Legacy-Systeme: Veraltete IT als strategisches Risiko

62 % der Unternehmen stufen heute Teile ihrer geschäftskritischen Anwendungen als veraltet ein, da sie aktuellen Anforderungen nicht mehr gerecht werden und dringend modernisiert werden müssen. Dies geht aus der Lünendonk-Studie „IT-Modernisierung zwischen Legacy, Cloud und KI“ (2025) hervor.¹
Was heute scheinbar zuverlässig läuft, entpuppt sich bei näherer Betrachtung oft als Kostenfalle, Sicherheitslücke und Innovationsbremse. Proprietäre Eigenentwicklungen, fehlende Wartung und veraltete Schnittstellen erschweren die Integration moderner Technologien wie Cloud, Automatisierung und KI. Gleichzeitig steigen die regulatorischen Anforderungen, beispielsweise durch den Digital Operational Resilience Act (DORA) oder verschärfte Datenschutzvorgaben.
Dieser Beitrag zeigt, warum Unternehmen ihre IT-Altlasten nicht länger ignorieren sollten und wie eine strukturierte Modernisierung zum Erfolg führen kann.

Als Legacy-Systeme gelten IT-Anwendungen oder Infrastrukturen, die trotz ihres Alters weiterhin geschäftskritische Aufgaben erfüllen, sich aber nur schwer an neue Anforderungen anpassen lassen. Sie sind über viele Jahre oder Jahrzehnte gewachsen mit entsprechenden Konsequenzen.

Kurz gesagt sind Legacy-Systeme technische Altlasten, die im Tagesgeschäft zwar funktionieren, aber jede Neuerung erschweren und ein erhebliches Risiko darstellen.

Auch im Jahr 2025 verlassen sich noch rund 70 % der Banken weltweit auf Legacy-Großrechner.² Diese Mainframes verarbeiten zwar täglich Millionen Transaktionen zuverlässig, sind aber nicht mit modernen Schnittstellen kompatibel und verursachen enorme Betriebskosten. Allein die Wartung bestehender Systeme verschlingt in Finanzinstituten bis zu 75 % des IT-Budgets, wodurch Innovationen stark ausgebremst werden.³ Zudem basieren viele Kernbankensysteme weiterhin auf COBOL-Code aus den 1960er Jahren, ein technologischer Anachronismus, der Flexibilität und Tempo im digitalen Finanzgeschäft bremst.²

Die ERP- und CRM-Lösungen vieler Fertigungsbetriebe stammen aus den 1990er- oder frühen 2000er-Jahren und wurden seitdem immer wieder individuell angepasst. Das Resultat sind hochkomplexe Gebilde, die moderne Digitalisierungsinitiativen ausbremsen. So nutzen noch 74 % der Industrie- und Ingenieursunternehmen Legacy-Software oder Tabellen für zentrale Abläufe, was die Einführung neuer Technologien wie KI-Services oder Cloud-Plattformen nahezu unmöglich macht.

Über Jahre „organisch gewachsene“ Anwendungen sind oft das Ergebnis unzähliger Erweiterungen, die von verschiedenen Entwicklerteams durchgeführt wurden. Oft fehlt eine aktuelle Dokumentation und nur noch wenige Mitarbeitende wissen, wie das System genau funktioniert, wenn überhaupt. In vielen Unternehmen gibt es pro Legacy-Anwendung nur noch ein bis zwei Personen, die sie vollständig verstehen.³ Dieser Know-how-Flaschenhals ist riskant: Geht einer der Experten, steht man vor einem schwer wartbaren Black-Box-System.

