software-wartung24.de
· 6 Min. Lesezeit· Sandor Farkas

Alte Software als Sicherheitsrisiko: Was Geschäftsführer wissen müssen

SicherheitDSGVOHaftung

Alte Software ist heute das größte Einfallstor für Cyberangriffe. Nicht raffinierte Hacker, sondern automatisierte Scanner finden Ihre veralteten Systeme. Sekunden später probieren sie bekannte Lücken aus. Wenn Sie einen ungepatchten Server haben, ist es keine Frage, ob etwas passiert. Nur wann. Dieser Artikel zeigt, was Geschäftsführer wissen müssen – technisch, rechtlich und praktisch.

Die unsichtbare Bedrohung

Sie sehen es nicht. Sie spüren es nicht. Und trotzdem: Jeden Tag scannen automatisierte Bots das Internet nach veralteten Systemen. Sie suchen nach bekannten Sicherheitslücken in alten PHP-Versionen, alten Frameworks, alten Plugins.

Ein verwundbares System wird in der Regel innerhalb von 48 Stunden nach dem Anschluss ans Netz entdeckt. Das ist kein theoretischer Wert. Das ist Praxis.

Die meisten Angriffe sind nicht zielgerichtet. Niemand greift gezielt Ihr Unternehmen an. Aber Sie sind ein Treffer im Massenscan. Das reicht.

Was sind CVEs?

CVE steht für "Common Vulnerabilities and Exposures". Jede bekannte Sicherheitslücke bekommt eine eindeutige Nummer, etwa CVE-2024-1874. Mehr dazu im Glossar: CVE-Sicherheitslücke.

Diese Datenbank ist öffentlich. Auch für Angreifer. Wer eine alte Software-Version nutzt, sagt damit: "Diese Lücken könnt ihr ausprobieren."

Beispiele aus den letzten Jahren:

  • Log4Shell (CVE-2021-44228): Eine kritische Lücke in der Java-Bibliothek Log4j. Millionen Server waren betroffen. Schaden weltweit: Milliarden.
  • Drupalgeddon (CVE-2018-7600): Beliebte CMS-Lücke, die für Krypto-Mining missbraucht wurde.
  • PHPMailer-Lücken (CVE-2016-10033): Erlaubten Codeausführung über Mailformulare. Viele Webseiten betroffen.

Solche Lücken werden in modernen Versionen sofort geschlossen. In alten Versionen bleiben sie offen.

Wie ein Angriff abläuft

Damit Sie das Risiko verstehen, hier ein typischer Ablauf:

1. Erkennung. Ein Scanner identifiziert die Server-Software ("Apache 2.4.7 mit PHP 5.6"). Diese Information ist meist in HTTP-Headern lesbar.

2. Abgleich. Eine CVE-Datenbank zeigt: "PHP 5.6 hat Lücke X." Vollautomatisch.

3. Ausnutzung. Ein vorgefertigter Exploit wird abgespielt. Erfolg: Codeausführung auf dem Server.

4. Übernahme. Backdoor wird installiert, Daten werden kopiert, Server wird in ein Botnetz eingegliedert.

5. Folgeangriff. Ihre Kunden erhalten Phishing-Mails von Ihrer Domain. Oder Ransomware verschlüsselt Ihre Datenbank.

Das ganze dauert oft weniger als eine Stunde. Sie merken es Tage später – wenn überhaupt.

DSGVO und die Pflicht zum Stand der Technik

Artikel 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen. Diese Formulierung klingt vage. In der Praxis ist sie es nicht.

Die Aufsichtsbehörden orientieren sich an Standards wie BSI-Grundschutz, ISO 27001 oder branchenüblichen Best Practices. Eine Software ohne Sicherheitsupdates erfüllt diese Standards nicht. Punkt.

Konsequenzen bei einem Datenleck:

  • Meldepflicht. Datenpanne muss binnen 72 Stunden gemeldet werden.
  • Bußgelder. Bis zu 4 Prozent des weltweiten Jahresumsatzes.
  • Information der Betroffenen. Aufwand und Reputationsschaden.
  • Zivilklagen. Geschädigte können auf Schadensersatz klagen.

