Das System läuft seit 14 Jahren. Der Hersteller hat den Support eingestellt. Das letzte Update kam 2019. Die Daten darin sind unverzichtbar – 15 Jahre Prozesshistorie, Prüfergebnisse, Chargenprotokolle. Und trotzdem: Keiner traut sich, es abzuschalten.
Legacy-Systeme in der Produktion sind eine der am meisten unterschätzten Risikoquellen im deutschen Mittelstand. Nicht weil die Systeme schlecht sind – viele laufen stabil und zuverlässig. Sondern weil das Abschalten als unmöglich gilt: zu riskant, zu teuer, zu unbekannt. Also bleibt das Altsystem laufen, neben dem neuen, neben dem Nachfolger des Nachfolgers, bis die IT-Architektur einem Flickenteppich gleicht, den niemand mehr vollständig versteht.
Dieser Leitfaden zeigt, wie das Legacy-System in der Fertigung sicher abgeschaltet wird – mit einem strukturierten 5-Stufen-Plan, der Datenverlust ausschließt, Compliance wahrt und den Betrieb nicht unterbricht.
DAS WICHTIGSTE IN KÜRZE
|
KURZ ZUSAMMENGEFASST
|
Der Begriff 'Legacy-System' beschreibt keine bestimmte Software oder ein bestimmtes Alter – er beschreibt einen Zustand. Ein System ist dann ein Legacy-System, wenn es nicht mehr aktiv weiterentwickelt wird, wenn der Hersteller keinen Support mehr leistet oder wenn die Weiterentwicklung des Systems nicht mehr mit den Anforderungen des Unternehmens mithalten kann.
In der Fertigung trifft das häufig auf drei Systemkategorien zu: ältere MES-Systeme (Manufacturing Execution Systems), proprietäre Maschinensteuerungs- und Datenerfassungssysteme sowie Legacy-QMS-Installationen (Qualitätsmanagementsysteme), die auf nicht mehr unterstützten Datenbankplattformen laufen.
|
Risikostufe |
Legacy-Signal |
Konsequenz |
Empfehlung |
|---|---|---|---|
|
Kritisch |
Kein Herstellersupport mehr, Betriebssystem End-of-Life, keine Sicherheits-Patches seit über 12 Monaten |
Aktives Sicherheitsrisiko: jede Netzwerkverbindung ist ein potenzieller Angriffsvektor |
Abschaltplan sofort einleiten. Übergangszeit maximal 6 Monate. |
|
Hoch |
Support ausgelaufen, aber noch Basis-Updates. Keine Integration in moderne Systeme möglich. |
Isolierter Betrieb, steigende Betriebskosten, zunehmende Schnittstellenprobleme |
Abschaltplan innerhalb von 12 Monaten einleiten |
|
Mittel |
Hersteller noch aktiv, aber System am Ende seines Lifecycle. Ersatzsystem bereits definiert. |
Wachsende Betriebskomplexität, Wissenskonzentration auf wenige Personen |
Migration planen und einleiten |
|
Niedrig |
System funktional, Hersteller aktiv, aber strategisch nicht mehr zukunftsfähig |
Kein unmittelbares Risiko, aber langfristig auf Abschaltpfad |
In Investitionsplanung aufnehmen, Nachfolger evaluieren |
Wichtig: Die Risikoklasse bestimmt die Dringlichkeit – nicht das Alter des Systems. Ein 20 Jahre altes System mit aktivem Hersteller-Support ist weniger riskant als ein 5 Jahre altes System, das auf Windows Server 2012 läuft.