Veraltete IT-Systeme sind ein erhebliches Einfallstor für Cyberangriffe. Da für Legacy-Software in der Regel keine aktuellen Sicherheitsupdates mehr bereitgestellt werden, bleiben bekannte Schwachstellen dauerhaft bestehen, die von Angreifern jederzeit ausgenutzt werden können. Studien zeigen, dass fast die Hälfte der aktiv ausgenutzten Schwachstellen in Unternehmen auf nicht unterstützte Altsoftware zurückgeht.⁵ Laut einer IBM-Studie liegen die Durchschnittskosten einer Datenpanne heute bei über 4,4 Millionen US-Dollar und veraltete Infrastrukturen treiben diese Kosten nachweislich in die Höhe.⁶

Neben der IT-Sicherheit leidet auch die Compliance. Systeme, die nicht mehr gepflegt werden, verstoßen schnell gegen aktuelle Datenschutz- oder Branchenstandards. Laut Analysen sind Unternehmen mit Legacy-IT 40 % häufiger von Compliance-Verstößen betroffen.³ Insbesondere im streng regulierten Finanzsektor ist dies kritisch, denn seit Januar 2025 gilt hier der Digital Operational Resilience Act (DORA). DORA definiert Legacy-Systeme ausdrücklich als ICT-Systeme am Ende ihres Lebenszyklus, die nicht mehr aktualisierbar sind, aber noch kritische Funktionen erfüllen. Finanzunternehmen müssen jedes dieser Altsysteme identifizieren und es regelmäßig einer ICT-Risikoanalyse unterziehen, um Sicherheitslücken zu bewerten und zu beheben. Wer das versäumt, riskiert empfindliche Sanktionen.⁷

Starre Legacy-Anwendungen verleiten Fachabteilungen dazu, ohne das Wissen der IT-Abteilung eigene Software-Lösungen einzuführen, beispielsweise Cloud-Speicher oder selbst beschaffte SaaS-Tools. Dieses Umgehen der offiziellen IT führt zu einem Wildwuchs, der weder zentral gemanagt noch abgesichert ist. Schätzungen zufolge entfallen in großen Unternehmen bereits 30–40 % der IT-Ausgaben auf solche ungenehmigten Lösungen.⁸ Die Folgen sind eine erhöhte Gefahr von Datenverlust, Sicherheitslücken und unentdeckten Compliance-Verstößen durch Systeme, die außerhalb des Blickfelds der IT betrieben werden.

Legacy-Systeme verursachen signifikante laufende Kosten, die auf den ersten Blick oft verborgen bleiben. Zu den Kostentreibern zählen ein steigender Wartungsaufwand, teure Spezialisten oder externe Dienstleister für den Betrieb, Supportverträge zu Premium-Konditionen, weil der Standard-Support ausgelaufen ist, sowie ineffiziente Prozesse durch fehlende Automatisierung. Viele Unternehmen unterschätzen diese Kosten. So zeigt eine aktuelle Erhebung, dass fast zwei Drittel der Firmen jährlich über zwei Millionen US-Dollar allein für die Wartung und Updates ihrer Legacy-Systeme aufwenden.⁹

In drei von vier Unternehmen verbringen die IT-Teams außerdem jede Woche zwischen fünf und 25 Arbeitsstunden allein mit dem Einspielen von Patches und Updates für Altsysteme.¹⁰ Das bindet wertvolle personelle Ressourcen. Außerdem entsteht eine gefährliche Anbietersperre (Vendor Lock-in): Unternehmen sind von einzelnen Herstellern oder den letzten internen Experten abhängig. Fällt dieser Support weg, drohen unkalkulierbare Ausfälle. Diese Abhängigkeiten machen unflexibel: Notwendige Änderungen oder Upgrades werden zum riskanten Kraftakt, weil ein kleines Team den gesamten Betrieb „am Laufen halten“ muss.

