen schnell auf alle Legacy-Daten, Berichte und Dokumente zugreifen, die für die regulatorische Compliance erforderlich sind – ohne das Risiko und die Kosten, die mit der Wartung veralteter Systeme verbunden sind. ELSA führt außerdem Traceability-Logs, um eine fortlaufende Compliance mit steuerlichen Anforderungen und Datenschutzgesetzen wie der DSGVO sicherzustellen.

Kontaktieren Sie uns noch heute, um herauszufinden, wie ELSA Ihnen helfen kann, Compliance-Risiken zu reduzieren und Ihre Sicherheitslage zu stärken.

Zurück zu allen Blogs
Außerbetriebnahme von Legacy-Systemen Cybersecurity DART Datenmanagement S/4HANA-Migration Datenschutz Einhaltung der DSGVO Einhaltung von Vorschriften im Geschäftsverkehr mit Behörden Enterprise Legacy System-Applikation (ELSA) Fichier des Écritures Comptables (FEC) Globale elektronische Rechnungsstellung und elektronisches Berichtswesen IT-Trends Karriere Nachhaltigkeit SAF-T-Konformität SAP BTP SAP Information Lifecycle Management SAP-Datenarchivierung SAP-Datenverwaltung SAP-Highlights Steuer- und Prüfungsbereitschaft Unternehmen der TJC-Gruppe Vorfall
February 2026January 2026December 2025November 2025October 2025September 2025August 2025July 2025June 2025May 2025April 2025March 2025February 2025January 2025December 2024November 2024October 2024August 2024July 2024June 2024May 2024April 2024March 2024February 2024January 2024December 2023November 2023October 2023September 2023August 2023July 2023June 2023May 2023April 2023March 2023February 2023January 2023December 2022November 2022October 2022September 2022August 2022June 2022April 2022March 2022February 2022December 2021November 2021October 2021September 2021July 2021June 2021May 2021April 2021March 2021February 2021January 2021December 2020November 2020October 2020September 2020August 2020June 2020May 2020April 2020March 2020February 2020January 2020December 2019October 2019September 2019July 2019November 2018August 2018July 2018June 2018April 2018February 2018May 2017February 2016December 2015May 2015February 2014March 2013

Aktuelle Artikel

Jenseits von SAP: Erweiterung der ELSA-Funktionen zur Stilllegung beliebiger Altsysteme
Jenseits von SAP: Erweiterung der ELSA-Funktionen zur Stilllegung beliebiger Altsysteme

09 Februar 2026 |  

6 Minute gelesen
SAP-STILLEGUNG RICHTIG GEMACHT DAUERHAFTER ZUGRIFF AUF LEGACY- UND ARCHIVIERTE DATEN
SAP-Stilllegung richtig gemacht: Dauerhafter Zugriff auf Legacy- und archivierte Daten

30 Januar 2026 |  

3 Minute gelesen

Mehr wie das

Jenseits von SAP: Erweiterung der ELSA-Funktionen zur Stilllegung beliebiger Altsysteme

Jenseits von SAP: Erweiterung der ELSA-Funktionen zur Stilllegung beliebiger Altsysteme

09 Februar 2026 |  

6 Minute gelesen
SAP-STILLEGUNG RICHTIG GEMACHT DAUERHAFTER ZUGRIFF AUF LEGACY- UND ARCHIVIERTE DATEN

SAP-Stilllegung richtig gemacht: Dauerhafter Zugriff auf Legacy- und archivierte Daten

30 Januar 2026 |  

3 Minute gelesen
Decommissioning legacy systems for enhanced cybersecurity

Außerbetriebnahme von Altsystemen für mehr Cybersicherheit | TJC Group

10 Oktober 2025 |  

6 Minute gelesen