In der Praxis gibt es immer denselben Grund, warum Legacy-Systeme in der Produktion nicht abgeschaltet werden: Niemand weiß genau, was drin ist. Und solange man das nicht weiß, schaltet man nichts ab. Das ist verständlich – aber es ist eine Entscheidung mit wachsenden Konsequenzen.
|
Grund |
Was dahintersteckt |
Realität |
|---|---|---|
|
'Wir brauchen die historischen Daten.' |
Echte Anforderung – aber die Daten können archiviert werden. Das System muss dafür nicht laufen. |
Daten archivieren ≠ System laufen lassen. Archivierte Daten sind oft zugänglicher als Daten in einem Altsystem. |
|
'Das läuft stabil, wir fassen es nicht an.' |
Betriebsstabilität ist kein Vorteil, wenn Sicherheitslücken nicht gepatcht werden. |
Ein stabiles System ohne Security-Updates ist kein stabiles System – es ist ein stilles Risiko. |
|
'Wir haben keine Zeit für eine Migration.' |
Migration ist aufwendig – aber unkontrollierter Weiterbetrieb ist langfristig teurer. |
Jedes Jahr Weiterbetrieb eines End-of-Life-Systems kostet im Schnitt 2–3× mehr als eine geplante Migration. |
|
'Einige Prozesse hängen noch daran.' |
Legitimes Problem – aber lösbar. Meist handelt es sich um 1–3 Schnittstellen. |
Diese Schnittstellen werden nicht gefunden, wenn man das System nicht aktiv inventarisiert. |
|
'Wir wissen nicht, wie wir die Daten rauskriegen.' |
Häufigstes technisches Hindernis – aber lösbar mit Datenbankzugriff oder ETL-Tools. |
Datenextraktion ist ein gelöstes Problem. Fast jede Datenbank lässt sich auslesen – auch ohne API. |
Das eigentliche Problem: Legacy-Systeme werden nicht abgeschaltet, weil der Abschaltzeitpunkt nie der richtige ist. Es gibt immer ein laufendes Projekt, eine bevorstehende Prüfung, einen Personalwechsel. Das Ergebnis: Das System läuft weitere fünf Jahre – und das Problem wächst.
|
Kostenkategorie |
Jährliche Kostentreiber |
Typischer Betrag p.a. |
|---|---|---|
|
Lizenz & Wartung |
Wartungsverträge für End-of-Life-Software, oft überteuert weil keine Alternative |
5.000–40.000 € |
|
IT-Infrastruktur |
Server, Betriebssystem, Virtualisierung für ein System, das sonst ersetzt würde |
3.000–20.000 € |
|
Integrationsaufwand |
Manuelle Datenpflege, Doppeleingaben, Schnittstellenwartung zum Nachfolgesystem |
10.000–60.000 € |
|
Wissenskonzentration |
Nur 1–2 Personen kennen das System. Ausfall = Produktionskrise. Intern kaum quantifizierbar. |
Risiko: 50.000–200.000 € im Schadensfall |
|
Security-Risiko |
Nicht gepatchte Sicherheitslücken: Ransomware-Risiko in vernetzten Produktionsumgebungen |
Potenziell: gesamter Produktionsausfall |
Die teuerste Entscheidung in der IT-Architektur eines Fertigungsunternehmens ist nicht das neue System. Es ist das alte, das man nicht abschalten konnte – und das deshalb noch drei Jahre neben dem neuen läuft, von niemandem wirklich betreut, aber von allen gefürchtet.
— Amadeus Chief Technology Evangelist, CSP Intelligence GmbH
Dieser Plan wurde aus realen Migrationsprojekten in der Fertigungsindustrie entwickelt. Er ist sequenziell: Jede Stufe muss abgeschlossen und abgenommen sein, bevor die nächste beginnt. Überspringen führt zu den Problemen, die den meisten Legacy-Abschaltern begegnen.
Zeitrahmen: 2–6 Wochen
Ziel: Vollständiges Bild aller Daten, Nutzer, Schnittstellen und abhängigen Prozesse
⚠ Diese Stufe wird am häufigsten unterschätzt. Eine unvollständige Inventarisierung ist die Ursache von 80% aller Datenverluste bei Legacy-Abschaltungen.
Zeitrahmen: 1–2 Wochen
Ziel: Klare Entscheidung für jede Datenkategorie: migrieren, archivieren oder löschen
⚠ Archivierte Daten müssen in einem Format vorliegen, das in 15 Jahren noch lesbar ist. Proprietäre Exportformate sind kein auditfähiges Archivformat.
