Zwei Legacy-Systeme bewertet, eine Dekaden-Entscheidung getroffen

Unser Kunde ist ein führender Dienstleister im Bereich der Live-Sport- und Medienproduktion und betreibt sein Geschäft auf Basis zweier geschäftskritischer Java-Anwendungen. Für seine Investitionsplanung in den kommenden Jahren benötigt er klare Antworten: Was steckt wirklich in diesen Systemen und was kostet ihr Weiterbetrieb? Im Rahmen eines „Legacy Fast Checks” hat 7P beide Systeme parallel analysiert und dem Management so eine fundierte Entscheidungsgrundlage geliefert.
Managed Legacy Service

Auf einen Blick

Kunde
Ein führender Dienstleister im Live-Sport- und Medienproduktionsumfeld (DACH) mit kundenindividuellen Java-ERP-Anwendungen
Umfang
Zwei geschäftskritische Java-Anwendungen als kundenindividuelles ERP-Pendant (Planung & Disposition + Buchung, Asset- & Service-Orchestrierung)
Analysierte Codebasis
Über 250.000 Zeilen Java in rund 1.600 Quelldateien
Methode
7P Legacy Fast Check: Scan. Score. Strategize.
Werkzeuge
26 automatisierte Analyse-Tools, KI-Pipeline, zwei Experten-Walkthroughs je System
Time-to-Verdict
Scans in Stunden; vollständiges Doppel-Assessment innerhalb weniger Wochen ausgeliefert
Lieferobjekte
Bewerteter Ist-Zustandsbericht, priorisierte Top-10-Liste je System, Strategic Evolution Roadmap, Service-Übernahme-Checkliste

Das Unternehmen

Das Unternehmen ist ein spezialisierter Dienstleister im professionellen Umfeld der Live-Sport- und Medienproduktion. Es verantwortet zahlreiche zeitkritische Live-Produktionen pro Jahr und arbeitet dabei eng mit Sportveranstaltern, Rechteinhabern und Produktionspartnern zusammen. Die Organisation ist intern schlank aufgestellt, steuert jedoch ein großes Netzwerk aus festen und freien Mitarbeitenden sowie technischen Partnern. Die geschäftliche Kritikalität ergibt sich aus der hohen Taktung fester Veranstaltungstermine und der geringen Fehlertoleranz im Live-Betrieb.

Über mehr als ein Jahrzehnt sind zwei eigenentwickelte Java-Anwendungen zum De-facto-ERP des Geschäfts gewachsen. Die erste übernimmt operative Planung und Ressourcendisposition. Sie legt fest, welche Kapazitäten wann und wo eingesetzt werden. Die zweite koordiniert Buchungen, Asset-Management und die angrenzenden Geschäftsservices wie Zuteilungen, Verträge, Abrechnungsinput und den täglichen Workflow. Beide Systeme laufen seit Jahren stabil. Ein stabiler Betrieb bedeutet jedoch nicht automatisch, dass die technische Basis für die nächsten Jahre tragfähig ist.

Die Ausgangssituation

Beide Anwendungen haben ihren Zweck so lange zuverlässig erfüllt, dass das technische Fundament für die meisten Beteiligten zur Blackbox geworden ist. Der Plattform-Stack (WildFly 26, JSF, EJB, Hibernate 5) läuft seit Anfang 2023 ohne Herstellersupport. Das Wissen ruhte auf wenigen Schultern. Neue regulatorische Anforderungen, neue Security-Erwartungen und die eigenen Modernisierungsambitionen des Kunden trafen auf Systeme, deren Grenzen nicht mehr messbar waren.

Bevor der Kunde ein Budget für eine Modernisierungsrichtung freigeben konnte, brauchte er Klarheit über drei Dinge:

  • Transparenz
    Eine faktenbasierte Standortbestimmung zu Wartbarkeit, Sicherheitslage und Technologie-Lücke, die auf Messwerten und Codebefunden basiert.
  • Optionen
    Eine belastbare Auswahl an Evolutionspfaden mit ausformulierten Trade-offs: Weiterbetrieb, Stabilisierung, Modernisierung, Replatforming, jeweils mit konkreten Aufwands- und Risikoeinschätzungen.
  • Einen Übernahmepfad
    Die Gewissheit, dass ein externer Partner bei Bedarf die operative Verantwortung übernehmen kann, ohne monatelange Discovery.

