Legacy-Systeme vs. Moderne Resilienz:
Ein Generationen-Update

„Never change a running system“?

Oder sollten wir fragen: Maybe check your running system?

In vielen Vorstandsetagen herrscht ein stillschweigendes Abkommen über die großen Altsysteme (Legacy-Systeme): Solange sie laufen und die Buchungen korrekt verarbeiten oder Geschäftsprozesse richtig darstellen, werden sie nicht angefasst. Sie gelten als das operative Fundament, welches massiv, teuer, aber stabil ist.

Mit dem Digital Operational Resilience Act (DORA) muss dieses Schweigen gebrochen werden. Die Aufsicht betrachtet Ihre IT-Landschaft nicht mehr nur unter dem Aspekt der Funktionalität („Läuft es?“), sondern unter dem Aspekt der Steuerbarkeit und Beherrschbarkeit („Haben Sie die Kontrolle?“).

Für das IKT-Risikomanagement im Sinne von DORA entsteht hier ein gravierendes Problem: Viele gewachsene Systeme entziehen sich den modernen Standards der Governance und Überwachung, die DORA verbindlich verlangt. Was früher ein technisches Detail war, wird damit zu einer aufsichtsrechtlich relevanten Governance-Lücke.

Der regulatorische Blindflug

DORA verpflichtet Institute, ein angemessenen und wirksames IKT-Risikomanagement-Framework zu etablieren, die RTS (Regulatory Technical Standards) konkretisieren diese Anforderungen unter anderem hinsichtlich Identifikation, Klassifizierung und Überwachung von IKT-Risiken.

Gerade bei Legacy-Systemen stoßen etablierte Prozesse hier häufig an ihre Grenzen:

• Begrenzte Überwachbarkeit: Wenn ein Altsystem keine granularen Daten über Zugriffe oder Anomalien liefert, können Sie Ihrer Berichtspflicht gegenüber der Aufsicht nicht nachkommen. Sie haben dann einen blinden Fleck in Ihrem IKT-Risikobericht.
• Fehlende Dokumentation: Häufig ist das Wissen über die genaue Funktionsweise dieser Systeme mit den Mitarbeitern in den Ruhestand gegangen. DORA verlangt jedoch eine aktuelle, gepflegte Dokumentation der relevanten IKT-Assets und Abhängigkeiten. Ein System zu betreiben, das man nicht vollständig versteht, ist aufsichtsrechtlich schwer vertretbar.
• Konflikt mit dem „Lifecycle Management“: Die Regulatorik erwartet, dass Software aktuell gehalten wird. Bei „End-of-Life“ oder „End-of-Support“-Systemen ist dies per Definition nur eingeschränkt möglich. Ohne validen Migrationsplan ist der Weiterbetrieb aus Compliance-Sicht risikobehaftet.

Die Haftungsfrage: Bewusste Risikoentscheidung vs. Technische Fahrlässigkeit

Für die Geschäftsleitung, die gemäß Artikel 5 DORA die finale Verantwortung trägt, ist der Umgang mit Legacy-Systemen keine technische Detailfrage, sondern eine Risiko- und Governance-Entscheidung.

Wenn Sie Altsysteme weiterbetreiben, die den neuen Resilienz-Anforderungen nicht genügen, müssen Sie dies aktiv managen. Ein Einfaches „Wir können das nicht abschalten“ akzeptiert die Aufsicht nicht mehr. Zentrale Fragen dabei sind:

1. Haben Sie das Risiko formal bewertet, akzeptiert und dokumentiert?
2. Gibt es kompensierende Maßnahmen (z. B. engmaschigere manuelle Kontrollen), um die fehlende technische Sicherheit auszugleichen?
3. Existiert ein von der Geschäftsleitung genehmigter Ausstiegsplan?

Unser Ansatz: Regulatorische Kapselung und Risikosteuerung

Eine vollständige technologische Erneuerung der IT-Architektur ist nicht kurzfristig erforderlich, um sie DORA-konform und handlungsfähig zu machen. Der Fokus liegt zunächst darauf, die Governance- und Steuerungslücke zu schließen. Wir bewerten Ihre Legacy-Landschaft mit der Brille des Prüfers:

• Risiko Inventur: Wir identifizieren, welche Legacy-Systeme „kritische oder wichtige Funktionen“ unterstützen und damit unter die strengsten DORA-Regeln fallen.
• Definition kompensierender Maßnahmen: Wo die Technik nicht modernisiert werden kann, etablieren wir organisatorische Kontrollen und Prozesse, die das Risiko auf ein akzeptables Maß (Risk Appetite) begrenzen.
• Strategische Roadmap: Wir entwickeln mit Ihnen einen regulatorisch belastbaren Plan für den Umgang mit Altlasten, sei es durch Modernisierung, Auslagerung oder kontrollierten Rückbau. Damit werden Sie gegenüber der Aufsicht wieder erklär- und steuerungsfähig.

Legacy-Systeme sind nicht automatisch ein Verstoß gegen DORA, ungeklärte Verantwortung, fehlenden Transparenz und nicht gesteuerte Restrisiken jedoch schon.

Praxis-Check: Legacy-Readiness unter DORA in 5 Fragen

Beantworten Sie die folgenden Fragen ehrlich für Ihre wesentlichen Legacy-Systeme. Mehr als ein „Jein“ ist ein klares Signal für Handlungsbedarf:

1. Haben Sie eine vollständige, aktuelle Übersicht, welche Legacy-Systeme welche Geschäftsprozesse und kritischen bzw. wichtigen Funktionen unterstützen?
2. Sind Risiken aus Legacy-Systemen (z. B. Verfügbarkeit, Integrität, Zugriff, Abhängigkeiten) identifiziert, bewertet und regelmäßig überwacht – auch wenn die Systeme selbst nur eingeschränkte Monitoring-Funktionen bieten?
3. Existiert eine aktuelle und nachvollziehbare Dokumentation zu Funktion, Abhängigkeiten, Schnittstellen, Verantwortlichkeiten und bekannten Einschränkungen der Legacy-Systeme?
4. Wurden nicht vermeidbare Risiken formal bewertet, dokumentiert und durch die Geschäftsleitung akzeptiert – und existieren kompensierende Maßnahmen, die diese Risiken wirksam begrenzen?
5. Existiert ein genehmigter und realistisch umsetzbarer Plan für Modernisierung, Ablösung, Auslagerung oder kontrollierten Rückbau – inklusive Zeitachse und Verantwortlichkeiten?

Legacy-Systeme werden unter DORA nicht durch Technik zum Risiko, sondern durch fehlende Governance.

Im nächsten Teil der fünfteiligen Serie:

„Das dritte Glied in der Kette: Das Risiko Ihrer Dienstleister“. Erfahren Sie im nächsten Artikel, wie Sie die Kontrolle über Ihre ausgelagerten Prozesse behalten und warum Sie vertraglich oft schlechter dastehen, als Sie denken…

Ancarix Consulting
Responsible by Design