Zeitrahmen: 4–16 Wochen
Ziel: Alle Daten sind im Nachfolgesystem verfügbar oder normkonform archiviert
⚠ Kein Produktivbetrieb der Migration ohne Testmigration. Ein Fehler in der Produktivmigration ist schwieriger zu korrigieren als eine sorgfältige Testvorbereitung.
Zeitrahmen: 4–8 Wochen
Ziel: Bestätigung, dass das Nachfolgesystem alle Aufgaben des Legacy-Systems vollständig übernimmt
⚠ Parallelbetrieb ohne Enddatum ist kein Parallelbetrieb – es ist das Legacy-System mit einem neuen Nachbarn. Das Enddatum muss vor Beginn der Parallelphase festgelegt sein.
Zeitrahmen: 1 Woche + 30 Tage Monitoring
Ziel: Legacy-System ist abgeschaltet, alle Nachweise sind dokumentiert, Betrieb läuft ausschließlich auf dem Nachfolgesystem
Die größte inhaltliche Herausforderung bei der Legacy-Abschaltung ist die Entscheidung: Welche Daten werden ins Nachfolgesystem migriert – und welche werden archiviert? Diese Entscheidung ist nicht nur technisch, sondern auch operativ und rechtlich relevant.
|
Datenkategorie |
Inhalt |
Ziel der Migration |
Priorität |
|---|---|---|---|
|
Operative Stammdaten |
Artikelnummern, Materialdaten, Werkzeugdaten, Stationsparameter, Prüfpläne |
Vollständige Migration ins Nachfolgesystem |
Sehr hoch – vor Go-Live |
|
Aktive Transaktionsdaten |
Offene Fertigungsaufträge, laufende Chargen, aktive Prüfvorgänge |
Vollständige Migration – kein Abschalten während laufender Vorgänge |
Sehr hoch – zeitkritisch |
|
Historische Prozessdaten |
Abgeschlossene Chargenprotokolle, Prozessparameter vergangener Fertigungsaufträge |
Migration der letzten 2–3 Jahre ins Nachfolgesystem, Rest archivieren |
Hoch |
|
Compliance-relevante Qualitätsdaten |
Prüfergebnisse, Freigabeentscheidungen, Reklamationsdaten, Audit-Logs |
Auditfähige Langzeitarchivierung für mind. 15 Jahre (IATF 16949) |
Sehr hoch – rechtlich zwingend |
|
Benutzer- und Berechtigungsdaten |
Benutzerkonten, Zugriffsrechte, Bearbeitungshistorien |
Berechtigungskonzept im Nachfolgesystem neu aufbauen, Historien archivieren |
Mittel |
|
Konfigurationsdaten |
Systemeinstellungen, Alarmgrenzen, Kalibrierungsparameter |
Sorgfältig prüfen, ob Übernahme sinnvoll oder Neukonfiguration besser |
Mittel – kritisch bei Messtechnik |
'Archiviert' bedeutet in der Compliance-Logik nicht 'irgendwo gespeichert'. Es bedeutet: abrufbar, lesbar, manipulationssicher und mit Zeitstempel nachweisbar – für einen Auditoren oder ein Gericht, der das System, aus dem die Daten stammen, nicht mehr kennt.
Offenes Format: Kein proprietäres Binärformat, das nur mit der originalen Software lesbar ist. Empfohlen: PDF/A (für Berichte), CSV mit Schemadokumentation (für Rohdaten), XML mit XSD-Validierung.
Vollständigkeit: Das Archiv muss die Daten UND die Metadaten enthalten: Zeitstempel, Ursprungssystem, Exportzeitpunkt, verantwortliche Person.
Integrität: Prüfsummen (SHA-256 oder besser) für alle Archivdateien, damit nachträgliche Manipulation erkennbar ist.
Abrufbarkeit: Das Archiv muss so strukturiert sein, dass ein Auditor ohne IT-Kenntnisse gezielt Daten zu einem spezifischen Teil oder einer Charge finden kann.
Zeitstabilität: Das Archivformat muss in 15 Jahren noch lesbar sein. Proprietäre Software-Formate und Office-Dokumente älterer Versionen erfüllen diese Anforderung oft nicht.