Am gravierendsten ist möglicherweise, dass eine veraltete IT-Landschaft die Innovationsfähigkeit des Unternehmens bremst. Legacy-Architekturen sind in der Regel nicht mit modernen Technologien kompatibel. So lassen sich Cloud-Services, offene Programmierschnittstellen (APIs), Automatisierungstools oder KI-Anwendungen nur schwer integrieren, wenn überhaupt. In einer aktuellen Befragung nannten 41 % der IT-Profis die mangelnde Kompatibilität mit modernen Tools als eines der größten Legacy-Probleme.¹¹ Wertvolle Daten bleiben in isolierten Altsystemen gefangen, statt für Big Data Analytics oder KI genutzt werden zu können. Die Konsequenz: Während Wettbewerber neue digitale Produkte, mobile Apps oder KI-gestützte Services zügig auf den Markt bringen, kämpft das eigene Unternehmen mit technischen Integrationsthemen. Innovationsprojekte verzögern sich oder scheitern, weil die Alt-IT sie nicht zulässt. So verliert man schleichend den Anschluss: Eine Gefahr, die sich zwar schwer in Zahlen messen lässt, aber real Marktanteile und Wachstum kostet.

Dieser Zustand bremst nicht nur die Innovationsgeschwindigkeit aus, sondern belastet auch die Finanzen: 60–80 % des IT-Budgets werden heute für den Erhalt alter Systeme benötigt.³ Unternehmen stehen daher vor der strategischen Frage, wie sie diese Mittel wieder in Innovation und Wachstum umlenken können.

Trotz offensichtlicher Schwächen zögern viele Unternehmen, ihre Legacy-IT abzulösen. Oft greift die Denkweise: „Never change a running system.“ Eine aktuelle Umfrage bestätigt dieses Zögern: Für 50 % der IT-Teams ist der Hauptgrund, eine Modernisierung aufzuschieben, dass das bestehende System noch funktioniert.¹¹ Kurzfristige Bequemlichkeit und die Furcht vor dem Aufwand überlagern den langfristigen Handlungsdruck. Doch warum ist diese Haltung trügerisch? Zwei zentrale Denkfallen halten viele Entscheider zurück.

Über Jahre gewachsene Altsysteme werden in Unternehmen oft als unantastbare Black Box betrachtet. Niemand kann mit Sicherheit überblicken, welche verborgenen Abhängigkeiten und Funktionen in ihnen stecken. Eine Ablösung wirkt daher riskant, da man befürchtet, mit einer Änderung „etwas kaputtzumachen, das aktuell noch läuft“. Zudem fehlen oft geeignete Testumgebungen, um Änderungen gefahrlos auszuprobieren. Mögliche Ausfälle sind ein Grund, warum IT-Entscheider eine Modernisierung scheuen. So verständlich diese Vorsicht ist, so gefährlich ist sie auf lange Sicht. Die Risiken, weiterzumachen wie bisher, werden jedes Jahr größer und überholen irgendwann den Aufwand für die Migration.

Vielen Verantwortlichen erscheinen die Investitionskosten eines Modernisierungsprojekts auf den ersten Blick zu hoch, insbesondere in Zeiten knapper Budgets. Tatsächlich kann ein größeres Legacy-Upgrade im Durchschnitt rund 2,7 Millionen US-Dollar kosten.¹⁰ Doch dieses Argument greift zu kurz. Denn die laufenden Betriebskosten der Altsysteme summieren sich Jahr für Jahr und übersteigen die einmaligen Migrationskosten oft schon nach wenigen Jahren.³ Viele dieser Kosten bleiben versteckt, zum Beispiel Verluste durch ungeplante Ausfälle, Ineffizienzen im Tagesgeschäft oder die hohe Fehleranfälligkeit veralteter Prozesse.

Hinzu kommt der wachsende Berg technischer Schulden: Experten schätzen, dass unmodernisierte Legacy-Systeme jährlich rund 20 % „Schulden“ verursachen.³ Der Modernisierungsaufwand steigt also mit jedem Jahr Wartezeit deutlich an. Während man wartet, verliert das Unternehmen durch verzögerte Innovationsprojekte potenzielle Umsätze, ohne dass dies direkt sichtbar wird. Fazit: Wer nur auf die kurzfristigen Kosten schaut („Wir sparen heute das Migrationsbudget.“), riskiert langfristig wesentlich höhere Aufwendungen und Schäden.

