

Auf einen Blick
Kunde | Ein führender Dienstleister im Live-Sport- und Medienproduktionsumfeld (DACH) mit kundenindividuellen Java-ERP-Anwendungen |
Umfang | Zwei geschäftskritische Java-Anwendungen als kundenindividuelles ERP-Pendant (Planung & Disposition + Buchung, Asset- & Service-Orchestrierung) |
Analysierte Codebasis | Über 250.000 Zeilen Java in rund 1.600 Quelldateien |
Methode | 7P Legacy Fast Check: Scan. Score. Strategize. |
Werkzeuge | 26 automatisierte Analyse-Tools, KI-Pipeline, zwei Experten-Walkthroughs je System |
Time-to-Verdict | Scans in Stunden; vollständiges Doppel-Assessment innerhalb weniger Wochen ausgeliefert |
Lieferobjekte | Bewerteter Ist-Zustandsbericht, priorisierte Top-10-Liste je System, Strategic Evolution Roadmap, Service-Übernahme-Checkliste |
Das Unternehmen
Das Unternehmen ist ein spezialisierter Dienstleister im professionellen Umfeld der Live-Sport- und Medienproduktion. Es verantwortet zahlreiche zeitkritische Live-Produktionen pro Jahr und arbeitet dabei eng mit Sportveranstaltern, Rechteinhabern und Produktionspartnern zusammen. Die Organisation ist intern schlank aufgestellt, steuert jedoch ein großes Netzwerk aus festen und freien Mitarbeitenden sowie technischen Partnern. Die geschäftliche Kritikalität ergibt sich aus der hohen Taktung fester Veranstaltungstermine und der geringen Fehlertoleranz im Live-Betrieb.
Über mehr als ein Jahrzehnt sind zwei eigenentwickelte Java-Anwendungen zum De-facto-ERP des Geschäfts gewachsen. Die erste übernimmt operative Planung und Ressourcendisposition. Sie legt fest, welche Kapazitäten wann und wo eingesetzt werden. Die zweite koordiniert Buchungen, Asset-Management und die angrenzenden Geschäftsservices wie Zuteilungen, Verträge, Abrechnungsinput und den täglichen Workflow. Beide Systeme laufen seit Jahren stabil. Ein stabiler Betrieb bedeutet jedoch nicht automatisch, dass die technische Basis für die nächsten Jahre tragfähig ist.
Die Ausgangssituation
Beide Anwendungen haben ihren Zweck so lange zuverlässig erfüllt, dass das technische Fundament für die meisten Beteiligten zur Blackbox geworden ist. Der Plattform-Stack (WildFly 26, JSF, EJB, Hibernate 5) läuft seit Anfang 2023 ohne Herstellersupport. Das Wissen ruhte auf wenigen Schultern. Neue regulatorische Anforderungen, neue Security-Erwartungen und die eigenen Modernisierungsambitionen des Kunden trafen auf Systeme, deren Grenzen nicht mehr messbar waren.
Bevor der Kunde ein Budget für eine Modernisierungsrichtung freigeben konnte, brauchte er Klarheit über drei Dinge:
- Transparenz
Eine faktenbasierte Standortbestimmung zu Wartbarkeit, Sicherheitslage und Technologie-Lücke, die auf Messwerten und Codebefunden basiert. - Optionen
Eine belastbare Auswahl an Evolutionspfaden mit ausformulierten Trade-offs: Weiterbetrieb, Stabilisierung, Modernisierung, Replatforming, jeweils mit konkreten Aufwands- und Risikoeinschätzungen. - Einen Übernahmepfad
Die Gewissheit, dass ein externer Partner bei Bedarf die operative Verantwortung übernehmen kann, ohne monatelange Discovery.
Genau diese Lücke schließt der Legacy Fast Check von 7P.
Die Lösung
7P hat dieselbe dreistufige Methode parallel auf beide Systeme angewendet, damit die Ergebnisse direkt vergleichbar sind.
Das Ergebnis
Zwei Systeme gingen als Blackbox in den Fast Check. Am Ende stand für beide eine belastbare Einschätzung, ergänzt um priorisierte Maßnahmen. Damit ließ sich der Handlungsbedarf erstmals konkret benennen. Der Fast Check förderte die Risikokategorien zutage, mit denen jede IT-Leitung eines langlebigen Java-Enterprise-Systems rechnen muss. Konkrete Exploit-Details sind hier generalisiert, die Schweregrade entsprechen denen, die dem Kunden berichtet wurden.