Das Legacy-System ist abgeschaltet. Die Daten sind archiviert. Damit beginnt, was viele vergessen: Die Aufbewahrungspflichten laufen weiter. Die Pflicht zur Abrufbarkeit läuft weiter. Die Haftung für die Integrität der archivierten Daten läuft weiter.
|
Norm / Regelwerk |
Pflicht nach Systemabschaltung |
Aufbewahrungsfrist |
Anforderung an das Archiv |
|---|---|---|---|
|
IATF 16949:2016 |
Qualitätsdaten (Prüfergebnisse, Chargenprotokolle, Freigaben) müssen abrufbar bleiben |
Mind. 15 Jahre nach letzter Lieferung (je nach OEM-Anforderung länger) |
Abrufbar, lesbar, manipulationssicher |
|
ISO 9001:2015 |
Aufzeichnungen müssen ihrer Zweckbestimmung entsprechend aufbewahrt werden |
Je nach vertraglicher Vereinbarung und Produkthaftungsanforderungen |
Strukturiert und nachvollziehbar abrufbar |
|
EU-Produkthaftungsrichtlinie 2024 |
Produktionsdaten als Entlastungsbeweis müssen vorhanden sein |
Bis zu 25 Jahre für latente Schäden |
Bauteilgenaue Zuordnung muss rekonstruierbar sein |
|
DSGVO |
Personenbezogene Daten (Nutzer-IDs, Werker-Protokolle) unterliegen Löschpflichten |
Max. Aufbewahrung entsprechend ursprünglichem Verarbeitungszweck |
Dokumentierte Löschung mit Nachweis |
|
HGB / GoBS |
Kaufmännische Unterlagen und Buchungsdaten (in integrierten Systemen) |
10 Jahre |
Unveränderbar, jederzeit lesbar, maschinell auswertbar |
Kritisch: Viele Unternehmen verlieren im Zuge einer Legacy-Abschaltung und einer ERP-Migration ihre historischen Qualitätsdaten, weil die Datenmigration nur die 'aktiven' Daten umfasst. IATF-Auditoren wissen das – und fragen gezielt nach Dokumenten aus der Zeit vor der Migration.
Wenn wir in eine Produktion kommen, die gerade ein System abgelöst hat, ist die erste Frage immer: Können Sie mir die Bauteilakte für ein Auslieferungslos aus dem Jahr vor der Migration zeigen? Die Antwort auf diese Frage sagt uns alles darüber, wie die Migration vorbereitet war.
— Amadeus Chief Technology Evangelist, CSP Intelligence GmbH
Diese fünf Fehler begegnen uns in der Praxis am häufigsten. Keiner davon ist unvermeidlich – alle haben eine strukturelle Ursache, die mit dem 5-Stufen-Plan adressiert wird.
Das Migrationsprojekt startet, ohne dass jemand weiß, was wirklich im Legacy-System steckt. 'Wir haben die wichtigsten Daten rübergezogen' – aber was 'wichtig' bedeutet, hat niemand systematisch ermittelt. Ergebnis: Daten fehlen im Nachfolgesystem, und das fällt erst beim ersten Audit oder beim ersten Rückruf auf.
Vermeidung: Stufe 1 des 5-Stufen-Plans ist nicht optional. Die Inventarisierung muss vollständig sein, bevor die erste Migrationsentscheidung getroffen wird.
Die historischen Daten werden als Datenbankdump im Format des Legacy-Systems archiviert – oder als proprietärer Binärexport, den nur die originale Software lesen kann. In 10 Jahren ist weder die Software noch jemand, der sie bedienen kann, noch verfügbar.
Vermeidung: Ausschließlich offene, langzeitstabile Formate für die Archivierung verwenden. Jedes Archivdokument muss ohne Spezialsoftware lesbar sein.
Das Nachfolgesystem ist eingeführt, aber das Legacy-System läuft 'zur Sicherheit' weiter. Es gibt kein Enddatum. Ein Jahr später ist das Legacy-System immer noch aktiv – weil es sich 'noch nicht richtig anfühlt', es abzuschalten. Das Ergebnis: zwei Systeme, zwei Datenstände, zunehmende Konflikte.
