software-wartung24.de
· 6 Min. Lesezeit· Sandor Farkas

Security Audit für Legacy-Software: Was geprüft wird und was es bringt

SicherheitLegacy GrundlagenPHPAudit

Ihre Software läuft seit Jahren. Niemand hat sie angegriffen, soweit Sie wissen. Aber wie viel wissen Sie wirklich über den Zustand Ihres Systems?

Ein security audit legacy software gibt Ihnen diese Antwort. Nicht als Vermutung, sondern als strukturierte Analyse. Was dabei geprüft wird, was typische Funde sind und was das Ergebnis konkret aussagt, erklärt dieser Artikel.

Was ist ein Security Audit?

Ein Security Audit, also eine Sicherheitsprüfung, ist eine systematische Analyse einer Software. Dabei werden bekannte Schwachstellen identifiziert, die Konfiguration geprüft und die Codequalität bewertet.

Ein Security Audit ist keine Wunderlösung. Er gibt Ihnen aber etwas sehr Wertvolles: Klarheit. Sie wissen danach, womit Sie es wirklich zu tun haben.

Für Legacy-Software, also ältere Systeme die über Jahre gewachsen sind, ist ein Security Audit oft der erste sinnvolle Schritt. Bevor man modernisiert, sollte man wissen wo die Lücken liegen.

Was wird bei einem Security Audit geprüft?

Der genaue Umfang hängt vom System ab. Typischerweise werden aber folgende Bereiche analysiert.

PHP-Version und Server-Konfiguration

Die PHP-Version ist der erste Anhaltspunkt. PHP 7.4 und älter erhalten keine Sicherheits-Updates mehr. Wer PHP 5.6 betreibt, hat eine Software mit hunderten bekannten und offenen Sicherheitslücken.

Auch die Server-Konfiguration spielt eine Rolle. Ist der Server richtig eingestellt? Werden Fehlermeldungen öffentlich angezeigt? Das sind Informationen, die Angreifer nutzen können.

Abhängigkeiten und Bibliotheken

Moderne Software nutzt externe Bibliotheken. Diese Abhängigkeiten haben eigene Versionsstände und eigene Sicherheitshistorien.

CVEs (Common Vulnerabilities and Exposures) sind öffentlich dokumentierte Sicherheitslücken. Für jede bekannte Lücke gibt es eine Nummer und eine Beschreibung. Ein Security Audit gleicht die eingesetzten Bibliotheken mit dieser Datenbank ab. Das Ergebnis zeigt, wie viele bekannte Lücken gerade offen sind.

Authentifizierung und Zugriffskontrolle

Wie meldet man sich an? Werden Passwörter sicher gespeichert? Gibt es noch Standard-Zugangsdaten aus der Entwicklungszeit?

Ältere Anwendungen nutzten oft veraltete Verfahren zur Passwortspeicherung. MD5 und SHA1 gelten heute als unsicher. Wer damit noch arbeitet, läuft Gefahr, dass ein Datenleck auch die Passwörter der Nutzer gefährdet.

Eingabevalidierung und SQL-Injection

SQL-Injection gehört zu den häufigsten Angriffsvektoren bei älteren PHP-Anwendungen. Dabei sendet ein Angreifer manipulierte Daten an die Anwendung. Wenn die Anwendung diese Daten nicht korrekt prüft, kann der Angreifer Datenbankbefehle einschleusen und Daten auslesen oder manipulieren.

Ein Security Audit prüft systematisch, ob Eingaben korrekt validiert werden. Das betrifft Kontaktformulare, Sucheingaben, Login-Felder und alle weiteren Stellen, an denen Nutzer Daten eingeben können.

HTTPS und Transportverschlüsselung

Werden Daten verschlüsselt übertragen? Ist das SSL-Zertifikat aktuell? Werden veraltete TLS-Versionen noch unterstützt?

Viele ältere Anwendungen nutzen noch TLS 1.0 oder 1.1, beide gelten als unsicher. Aktuelle Browser und Sicherheitsstandards fordern TLS 1.2 oder höher.

DSGVO-relevante Stellen

Die DSGVO (Datenschutz-Grundverordnung) verpflichtet Unternehmen, personenbezogene Daten angemessen zu schützen. Ein Security Audit identifiziert, welche Daten gesammelt werden und ob die technischen Schutzmaßnahmen ausreichen.

Besonders bei älteren Systemen werden oft Daten gespeichert, die gar nicht mehr benötigt werden. Oder es fehlen Protokolle, die bei einer Datenschutzprüfung vorgelegt werden müssten.

Was findet man typischerweise?

Wer viel Legacy-Software prüft, sieht immer wieder dieselben Muster. Die häufigsten Funde:

Veraltete PHP-Versionen. PHP 5.6, PHP 7.0, PHP 7.2. Alles ohne aktive Sicherheitspflege.

Hunderte offene CVEs in den Abhängigkeiten. Bibliotheken, die seit Jahren nicht aktualisiert wurden, sammeln bekannte Lücken an.

Unsichere Passwort-Hashes. MD5 oder ungesalzene SHA1-Hashes in der Datenbank.

Fehlende Eingabevalidierung. Formulare, die Daten direkt in SQL-Abfragen einbauen, ohne Bereinigung.

Aktive Debug-Ausgaben. Fehlermeldungen, die PHP-Version, Dateipfade oder Datenbankstruktur verraten.

Veraltete Zugangsdaten. Accounts aus der Entwicklungsphase, die nie deaktiviert wurden.

Kein Einzelfund davon ist eine Katastrophe. Die Kombination aus mehreren offenen Lücken aber schon. Angreifer nutzen Schwachstellen kombiniert aus, nicht einzeln.

Was bringt ein Security Audit konkret?

