… und dann ist es soweit: völlig unerwartet stellt der Hersteller nach vierjähriger Ankündigung plötzlich den Support für sein Softwareprodukt ein. Die alte Software leistet aber noch sehr gute Dienste und ein Nachfolger ist nicht in Sicht. An diesem Punkt gilt es besonnen den Betrieb zu sichern und die nächsten Schritte zu planen. Gleichzeitig muss man sich die Frage stellen, wie diese Situation in der Zukunft vermeidbar ist.
End-Of-Life
Wie die meisten Dinge auf dieser Welt unterliegt auch Software einem Lebenszyklus, der ein Ende hat. Im Falle der Software steht aber „End-of-Life“ nicht für deren plötzlichen Tod und damit ihrer Nichtnutzbarkeit. Vielmehr stellt der Hersteller der Software zu diesem Zeitpunkt die Unterstützung und die Weiterentwicklung ein. In der Regel denkt man dabei an gekaufte Software vom Markt. Aber auch für Open-Source-Software gibt es ein, meist schleichendes Ende, wenn der Träger oder die zugehörige Community das Interesse verlieren und sich anderen Themen widmen. Selbst bei eigen erstellter Software kann es zu einem End-of-Life kommen, wenn die Mitarbeiter, die für die Entwicklung und Pflege zuständig waren aus dem Unternehmen ausscheiden oder anderweitig nicht mehr zur Verfügung stehen.
Die Software funktioniert doch noch
Natürlich verliert die Software mit der Ankündigung der Beendigung der Unterstützung und Weiterentwicklung ihre Nutzbarkeit nicht. Deshalb gibt es viele Gründe die Software weiter zu nutzen. Sie ist durch, oft jahrelange, Anpassung gut in die Abläufe und Geschäftsprozesse integriert. Die Mitarbeiter sind geschult und kennen sich mit der Bedienung aus. Deshalb und wegen der drohenden Migrationsaufwände sind viele Unternehmen geneigt die Applikation auch über den End-of-Life-Zeitpunkt hinaus zu nutzen. Dagegen ist kurzfristig auch wenig zu sagen. Mittel bis langfristig wird dieser Zustand jedoch zunehmend schwieriger. So nimmt die Ausfallwahrscheinlichkeit eines jeden Systems mit zunehmender Laufzeit zu. Das Know-how der Mitarbeiter erodiert und das alte System hemmt durch den Kompatibilitätsbedarf die Weiterentwicklung von Plattformen und Prozessen.
Risiken im Umgang EndOfLife
Mit der Nutzung von End-of-Life-Software sind eine Reihe von Risiken verbunden. Diese lassen sich grob in fünf Blöcke gruppieren:
Betrieb
Die Betriebsrisiken stehen für die Nutzbarkeit der Software. Hier stehen Stabilität und Funktionalität im Vordergrund. Wie bereits erwähnt, nimmt die Ausfallwahrscheinlichkeit von Systemen mit zunehmender Laufzeit zu, was den Support- und Pflegebedarf erhöht. Aber gerade Support und Pflege sind nicht mehr oder nur noch schwer zu organisieren, da Hersteller- / Lieferantensupport gar nicht mehr oder nur zu erhöhten Kosten zu bekommen sind und gleichzeitig das Know-how der Mitarbeiter und des Marktes abnimmt.
Oft entsteht der Druck dabei nicht durch die Applikation selbst, sondern durch die benötigte Infrastruktur wie benötigte Betriebssysteme, Datenbanken oder Schnittstellen, die mangels weiterer Pflege der Software nicht mehr aktualisiert werden können.
Weiterentwicklung
Eine Applikation die nicht mehr angepasst werden kann, verhindert aufgrund der notwendigen Kompatibilität zu Plattformen, Schnittstellen und Prozessen die Weiterentwicklung des Unternehmens in technischer und betriebswirtschaftlicher Sicht. So sind Technologieanpassungen und Prozessverbesserungen nur noch mit Mühe oder gar nicht mehr möglich.
Sicherheit
Da zum End-of-Life einer Software die Fehlerbehebung und Beseitigung bekannter Sicherheitslücken unterbleibt, nimmt die Verwundbarkeit und damit das Sicherheitsrisiko zu. Auch hier kann das Risiko auch mittelbar entstehen und ggf. auch dramatischere Auswirkungen haben. So sind aus Kompatibilitätsgründen auch heute noch eine Reihe von alten Betriebssystemen (Windows XP, CentOS 5 oder Ubuntu 12.04) im Einsatz, bei denen bekannte Lücken das Sicherheitsniveau in Bezug auf
- Confidentiality (Vertraulichkeit)
- Integrity (Integrität)
- Availability (Verfügbarkeit)
deutlich senken. Hierzu zählen Datenverlust, Handelsgeheimnisverlust und diverse Netzausfälle. Dabei ist natürlich auch der Datenschutz von Kunden- und Mitarbeiterdaten gefärdet.
Rechtliche & regulatorische Risiken
Unter Rechtliche & regulatorische Risiken versteht man die Verletzung von externen, aber auch internen Vorgaben. Dazu zählen gesetzliche Vorgaben wie Datenschutz / Datensicherheit oder auch grundlegende IT-Sicherheitsgesetze. Daneben sind Vertragsinhalte und vertragliche Nebenpflichten zu beachten. Betroffen sind dabei nicht nur Kunden, sondern auch Mitarbeiter, Aktionäre, Aufsichtsgremien (intern und extern), Geschäftspartner, Mitbewerber und Verbände bzw. Interessenvertretungen.
Finanzielle Risiken
Zusätzliche bzw. erhöhte Kosten durch den Betrieb von End-of-Life-Software entstehen beispielsweise durch die Notwendigkeit der Bereitstellung kompatibler Plattformen und Systeme. Die erhöhte Ausfallwahrscheinlichkeit zieht Kosten aus Nichtnutzbarkeit und die Wiederherstellung nach sich. Außerdem ist mit erhöhten Kosten für Wartung und Betrieb zu rechnen, da Auswahl an Dienstleistern eingeschränkt ist und Know-how nur zu erhöhten Kosten erwerbbar ist.
Fazit
Der weitere Betrieb von End-of-Life-Software ist zuerst mal naheliegend. Die Software tut in gewohnter Qualität ihre Dienste und Aufwände für Migration bleiben dem Unternehmen erspart. Trotzdem birgt diese Situation einige Risiken, die mit zunehmender Betriebszeit drängender werden. Trotzdem ist das kein Grund in Panik zu verfallen. Vielmehr gilt es bei Bekanntwerden einer End-of-Life Situation besonnen die Möglichkeiten und die damit verbundenen Chancen und Risiken abzuwägen. Dabei sind drei wesentliche Schritte zu bewältigen. Zuerst muss der Betrieb gesichert werden. Auf dieser Basis kann dann nach einer nachhaltigen und wertschöpfenden Lösung gesucht werden. Als Kür kann dann ein System aufgebaut werden, dass diese Situation grundsätzlich vermeidet. In den nächsten Beiträgen werden wir uns mit diesen Schritten beschäftigen.