Genau diese Lücke schließt der Legacy Fast Check von 7P.

Die Lösung

7P hat dieselbe dreistufige Methode parallel auf beide Systeme angewendet, damit die Ergebnisse direkt vergleichbar sind.

Risikoregister mit fünf Kategorien

1. Scan: Vier Perspektiven, eine gemeinsame Faktenbasis

Jedes System wurde aus vier unabhängigen Blickwinkeln analysiert, damit kein einzelnes Tool, Modell oder menschliches Vorurteil das Urteil dominiert:

  • Klassische GitLab-Pipeline mit 26 Best-Practice-Java-Tools (Checkstyle, PMD, SpotBugs, FindSecBugs, OWASP Dependency-Check, Semgrep, Gitleaks, SBOM, License Audit, JaCoCo, ArchUnit, jQAssistant, CK Metrics, Maintainability Index, ShellCheck, WildFly Config Lint und mehr) in sechs CI-Stages.
  • KI-Pipeline für strukturelle, technische Schulden-, Technologie-Audit- und Performance-Analysen innerhalb des vereinbarten KI-Einsatzrahmens (kein Modelltraining auf Kundendaten).
  • Experten-Walkthrough mit erfahrenen 7P-Engineers, die Code und Konfiguration lesen, maschinelle Befunde validieren und die Makro-Risiken identifizieren, die das Tooling nicht erkennen kann.
  • Coding-Agent-Walkthrough, bei dem ein KI-Agent die Codebasis wie ein Entwickler durchläuft, Geschäftslogik zusammenfasst und versteckte Abhängigkeiten markiert.
Risikomatrix mit fünf markierten Punkten

2. Score: Einheitliche Bewertung über beide Systeme

Jeder Befund fließt in ein vereinheitlichtes Risk Register, bewertet nach (Impact × Severity) + Likelihood, in eine ISO/IEC 25010-Wartbarkeitsbewertung und in ein SQALE/SIG-Technical-Debt-Rating. Architektur, Dependency Freshness, Sicherheitslage, Testabdeckung und DevOps-Reifegrad werden mit einer einheitlichen Ampel über beide Systeme hinweg ausgewiesen.

Roadmap-Grafik mit Bewertungsdiagramm

3. Strategize: Aus Zahlen werden Entscheidungen

Das Ergebnis ist keine pauschale Empfehlung zur „Modernisierung“. Die Strategic Evolution Roadmap stellt fünf explizite Optionen gegenüber:

  1. Weiterbetrieb
  2. Stabilize & Maintain
  3. Strangler Fig
  4. Lift & Shift
  5. Full Rewrite

Jede Option wird nach Aufwand, Risiko, Time-to-Value und Langfristkosten bewertet. Ergänzt wird die Roadmap durch eine priorisierte Liste der zehn wichtigsten Sofortmaßnahmen je System sowie eine Checkliste der Service-Übernahme für den Fall, dass 7P den Betrieb übernimmt.

Sebastian Grundhöfer
Senior Solution Engineer
Stimme aus dem Projekt
“Die Systeme liefen zwar stabil, doch unter der Oberfläche sah das Risikobild ernüchternd aus. Was wir in wenigen Wochen automatisiert freigelegt haben, hätte manuell Monate gedauert. Dass wir dieselben Muster in beiden Anwendungen unabhängig voneinander nachgewiesen haben, hat das Ergebnis vor dem Vorstand belastbar gemacht.”

Das Ergebnis

Zwei Systeme gingen als Blackbox in den Fast Check. Am Ende stand für beide eine belastbare Einschätzung, ergänzt um priorisierte Maßnahmen. Damit ließ sich der Handlungsbedarf erstmals konkret benennen. Der Fast Check förderte die Risikokategorien zutage, mit denen jede IT-Leitung eines langlebigen Java-Enterprise-Systems rechnen muss. Konkrete Exploit-Details sind hier generalisiert, die Schweregrade entsprechen denen, die dem Kunden berichtet wurden.

