End of Life: Was tun, wenn IT-Dienste aus der Wartung laufen?

Sogenannte „Outdated Components” lauern überall: Je komplexer die IT-Landschaft eines Unternehmens, desto höher das Risiko, dass Dienste und Komponenten, wie aktuell z. B. PostgreSQL 9.6, den End of Life erreichen und zeitnah aus der Herstellerwartung laufen. Was ist zu tun?

Am 11. November 2021 erreicht die PostgreSQL 9.6 den End of Life und wird damit zu einer sogenannten „Outdated Component“. Grundsätzlich sollten PostgreSQL 9.6-Datenbanknutzer nun ein Upgrade der bestehenden Datenbanken auf eine neuere – oder bevorzugt die neueste – Version durchführen. Nur so können sie weiteren Support sowie neue Funktionen erhalten, die in den Versionen 10, 11 und 12 entwickelt wurden. Um die neueste PostgreSQL-Version einzusetzen, müssen die Datenbanken nicht fortschreitend aktualisiert werden. Es ist möglich, direkt von Version 9.6 auf 12 zu wechseln.

Bei einer „Outdated Component“ handelt es sich im Allgemeinen um eine IT-Komponente mit einem veralteten Softwarestand oder einer Hardware ohne Wartung. Sie stellt im Zuge wachsender IT-Infrastrukturen ein potenzielles Betriebsrisiko dar – und hierzu zählen schon lange nicht mehr nur Risiken basierend auf Security & Compliance. Die Reliabilität und Verlässlichkeit der eigenen Systeme können bei fehlender Modernisierung schnell in Frage gestellt werden:

• Im Falle einer fehlenden Wartung im Störungsfall kann auf den Support des Herstellers nicht zurückgegriffen werden.
• Die Wiederherstellung des Services kann sich dadurch verzögern oder im schlimmsten Fall nicht mehr möglich sein.
• Zudem ist bei älteren Systemen die Wahrscheinlichkeit höher, dass es zu Ausfällen kommt als bei neuen state-of-the-art Systemen nach modernsten Best Practices. Dabei können kleine Ausfälle sicherlich verkraftet werden – der Ausfall ganzer SAP-Landschaften oder anderer Kernsysteme über bspw. Feiertage hingegen nicht.

Sicherheitsrisiken

Werden IT-Komponenten, deren End of Life erreicht ist, weiterbetrieben, ergibt sich ein Risiko für die Sicherheit der Systeme: Entsprechende Sicherheitspatche werden vom Hersteller für nicht unterstützte Versionen nicht mehr zur Verfügung gestellt. Insbesondere bereits bekannte Schwachstellen sorgen für Sicherheitsvorfälle: So wissen die Unternehmen in ungefähr 99% aller Fälle bereits mehr als 12 Monate von einem Risiko, bevor sie das Ziel von Cyber-Attacken werden.

Der Zusammenhang mit Outdated Components ist ebenfalls bekannt: Laut Studien weisen insbesondere kleine und mittelständische Unternehmen (KMUs) eine niedrigere IT-Sicherheit sowie einen deutlich höheren Anteil von Outdated Components vor. Dabei wird häufig nicht aus Mangel an Know-How in neue IT-Infrastruktur investiert, sondern weil Unternehmen kein Budget haben oder glauben, kein Angriffsziel zu sein. Durch die Cloud werden nun aber IT-Security Tools und Services demokratisiert, sodass auch KMUs hoch moderne IT-Infrastrukturen einsetzen können, die zuvor eher für DAX-Konzerne in Betracht kamen.

Ein End of Life von IT-Komponenten kann darüber hinaus auch die Informationssicherheit eines Unternehmens gefährden: Die DSGVO, die seit 2018 im Europäischen Raum in Kraft ist, ändert die Art und Weise, wie Benutzerdaten gesammelt, verwendet, gespeichert, verarbeitet und gelöscht werden. Ein Upgrade der IT-Infrastruktur kann helfen sicherzustellen, dass neue Gesetze in vollem Umfang eingehalten werden können.

Investitionsrisiken

Wie Jon Wrennal, CTO of Fujitsu UK und Irland schilderte: "IT ist wie ein Auto. Egal auf welche Art und Weise man es verwendet, es verursacht Kosten. Es wird nie kostenfrei sein; es muss sich darum gekümmert werden. Zu einem beliebigen Zeitpunkt wird es kaputt gehen oder beschädigt werden. Der effektivste und effizienteste Besitzmodell hängt davon ab, wofür man es braucht, wie man es nutzen will und was man eigentlich damit vorhat.”