Der wichtigste Nutzen ist Klarheit. Viele Unternehmen wissen nicht, wie es wirklich um ihre Software steht. Ein security audit legacy software beendet das Raten.

Das Ergebnis eines Audits ist typischerweise eine Zusammenfassung aller Funde, geordnet nach Schweregrad: kritisch, hoch, mittel, niedrig. Damit können Sie priorisieren. Was muss sofort behoben werden? Was kann warten?

Ein Security Audit ist auch die Grundlage für weitere Schritte. Wer technische Schulden abbauen will, braucht einen Ausgangspunkt. Ein Sicherheits-Audit liefert diesen Ausgangspunkt in messbarer Form.

Außerdem hilft das Ergebnis bei internen Gesprächen. Wenn Sie Ihrer Geschäftsführung erklären wollen, warum Investitionen in die Software-Sicherheit notwendig sind, ist ein konkreter Bericht mit dokumentierten Lücken überzeugender als ein allgemeines Bauchgefühl.

Wann ist der richtige Zeitpunkt?

Es gibt einige Situationen, in denen ein Security Audit besonders sinnvoll ist.

Vor einer Modernisierung. Wer seine Software modernisieren will, sollte zuerst wissen, was saniert werden muss. Ohne Audit kann die Modernisierung an falscher Stelle beginnen.

Nach einem Vorfall. Wenn eine Website angegriffen wurde oder verdächtiges Verhalten aufgefallen ist, hilft ein Audit dabei zu verstehen, wie der Angreifer reingekommen ist und was noch offen bleibt.

Bei einem Anbieterwechsel. Wenn eine Software von einem Dienstleister zum nächsten wechselt, ist ein Audit sinnvoll. Sie wissen dann genau, was Sie übernehmen.

Als Routine. Für Software, die personenbezogene Daten verarbeitet oder geschäftskritisch ist, empfiehlt sich ein jährlicher Sicherheitscheck. Die Bedrohungslage ändert sich. Neue CVEs entstehen. Was letztes Jahr sicher war, muss es dieses Jahr nicht mehr sein.

Wer sich einen Überblick über Legacy Software und deren typische Schwachstellen verschaffen will, findet im Glossar einen guten Einstieg. Von dort führt der Weg oft direkt zur Entscheidung: Audit zuerst, dann handeln.

Häufige Fragen zum Security Audit

Wie lange dauert ein Security Audit?

Das hängt vom Umfang des Systems ab. Eine kleinere PHP-Anwendung mit überschaubarem Code lässt sich in ein bis drei Tagen prüfen. Ein komplexeres System mit vielen Abhängigkeiten und mehreren Modulen kann eine Woche oder mehr benötigen.

Der zeitliche Aufwand auf Ihrer Seite ist gering. Sie müssen Zugang zum System ermöglichen und Fragen beantworten. Die eigentliche Analyse übernehmen wir.

Was kostet ein Security Audit?

Preise variieren je nach Systemgröße und Prüftiefe. Ein einfacher Sicherheitscheck beginnt bei einigen hundert Euro. Ein vollständiger Code-Audit für eine größere Anwendung kann mehrere Tausend Euro kosten.

Die relevante Gegenfrage lautet: Was kostet ein Sicherheitsvorfall? Datenverlust, DSGVO-Bußgelder, Reputationsschaden und Betriebsausfall sind in der Regel teurer als der Audit, der sie verhindert hätte.

Muss der Code dabei verändert werden?

Nein. Ein Security Audit analysiert, ohne zu verändern. Sie erhalten einen Bericht mit Empfehlungen. Was davon umgesetzt wird und in welcher Reihenfolge, entscheiden Sie.

Fazit: Sicherheit beginnt mit Wissen

Ein security audit legacy software kostet Zeit und Geld. Er ist aber fast immer günstiger als der Schaden, den eine ungepatchte Lücke verursacht.

Die meisten Angriffe auf ältere Webanwendungen sind keine gezielten Attacken. Sie sind automatisierte Scans, die bekannte Schwachstellen suchen. Wer sein System nicht kennt, merkt das erst wenn es zu spät ist.

Sprechen Sie uns an. Das Erstgespräch ist kostenlos. Wir schauen uns Ihr System an und sagen Ihnen ehrlich, wo Sie stehen.

Weitere Artikel

· 8 Min. Lesezeit

ChatGPT API in eine PHP-Anwendung einbinden – so geht's

Sie wollen die ChatGPT API in PHP einbinden, ohne Ihre bestehende Anwendung neu zu bauen? Dieser Artikel zeigt den Weg Schritt für Schritt. Mit konkretem Code-Beispiel und klaren Hinweisen zur DSGVO.

KI & ModernisierungPHPOpenAI
· 7 Min. Lesezeit

KI in Legacy-Software: Was geht, was nicht geht

KI Legacy Software ist machbar, oft sogar leichter als gedacht. Was technisch wirklich möglich ist, wo die Grenzen liegen und warum Ihr Altsystem selten das Problem ist, erklärt dieser Artikel ohne Fachchinesisch.

KI & ModernisierungLegacy GrundlagenModernisierung
· 6 Min. Lesezeit

Muss ich meine Software neu bauen um KI nutzen zu können?

Viele glauben, KI bestehende Software lasse sich nur durch einen Neubau nutzbar machen. Das stimmt selten. Dieser Artikel zeigt, wann ein Altsystem KI-fähig ist und wann ein Neubau wirklich nötig wird.

KI & ModernisierungModernisierungLegacy Grundlagen

Bereit, Ihre Software in gute Hände zu geben?

Das Erstgespräch ist kostenlos und unverbindlich. Wir schauen uns an, was Sie haben, und sagen Ihnen ehrlich, was möglich ist.

Kostenlose Erstberatung anfragen →