Es gibt eine bestimmte Art von System, die in fast jeder Organisation existiert, mit der wir je gearbeitet haben.
Niemand weiß genau, was das System tut. Niemand weiß genau, wer es nutzt. Es läuft seit Jahren – vielleicht seit mehr als einem Jahrzehnt – und irgendwann hat die Person, die es aufgesetzt hat, das Unternehmen verlassen. Die Dokumentation, wenn es sie je gab, ist weg. Das System läuft vor sich hin, verbraucht still Ressourcen, und alle sind sich stillschweigend einig: Am sichersten ist es, es in Ruhe zu lassen.
Aber hier lauert ein Problem mit zumindest drei Dimensionen.
Wenn das System irgendwann ausfällt, wissen Sie nicht, was zu tun ist.
Sie wissen nicht, was das System tut – also wissen Sie nicht, was betroffen ist. Sie wissen nicht, wer davon abhängt – also können Sie niemanden informieren. Sie wissen nicht, wie es konfiguriert war – also können Sie es nicht wiederherstellen. Was ein Routinevorfall sein sollte, wird zur Krise ohne klaren Verantwortlichen und ohne klaren Lösungsweg.
Je länger ein System unbeobachtet läuft, desto schlimmer wird es. Jedes Jahr ohne Dokumentation ist ein weiteres Jahr institutionellen Wissens, das nirgendwo mehr existiert – außer im System selbst. Und Systeme beantworten keine Fragen.
Wenn es nichts Nützliches tut, verschwenden Sie Ressourcen.
Rechenkapazität kostet Geld. Lizenzen kosten Geld. Wartungsfenster kosten Geld. Jedes System in Ihrer Umgebung muss gepatcht, überwacht, gesichert und am Leben erhalten werden. Wenn niemand sagen kann, welchen Wert ein System liefert, ist die Wahrscheinlichkeit gering, dass es irgendeinen Wert liefert.
Noch wichtiger: Auch Komplexität kostet Geld. Jedes System, um das Ihre Entwickler herumarbeiten müssen, jede Abhängigkeit, die berücksichtigt werden muss, jede Integration, die erhalten werden muss – nur für den Fall – erzeugt Reibung in allem anderen.
Wenn es alte Software ist, wie ist es um die Sicherheit bestellt?
Ungepatchte Systeme sind nicht nur ein Risiko auf dem Papier. Sie sind eine offene Einladung. Alte Software enthält häufig bekannte Schwachstellen, die seit Jahren öffentlich dokumentiert sind. Angreifer müssen nicht raffiniert sein, um sie auszunutzen – sie müssen sie nur finden. Automatisierte Scanning-Tools tun das kontinuierlich.
Ein System, das Sie nicht anzufassen wagen, ist mit hoher Wahrscheinlichkeit auch ein System, das Sie nicht zu patchen wagen. Und ein System, das nicht gepatcht wurde, wartet darauf, ausgenutzt zu werden.
Das einfachste, was Sie tun können: Abschalten.
Nicht löschen. Nicht sofort außer Betrieb nehmen. Einfach abschalten.
Bevor Sie das tun, stellen Sie sicher, dass Sie das System schnell wieder einschalten können, wenn etwas schiefgeht. Notieren Sie den Zeitpunkt. Dann legen Sie den Schalter um.
Was als Nächstes passiert, wird Ihnen mehr verraten als jedes Audit.
In den meisten Fällen: Nichts. Niemand ruft an. Kein Alert schlägt an. Kein Prozess schlägt fehl. Das System lief – aber es tat nichts. Sie haben gerade Ressourcen freigesetzt, Ihre Angriffsfläche reduziert und Ihre Umgebung vereinfacht – alles auf einmal.
In manchen Fällen: etwas passiert. Ein Prozess schlägt fehl, ein Nutzer meldet sich, ein abhängiger Monitoring-Alert feuert. Jetzt wissen Sie, dass das System wichtig ist, und für wen. Sie schalten es wieder ein, dokumentieren den Fund und planen eine saubere Migration oder Ablösung.
Die unbequeme Wahrheit ist: Der beste Weg herauszufinden, ob ein System tatsächlich genutzt wird, ist, es zu stoppen. Jede andere Methode – Befragungen, Dependency-Mapping, Log-Analyse – ist nützlich, aber unvollständig. Logs erfassen nur, was in letzter Zeit passiert ist. Befragungen erfassen nur, woran Menschen sich erinnern. Abschalten erfasst die Realität.
Wir machen das regelmäßig im Rahmen unserer Engagements. Die Anzahl der Systeme, die sich als tatsächlich ungenutzt herausstellen, ist durchgängig höher, als Kunden erwarten. Die Anzahl überraschender Abhängigkeiten, die erst sichtbar werden, wenn etwas dunkel wird, ist ebenfalls – durchgängig – höher als erwartet.
Beide Erkenntnisse sind wertvoll. Beide sind nur möglich, weil etwas abgeschaltet wurde.
Wenn Sie Systeme in Ihrer Umgebung haben, die niemand anzufassen wagt, ist genau das der richtige Ausgangspunkt. Sprechen Sie mit uns.