 

Anwendung A:
Operative Planung & Ressourcendisposition

  • Automatisierte Testabdeckung im einstelligen Bereich, bei der jede Änderung faktisch ungeprüft in Produktion geht.
  • Nicht gepatchte Drittabhängigkeiten mit öffentlich bekannten kritischen CVEs. Mehrere davon in weit verbreiteten Java-Komponenten, die aktiv angegriffen werden.
  • Eingebettete Geheimnisse und Credentials im Quellcode, die bereits durch einen Repo-Zugriff aufgedeckt werden, könnten Produktivsysteme öffnen.
  • Credential-Speicherung weit unterhalb aktueller Sicherheitsstandards. Ein einzelner Datenbankzugriff würde die gesamte Nutzerbasis in einem Schritt offenlegen.
  • Zweistellige Anzahl von Bibliotheken mit zwei oder mehr veralteten Hauptversionen, für die es keinen unterstützten Upgrade-Pfad innerhalb der aktuellen Plattform gibt.
  • Der Applikationsserver erhält seit Anfang 2023 keinen Herstellersupport mehr. Ein Plattformwechsel ist für jede zukünftige Sicherheitslage unausweichlich.
  • Architektur-Erosion im großen Maßstab durch überdimensionierte Klassen, strukturelle Regelverletzungen und stark gekoppelte Pakete, die jede Änderung bremsen.
  • Code-Qualitätsdichte deutlich über den akzeptierten Industriestandards.
  • Es gibt kein strukturiertes Datenbank-Migrationswerkzeug, sodass Schema-Änderungen nicht nachvollziehbar sind und es keinen definierten Rollback-Pfad gibt.

Anwendung B:
Buchung, Asset- & Service-Orchestrierung

  • Das gleiche Muster der Credential-Speicher-Schwäche wie in Anwendung A wurde unabhängig nachgewiesen. Das bestätigt keine einzelnen Befunde, aber die Methode.
  • Mehrere mitgelieferte Bibliotheken mit öffentlich bekannten CVEs in weit verbreiteten Java-Komponenten sind der lange Schatten einer abgekündigten Laufzeitumgebung.
  • In Konfigurationsdateien eingebettete Credentials im Klartext.
  • Lücken in der Web-Grundhärtung, wie die fehlende Erzwingung sicherer Transportprotokolle, fehlende Standard-Sicherheitsheader und unzureichende Cross-Site-Schutzmaßnahmen.
  • Zu permissive Transaktionsisolationseinstellungen führen zu „Dirty Reads“ in geschäftskritischen Flows.
  • Kein strukturiertes Datenbank-Migrationswerkzeug, identisch zu Anwendung A.

Was der Kunde erhalten hat

Bewerteter Ist-Zustandsbericht
Wartbarkeit, Sicherheitslage, Tech-Stack-Verdikt und DevOps-Reifegrad je System. Jeder Befund ist quellenbasiert nachvollziehbar.
Top-10-Sofortmaßnahmen
Die zehn Befunde je System, die zuerst angegangen werden, priorisiert nach Wirkung und Aufwand.
Strategic Evolution Roadmap
Fünf explizite Optionen (Weiterbetrieb → Stabilize → Strangler Fig / Lift & Shift / Full Rewrite) bewertet nach Aufwand, Risiko, Time-to-Value und Langfristkosten.
Service-Übernahme-Checkliste
Strukturiertes Übergabedokument für Betrieb, CI/CD, Runbooks und Team-Transfer, das sofort umsetzbar ist.
Interaktives Dashboard
17 Seitentypen bilden eine zentrale Basis, die der Kunde intern navigieren, durchsuchen und präsentieren kann.
Managed Legacy Service Ablauf

Die Entscheidung, die der Kunde jetzt vertreten kann

Vor dem Fast Check bestand vor allem der Eindruck, dass die Systeme veraltet sind. Danach lag erstmals eine belastbare Einschätzung vor, die auf dem Code selbst basierte. Sie zeigte, wo die Probleme liegen und mit welchem Aufwand einschließlich der Kosten zu rechnen ist.

Sie möchten dieses Ergebnis für Ihr System?

Der Legacy Fast Check liefert eine belastbare Außensicht: strukturierte Scores, ein vollständiges Risk Register und priorisierte Handlungsempfehlungen. Handeln Sie jetzt.

Jetzt Legacy Fast Check anfragen
Ein Portrait unseres Ansprechpartners für Künstliche Intelligenz, Michael Hess.
Michael Heß
Area Manager Software Development