Die Bußgelder sind kein Schreckgespenst. 2023 wurden in Deutschland mehrere Millionen-Bußgelder verhängt, teils wegen technischer Mängel.

Die Haftung des Geschäftsführers

Hier wird es persönlich. Geschäftsführer haften unter bestimmten Umständen mit ihrem Privatvermögen.

Grundlage ist § 43 GmbH-Gesetz: "Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden."

Ein ordentlicher Geschäftsmann lässt ungepatchte Systeme nicht ohne Reaktion. Wer das tut, verletzt seine Sorgfaltspflicht. Bei einem Schaden kann das zur persönlichen Haftung führen.

D&O-Versicherungen decken vieles ab, aber nicht alles. Bei grober Fahrlässigkeit zahlt die Versicherung oft nicht. Und nicht zu patchen, obwohl seit Jahren bekannt – das kann als grob fahrlässig gelten.

Die typischen Schwachstellen

Was ist konkret veraltet?

Veraltete Sprachversionen. PHP 7 und früher, Python 2, alte Java-Versionen, klassisches ASP. Alles ohne Sicherheitsupdates.

Tote CMS-Versionen. Joomla 3, Wordpress mit alten Plugins, Typo3 8 und früher. Beliebt bei Angreifern.

Alte Bibliotheken. Tausende Mini-Bibliotheken in Composer, npm, Maven. Eine reicht.

Fehlende Security-Patches. Auch beim Betriebssystem. Veraltete Linux-Kernel, ungepatchte Windows-Server.

Schwache Verschlüsselung. TLS 1.0, SHA1, veraltete Cipher Suites. Werden zunehmend von modernen Clients abgelehnt.

Standardpasswörter. Werden bei automatischen Scans als erstes geprüft. Wer admin/admin nutzt, hat verloren.

Was Sie konkret tun sollten

Sofort (diese Woche)

Inventur. Welche Systeme laufen wo? Mit welcher Sprache und Version? Wenn niemand das beantworten kann, ist das schon ein Problem.

Externe Erreichbarkeit prüfen. Was ist aus dem Internet erreichbar? Diese Systeme haben Priorität.

Standardpasswörter ändern. Sofort, überall. Inklusive Datenbanken, Admin-Konten, Router.

Kurzfristig (nächster Monat)

Sicherheits-Audit. Externer Profi schaut sich Ihre Systeme an. Liefert eine Liste der Risiken nach Priorität.

Notfallplan. Was tun bei einem Vorfall? Wer ist zu informieren? Wie kommt das System wieder ans Netz? Schreiben Sie es auf.

Sicherheits-Härtung. Erste Maßnahmen: Firewalls, Web-Application-Firewalls, Monitoring, Logging. Mehr unter Sicherheits-Härtung.

Mittelfristig (nächste sechs Monate)

Patches und Updates. Systematisches Aktualisieren auf unterstützte Versionen. Nicht in einem Rutsch, sondern geordnet.

Modernisierung der kritischsten Systeme. Wo Patches nicht mehr möglich sind, hilft nur Upgrade.

Schulung. Mitarbeiter sensibilisieren. Phishing, schwache Passwörter, Social Engineering. Die meisten Angriffe nutzen Menschen, nicht Technik.

Langfristig (laufend)

Regelmäßige Audits. Mindestens einmal pro Jahr. Bei kritischen Systemen häufiger.

Patch-Management. Sicherheitsupdates müssen zeitnah eingespielt werden. Idealerweise binnen 48 Stunden für kritische Lücken.

Monitoring. Ungewöhnliche Aktivitäten erkennen. Logs auswerten. Alarme einrichten.

Versicherungen und Compliance

Cyber-Versicherungen werden zunehmend kritischer. Sie verlangen einen Mindeststandard. Wer veraltete Systeme nutzt, bekommt schlechtere Konditionen oder gar keine Versicherung.

