Warum ist ein einzelnes Altsystem ein Risiko für Unternehmen?
Emanuel Böminghaus, Legacy System Experte, Geschäftsführer AvenDATA
Emanuel Böminghaus
Legacy System Experte
Geschäftsführer AvenDATA
Geschäftsführer AvenDATA
In vielen Unternehmen existiert heute nicht mehr eine Vielzahl alter Anwendungen, sondern vor allem ein einziges sehr wichtiges Altsystem, das seit Jahren weiterläuft, obwohl es im Tagesgeschäft keinerlei Rolle mehr spielt. Gerade dieses einzelne System verursacht jedoch unverhältnismäßig hohe Kosten, gefährdet die IT-Sicherheit und wird zu einer Belastung für Compliance, Wirtschaftsprüfung und Betrieb. Unternehmen unterschätzen oft, wie stark ein einziges Alt-System die gesamte IT-Strategie ausbremsen kann.
Was ein einzelnes Altsystem auszeichnet
Ein Altsystem ist eine Software, die nicht mehr aktiv genutzt wird, aber weiterhin Daten enthält, die aus rechtlichen oder betrieblichen Gründen aufbewahrt werden müssen. Es kann sich um ein ehemaliges ERP-System, ein früheres HR- oder Payroll-System, ein historisches Finanzsystem oder eine selbst entwickelte Anwendung handeln, deren Entwickler längst nicht mehr im Unternehmen ist. Häufig bleibt nach Modernisierungen oder Carve-outs genau ein solches Altsystem zurück, das nicht mehr gepflegt, aber auch nicht abgeschaltet werden kann.
Warum ein einzelnes Altsystem ein strategisches Risiko darstellt
Das zentrale Risiko entsteht häufig dadurch, dass für dieses System keine Updates mehr existieren und damit kritische Sicherheitslücken dauerhaft bestehen bleiben. Ein einzelnes Alt-System kann damit zum Einfallstor für Schadsoftware oder unbefugte Zugriffe werden, insbesondere wenn noch alte Datenbanken, veraltete Serversysteme oder unsichere Schnittstellen aktiv sind. Die IT-Abteilung verliert zudem wertvolle Zeit, weil für die Betreuung eines Alt-Systems oft Spezialwissen erforderlich ist, das intern nicht mehr vorhanden ist. Sobald eine Auskunft gegenüber Prüfbehörden gefordert wird, zeigt sich, dass niemand mehr weiß, wie das System bedient wird oder welche Datenstrukturen existieren.
Auch wirtschaftlich belastet selbst ein einziges Altsystem das Unternehmen. Die Kosten für Server, Backup, Lizenzen, Wartung, Monitoring und internen Support summieren sich über Jahre hinweg, obwohl das System keinen produktiven Nutzen mehr bringt. Viele Unternehmen zahlen hier dauerhaft fünfstellige Beträge pro Jahr, schlicht weil das Alt-System weiterläuft. Hinzu kommt der Compliance-Druck. Daten aus dem Alt-System müssen vollständig und revisionssicher abrufbar bleiben, teilweise über zehn Jahre oder länger. Wenn keine Fachkenntnisse mehr vorhanden sind, entstehen rechtliche Risiken, die spätestens bei einer Betriebsprüfung sichtbar werden.
Welche Informationen im Altsystem kritisch sind
- steuerrelevante Buchungs- und Bewegungsdaten
- Personal- und Payroll-Daten aus früheren Abrechnungsjahren
- Belege, Dokumente und Anhänge
- Audit-Trails, Log-Daten und systemrelevante Protokolle
- kaufmännische Unterlagen, die gesetzlichen Aufbewahrungsfristen unterliegen
Nachdem diese Daten oft umfangreich und komplex sind, müssen sie in einer Form erhalten bleiben, die ohne technisches Know-how abrufbar ist. Genau das ist bei einem laufenden Altsystem häufig nicht mehr gewährleistet.
Wie Unternehmen mit einem einzelnen Altsystem umgehen sollten
Der erste Schritt besteht darin, das Alt-System vollständig zu analysieren und festzustellen, welche Daten enthalten sind, welche gesetzlichen Pflichten bestehen und wie lange die Informationen aufbewahrt werden müssen. Auf Basis dieser Analyse kann entschieden werden, ob eine Migration notwendig ist oder ob eine Archivierung die sinnvollste Lösung darstellt. In der Praxis zeigt sich, dass eine Archivierung nahezu immer effizienter ist, da das System selbst danach vollständig abgeschaltet werden kann.
Nach der Entscheidung beginnt die revisionssichere Extraktion der Daten. Sie muss sicherstellen, dass alle Tabellen, Belege, Masken und Bewegungsdaten vollständig übernommen werden. Gleichzeitig müssen Lesbarkeit, Exportfunktionen und Protokollierung gewährleistet sein, sodass auch Jahre später ein Prüfer oder ein Insolvenzverwalter nachvollziehen kann, welche Daten damals im Altsystem enthalten waren. Da nach einer Insolvenz in der Regel kein Personal mehr vorhanden ist, das die ursprüngliche Anwendung bedienen könnte, ist dieser Schritt besonders wichtig.
Die extrahierten Daten werden anschließend in einem revisionssicheren Archivsystem bereitgestellt. Dieses Archiv ermöglicht klar definierte Zugriffsrechte, Protokollierung, Suche, Exportmöglichkeiten und eine langfristige, gesetzeskonforme Aufbewahrung. Erst wenn diese Anforderungen erfüllt sind, kann das ursprüngliche Altsystem technisch abgeschaltet werden. Dazu gehört der Rückbau der Server, die Entfernung alter Backups, die Kündigung von Lizenzen sowie die Dokumentation der finalen Stilllegung.
Warum gerade ein einzelnes Altsystem so oft übersehen wird
In vielen Unternehmen entsteht das Problem, weil das System nur noch „mitläuft“ und keine aktive Nutzung mehr stattfindet. Es gibt keinen Verantwortlichen mehr, keine Weiterentwicklung und keine laufende Kontrolle. Dadurch wird das System leicht vergessen, während es gleichzeitig weiterhin Kosten verursacht und ein Risiko darstellt. Je länger der Zustand anhält, desto höher wird die Gefahr, dass wichtige Daten verloren gehen, Prüfungen scheitern oder Angreifer Schwachstellen ausnutzen.
Ein einzelnes Altsystem sollte niemals im Hintergrund weiterlaufen
Ein einzelnes Altsystem kann erhebliche finanzielle, rechtliche und sicherheitstechnische Risiken verursachen. Unternehmen sollten Altsysteme nicht einfach weiterbetreiben, sondern strukturiert analysieren, revisionssicher extrahieren und anschließend vollständig abschalten. Erst dann sind sowohl Compliance als auch IT-Sicherheit gewährleistet, und gleichzeitig lassen sich Kosten dauerhaft reduzieren.
Sie planen ein Altsystem zu archivieren?