Die Transformation der bestehenden IT-Infrastruktur ist aufwändig, teuer und mit Ausfallzeiten verbunden. Die Erfahrung zeigt jedoch, dass Wartung und Instandhaltung von Altsystemen sehr viel aufwändiger sind, sowie der IT-Organisation die Möglichkeit nehmen, sich auf innovative Themen zu fokussieren. Dabei entstehen Unternehmen Opportunitätskosten, die den Preis für ein Upgrade bei weitem übersteigen können.

So kann die Realisierung neuer Geschäftsmodelle ins Stocken geraten: Denn bevor in neue Technologien investiert wird, muss erst sichergestellt sein, dass die Back-End-IT-Infrastruktur in der Lage ist, die neu entstehenden Anforderungen zu unterstützen. Die Technologien, die das Kundenerlebnis verbessern, den Umsatz steigern und die Effizienz erhöhen sollen, können ihre Aufgabe nicht erfüllen, wenn sie nicht von den richtigen Netzwerk- und Rechenzentrumsinvestitionen unterstützt werden. Erst robuste Netzwerk-, Compute- und Storagelösungen ermöglichen es, diese Erfolge zu erzielen.

Personelle Risiken

Für die Wartung und den reibungsfreien Betrieb von Legacy-Anwendungen sind i.d.R. spezielle Fachkompetenzen erforderlich. Sind diese Kompetenzen nicht vorhanden oder verlässt der Kompetenzträger das Unternehmen, entsteht ein hohes Risiko für den laufenden IT-Betrieb. Insofern ist den meisten Unternehmen daran gelegen, kundiges Fachpersonal zu halten. Das gilt bspw. für die noch immer weitverbreiteten COBOL-Systeme in der Bankenbranche oder eine Reihe von Mainframe-Altsystemen im Telekommunikationssektor. Darüber hinaus sind veraltete Technologie-Stacks für den IT-Nachwuchs oft nicht attraktiv. Sie werden entstehende Lücken also nicht schließen.

Systemkomponenten mit veraltetem Softwarestand oder Hardware ohne Wartung stellen in wachsenden IT-Infrastrukturen ein bedeutendes Betriebsrisiko dar: Zum Beispiel greift bei fehlender Wartung im Störfall der Herstellersupport nicht mehr. Auch sinkt die Verlässlichkeit der IT-Systeme, was die Innovationskraft drosselt. Und schließlich entstehen eklatante Sicherheitsrisiken, da entsprechende Systempatche schlichtweg fehlen. Im Zuge des Business Continuity Managements müssen Unternehmen einen smarten Umgang mit dem End of Life von IT-Komponenten finden. Der Einsatz modernster Cloud-Technologien kann das IT-Infrastruktur Management dabei erheblich erleichtern.

Welche grundsätzlichen Handlungsoptionen den End of Life von IT-Komponenten begleiten, wird deutlich am Beispiel der PostgreSQL 9.6-Datenbank:

1️⃣ Upgrade ohne Technologiewechsel: 

Investieren Sie in Ihre bestehende OnPremises IT-Infrastruktur und führen Sie notwendige Upgrades durch.

2️⃣ Upgrade mit Technologiewechsel: 

Verstehen Sie Outdated Components als Chance, Ihre Server, Applikationen und Workloads in die Cloud zu migrieren, ohne die Anwendung und die darunter liegende Infrastruktur wesentlich zu verändern.

• Bei einem Upgrade sollte unabhängig des Szenarios beachtet werden, dass eine Änderung der Hauptversion in der Regel das interne Format von Systemtabellen und Datendateien ändert. Diese Änderungen sind oft komplex, sodass häufig eine Abwärtskompatibilität aller gespeicherten Daten nicht aufrechterhalten werden kann. Für Major-Upgrades ist regelmäßig ein Dump/Reload der Datenbank erforderlich. Obschon die Aktualisierung einer Hauptversion zu einer anderen möglich ist, ohne die dazwischen liegenden Versionen zu aktualisieren, wird empfohlen, die Versionshinweise aller dazwischen liegenden Hauptversionen genau zu evaluieren, ob diese Auswirkungen auf die Anwendung haben. Damit ist das Upgrade einer Hauptversion grundsätzlich risikoreicher als das Upgrade einer Nebenversion, was dazu führt, dass sowohl die Planung, Tests und Durchführung aufwändiger sind.

3️⃣ Upgrade mit vollständiger Modernisierung der Anwendungsarchitektur: 

Verstehen Sie Outdated Components als Chance, Ihre Server, Applikationen und Workloads mit den Cloud Services von Grund auf zu modernisieren. Mit dieser Transition in die Cloud sparen Sie nicht nur IT-Kosten, Sie profitieren auch von der wachsenden Effizienz Ihrer Anwendungen und Prozesse.