So anspruchsvoll die Ablösung historisch gewachsener IT-Systeme auch ist, so groß sind die Chancen einer strategischen Modernisierung. Die Erneuerung der IT-Landschaft bietet handfeste Vorteile in mehreren Kategorien. Diese Anstrengung scheint sich zu lohnen: Über 95 % der Unternehmen sind mit den Ergebnissen ihrer Modernisierungsprojekte zufrieden oder sehr zufrieden.¹²

Durch die Migration modernisierter Anwendungen in performante Cloud-Umgebungen wird die Skalierbarkeit erhöht, ein ortsunabhängiger Zugriff ermöglicht und infrastrukturelle Kosten reduziert. Monolithische Altsysteme lassen sich in modulare Microservices überführen. Dadurch können einzelne Funktionen flexibel erweitert oder ausgetauscht werden, ohne das Gesamtsystem zu gefährden.

Zudem schaffen aktuelle, API-fähige Architekturen die Grundlage für Automatisierung und KI-Integration. Routineaufgaben lassen sich durch neue Tools effizient automatisieren und Daten aus ehemals isolierten Systemen können zentral ausgewertet werden. Die IT wird somit insgesamt agiler und innovativer.

Eine Ablösung veralteter Strukturen senkt die laufenden Wartungs- und Betriebskosten deutlich, sodass frei werdende Mittel in zukunftsweisende Innovationen fließen können. Neue digitale Produkte oder Funktionen können auf einer modernen Plattform viel schneller entwickelt und ausgerollt werden. Das verkürzt die Time-to-Market und verschafft einen Wettbewerbsvorsprung.
Branchen-Benchmarks zeigen, dass Modernisierungsprojekte im Bankenwesen die IT-Betriebskosten um 30–40 % reduzieren und neue digitale Angebote 50 % schneller auf den Markt bringen können.² Gleichzeitig werden personelle Ressourcen frei. Anstatt ständig an alten Systemen Schadensbegrenzung zu betreiben, kann sich das IT-Team auf strategische Projekte konzentrieren.

Unternehmen, die ihre Systeme auf aktuelle Standards bringen, verfügen über eine stabile und skalierbare Basis für Wachstum. Zudem können sie neue regulatorische Anforderungen (wie z. B. DORA oder DSGVO-Updates) wesentlich einfacher und sicherer erfüllen.

Darüber hinaus hat die Technologiebasis auch Einfluss auf das Employer Branding. Veraltete Systeme wirken auf IT-Fachkräfte unattraktiv, während moderne Cloud-, Daten- oder KI-Projekte Talente anziehen. Tatsächlich ziehen 58 % der Entwickler in Erwägung, ihren Arbeitgeber wegen veralteter Technologiestacks zu verlassen.² Ein modernes IT-Umfeld erhöht also die Chancen, Know-how-Träger zu gewinnen und zu halten.

Schließlich bieten aktuelle Systeme eine bessere Datenverfügbarkeit und Analytik. Echtzeit-Reporting, KI-gestützte Auswertungen und aussagekräftige Dashboards werden erst möglich, wenn Daten nicht mehr in Legacy-Silos feststecken. Die Geschäftsführung profitiert von schnelleren und fundierteren Entscheidungsgrundlagen in einer IT-gestützten Unternehmenssteuerung.

In vielen Unternehmen bergen Legacy-Systeme noch unsichtbare Risiken. Sie wirken stabil und vertraut, doch in Wahrheit sind sie kostspielig, unsicher und innovationsfeindlich.

Je länger gewartet wird, desto größer wird der Abstand zu agileren Wettbewerbern. Die Modernisierung dieser Altsysteme ist ein strategischer Transformationsprozess, der für die Weiterentwicklung des Unternehmens essenziell ist. Er beginnt mit der bewussten Entscheidung der Verantwortlichen, das Thema aktiv anzugehen, sowie mit einer systematischen Bestandsaufnahme der IT-Landschaft. Wer heute die Weichen stellt, wird morgen voraus sein. Je früher Unternehmen ihre Altlasten modernisieren, desto schneller profitieren sie von reduzierten Kosten, einer schnelleren Digitalisierung, Attraktivität für Talente und besseren Entscheidungsdaten.