Auch Kunden fragen zunehmend nach. ISO 27001, TISAX, branchenspezifische Audits. Wer hier nicht liefern kann, verliert Aufträge.

Das Märchen von "uns trifft das nicht"

"Wir sind zu klein, um interessant zu sein." Falsch. Die meisten Angriffe sind automatisiert. Größe ist egal.

"Unsere Daten sind nicht wertvoll." Falsch. Ransomware verschlüsselt Daten. Egal, wie wertvoll sie objektiv sind – für Sie sind sie unbezahlbar.

"Wir haben eine Firewall." Hilft gegen einen Teil der Angriffe. Nicht gegen Lücken in der Anwendung selbst.

"Das ist nur intern erreichbar." Bis ein Mitarbeiter einen infizierten Anhang öffnet. Dann ist der Angreifer im internen Netz.

Fazit

Alte Software ist kein theoretisches Risiko. Sie ist die Hauptursache für Cybervorfälle in deutschen Unternehmen. Wer als Geschäftsführer die angesammelten Sicherheitsschulden ignoriert, riskiert Geld, Reputation und persönliche Haftung. Wer sie systematisch tilgt, schläft besser.

FAQ

Wie schnell muss ich patchen?

Kritische Lücken: innerhalb von 48 Stunden. Hohe: innerhalb einer Woche. Mittlere: innerhalb eines Monats. Diese Zeiten sind Branchenstandard und werden von Aufsichtsbehörden zunehmend erwartet.

Was kostet ein Sicherheits-Audit?

Für kleine bis mittlere Anwendungen: 3.000 – 10.000 Euro. Für größere Plattformen entsprechend mehr. Im Verhältnis zu möglichen Schäden ist das ein günstiger Preis.

Bin ich versichert, wenn etwas passiert?

Das hängt von Ihrer Cyber-Versicherung und Ihrem Verhalten ab. Bekannte Lücken nicht zu schließen, kann den Versicherungsschutz aushebeln. Lesen Sie Ihre Police.

Was ist mit alten Systemen, die nicht modernisiert werden können?

Es gibt Optionen: Isolierung im internen Netz, Web-Application-Firewall davor, intensives Monitoring. Aber das sind nur Übergangslösungen. Auf Dauer hilft nur Modernisierung.

Wie oft sollte ich Sicherheits-Updates einspielen?

Sicherheitsupdates: sofort nach Erscheinen, mindestens monatlich gebündelt. Feature-Updates: nach eigenem Zeitplan. Wer Sicherheitsupdates monatelang aufschiebt, fährt fahrlässig.

Sie wissen nicht, wie sicher Ihre Software ist? Wir machen einen schnellen Sicherheits-Check und sagen Ihnen klar, wo Sie stehen. Jetzt Kontakt aufnehmen.

Weitere Artikel

· 7 Min. Lesezeit

Joomla und Typo3: Welche Update-Optionen haben Sie?

Joomla 3 ist tot, Typo3 8 auch. Was Sie tun können – ehrlicher Vergleich von Update, Migration und Neubau.

JoomlaTypo3CMS
Weiterlesen →
· 5 Min. Lesezeit

Kein Entwickler für alten Code – was tun?

Niemand will Ihre alte Anwendung anfassen. Warum das so ist und wie Sie trotzdem Hilfe finden.

FachkräftemangelLegacyIT-Strategie
Weiterlesen →
· 5 Min. Lesezeit

Legacy Software – was bedeutet das eigentlich?

Legacy heißt nicht "schlecht". Legacy heißt: bewährt, gewachsen, geschäftskritisch. Was der Begriff für Ihr Unternehmen wirklich bedeutet.

LegacyGrundlagenIT-Strategie
Weiterlesen →

Bereit, Ihre Software in gute Hände zu geben?

Das Erstgespräch ist kostenlos und unverbindlich. Wir schauen uns an, was Sie haben, und sagen Ihnen ehrlich, was möglich ist.

Kostenlose Erstberatung anfragen →