Vermeidung: Das Enddatum der Parallelphase wird in Stufe 4 vor Beginn festgelegt und ist verbindlich. Verlängerungen nur mit schriftlicher Freigabe des Projektverantwortlichen.
Die IT meldet: Migration abgeschlossen, alle Daten übertragen. Aber die Produktionsleitung oder das Qualitätsteam hat die migrierten Daten nie inhaltlich geprüft. Beim ersten Audit zeigt sich: Prüfpläne fehlen, Chargenhistorien sind unvollständig, Referenzdaten stimmen nicht.
Vermeidung: Jede Datenkategorie braucht eine fachseitige Abnahme – nicht nur eine technische Vollständigkeitsprüfung. Die Qualität der migrierten Daten prüft die Fachabteilung, nicht die IT.
Das CRM, das ERP oder das Reporting-System bezieht Daten aus dem Legacy-System – und niemand hat es auf der Inventarisierungsliste. Nach der Abschaltung liefert das ERP keine Qualitätsdaten mehr, das Reporting zeigt Lücken, und der Vertrieb fragt, warum keine Prüfzertifikate mehr erzeugt werden.
Vermeidung: In Stufe 1 werden alle ausgehenden Schnittstellen inventarisiert – nicht nur die Schnittstellen, die dokumentiert sind, sondern auch die, die nur 'irgendwie funktionieren'.
|
CHECKLISTE Vor dem Go-Live: Abnahme-Checkliste Legacy-Abschaltung ☐ Alle Datenkategorien aus der Inventarisierung sind migriert oder archiviert ☐ Fachseitige Abnahme für jede Datenkategorie liegt schriftlich vor ☐ Alle Schnittstellen sind auf das Nachfolgesystem umgestellt und getestet ☐ Compliance-relevante Daten sind in auditfähigem Format archiviert ☐ Aufbewahrungsfristen je Datenkategorie sind dokumentiert ☐ DSGVO-Löschpflichten für personenbezogene Daten sind erfüllt ☐ Kein aktiver Nutzer greift noch schreibend auf das Legacy-System zu ☐ Finales Backup des Legacy-Systems ist erstellt und geprüft ☐ Enddatum der Parallelphase wurde eingehalten oder schriftlich freigegeben ☐ Rollback-Szenario wurde geprüft und ist nicht mehr notwendig ☐ Abschlussprotokoll ist vollständig ausgefüllt und freigegeben ☐ Hardware- und Lizenzdekommissionierung ist eingeleitet |
Die häufigste Begründung für den Nicht-Abschalte-Beschluss ist die Migrationskosten-Angst. Eine geplante Migration kostet Geld. Was selten gerechnet wird: Was kostet der Weiterbetrieb des Legacy-Systems jedes Jahr?
|
Szenario |
Kosten Migration |
Kosten 5 Jahre Weiterbetrieb |
Kosten Ungeplantem Ausfall |
Entscheidung |
|---|---|---|---|---|
|
MES-Legacy-System, 200 MA, kritische Risikoklasse |
80.000–150.000 € (einmalig) |
75.000–175.000 € (kumuliert) |
150.000–500.000 € (Produktionsausfall, Ransomware) |
Migration rechnet sich ab Jahr 2–3 |
|
QMS-Legacy-System, 50 MA, hohe Risikoklasse |
30.000–70.000 € (einmalig) |
40.000–80.000 € (kumuliert) |
50.000–200.000 € (Audit-Befund, Datenverlust) |
Migration rechnet sich ab Jahr 1–2 |
|
Proprietäre Datenerfassung, 1 Linie, mittlere Risikoklasse |
15.000–40.000 € (einmalig) |
15.000–35.000 € (kumuliert) |
30.000–100.000 € (Linienstillstand bei Ausfall) |
Break-even nach 12–18 Monaten |
Hinweis: Diese Zahlen sind Orientierungswerte auf Basis typischer Projektkosten in der Fertigungsindustrie. Der tatsächliche ROI hängt von Systemkomplexität, Datenmenge und vorhandener IT-Infrastruktur ab.