Anwendung A:
Operative Planung & Ressourcendisposition
- Automatisierte Testabdeckung im einstelligen Bereich, bei der jede Änderung faktisch ungeprüft in Produktion geht.
- Nicht gepatchte Drittabhängigkeiten mit öffentlich bekannten kritischen CVEs. Mehrere davon in weit verbreiteten Java-Komponenten, die aktiv angegriffen werden.
- Eingebettete Geheimnisse und Credentials im Quellcode, die bereits durch einen Repo-Zugriff aufgedeckt werden, könnten Produktivsysteme öffnen.
- Credential-Speicherung weit unterhalb aktueller Sicherheitsstandards. Ein einzelner Datenbankzugriff würde die gesamte Nutzerbasis in einem Schritt offenlegen.
- Zweistellige Anzahl von Bibliotheken mit zwei oder mehr veralteten Hauptversionen, für die es keinen unterstützten Upgrade-Pfad innerhalb der aktuellen Plattform gibt.
- Der Applikationsserver erhält seit Anfang 2023 keinen Herstellersupport mehr. Ein Plattformwechsel ist für jede zukünftige Sicherheitslage unausweichlich.
- Architektur-Erosion im großen Maßstab durch überdimensionierte Klassen, strukturelle Regelverletzungen und stark gekoppelte Pakete, die jede Änderung bremsen.
- Code-Qualitätsdichte deutlich über den akzeptierten Industriestandards.
- Es gibt kein strukturiertes Datenbank-Migrationswerkzeug, sodass Schema-Änderungen nicht nachvollziehbar sind und es keinen definierten Rollback-Pfad gibt.
Anwendung B:
Buchung, Asset- & Service-Orchestrierung
- Das gleiche Muster der Credential-Speicher-Schwäche wie in Anwendung A wurde unabhängig nachgewiesen. Das bestätigt keine einzelnen Befunde, aber die Methode.
- Mehrere mitgelieferte Bibliotheken mit öffentlich bekannten CVEs in weit verbreiteten Java-Komponenten sind der lange Schatten einer abgekündigten Laufzeitumgebung.
- In Konfigurationsdateien eingebettete Credentials im Klartext.
- Lücken in der Web-Grundhärtung, wie die fehlende Erzwingung sicherer Transportprotokolle, fehlende Standard-Sicherheitsheader und unzureichende Cross-Site-Schutzmaßnahmen.
- Zu permissive Transaktionsisolationseinstellungen führen zu „Dirty Reads“ in geschäftskritischen Flows.
- Kein strukturiertes Datenbank-Migrationswerkzeug, identisch zu Anwendung A.
Was der Kunde erhalten hat
Bewerteter Ist-Zustandsbericht | Wartbarkeit, Sicherheitslage, Tech-Stack-Verdikt und DevOps-Reifegrad je System. Jeder Befund ist quellenbasiert nachvollziehbar. |
Top-10-Sofortmaßnahmen | Die zehn Befunde je System, die zuerst angegangen werden, priorisiert nach Wirkung und Aufwand. |
Strategic Evolution Roadmap | Fünf explizite Optionen (Weiterbetrieb → Stabilize → Strangler Fig / Lift & Shift / Full Rewrite) bewertet nach Aufwand, Risiko, Time-to-Value und Langfristkosten. |
Service-Übernahme-Checkliste | Strukturiertes Übergabedokument für Betrieb, CI/CD, Runbooks und Team-Transfer, das sofort umsetzbar ist. |
Interaktives Dashboard | 17 Seitentypen bilden eine zentrale Basis, die der Kunde intern navigieren, durchsuchen und präsentieren kann. |
Sie möchten dieses Ergebnis für Ihr System?
Der Legacy Fast Check liefert eine belastbare Außensicht: strukturierte Scores, ein vollständiges Risk Register und priorisierte Handlungsempfehlungen. Handeln Sie jetzt.

Sie sehen gerade einen Platzhalterinhalt von Hubspot Embedded Content. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Hubspot Meetings. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen





