In einer Zeit, in der Cyberangriffe auf staatliche Institutionen und private Unternehmen längst zum digitalen Grundrauschen gehören, hat die US-amerikanische Cybersicherheitsbehörde CISA ein deutliches Signal gesetzt, das weit über die Grenzen der Vereinigten Staaten hinaus Resonanz findet. Die Anweisung an die dortigen Bundesbehörden, veraltete Netzwerkgeräte – sogenannte End-of-Life-Produkte – konsequent aus dem Betrieb zu nehmen oder zu ersetzen, markiert einen Wendepunkt im proaktiven Risikomanagement. Es geht dabei nicht nur um den Austausch alter Hardware, sondern um die Schließung von Einfallstoren, die von staatlich gelenkten Akteuren und organisierten Banden systematisch ausgenutzt werden. Edge-Devices wie Router, Firewalls und VPN-Konzentratoren stehen direkt an der vordersten Verteidigungslinie eines Netzwerks. Sobald diese Geräte vom Hersteller nicht mehr mit Sicherheitsupdates versorgt werden, verwandeln sie sich von einem Schutzwall in eine offene Flanke.

Diese Entwicklung ist auch für die IT-Sicherheitslandschaft in Deutschland relevant. Während die CISA-Richtlinie formell nur für US-Behörden gilt, ist die dahinterstehende Bedrohungslage identisch mit der Situation hierzulande. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt schon seit geraumer Zeit vor der Gefahr, die von ungepatchten Systemen ausgeht. In Deutschland wird dieser Aspekt durch das IT-Sicherheitsgesetz 2.0 und die Anforderungen an Kritische Infrastrukturen (KRITIS) flankiert. Doch auch in deutschen Unternehmen herrscht oft eine gefährliche Sorglosigkeit. Viele betreiben ihre Infrastruktur nach dem Prinzip der maximalen Laufzeit, was bei mechanischen Maschinen sinnvoll sein mag, in der vernetzten IT-Welt jedoch ein enormes Risiko darstellt. Ein Router, der seit zehn Jahren zuverlässig seinen Dienst verrichtet, aber seit drei Jahren keine Firmware-Updates mehr erhält, ist angesichts der heutigen Bedrohungslage faktisch nicht mehr tragbar.

Der Fokus der CISA auf Edge-Devices ist kein Zufall. Hackergruppen, darunter prominente Akteure wie die unter dem Namen Volt Typhoon bekannten Gruppierungen, haben es gezielt auf diese Geräte abgesehen, um sich dauerhaften Zugriff auf Netzwerke zu verschaffen, ohne auf klassische Phishing-Mails angewiesen zu sein. Auch für deutsche Unternehmen bedeutet dies, dass ein bloßes Vertrauen auf Antivirensoftware beim Endgerät nicht mehr ausreicht, wenn die Peripherie des Netzwerks kompromittiert ist. Wenn ein Edge-Gerät sein Lebensende erreicht hat, existieren bekannte Schwachstellen oft ohne jede Möglichkeit einer Fehlerbehebung. In der Fachsprache werden diese Lücken als Forever-Day-Vulnerabilities bezeichnet, da sie dauerhaft bestehen bleiben. Die Konsequenz für die hiesige IT-Strategie muss daher eine Abkehr von der reaktiven Wartung hin zu einem strategischen Lifecycle-Management sein.

In Deutschland gewinnt dieses Thema zusätzlich an Schärfe durch die europäische NIS-2-Richtlinie, die weitaus mehr Unternehmen als bisher dazu verpflichtet, ihre Cybersicherheit auf ein staatlich definiertes Mindestniveau zu heben. Die Nutzung veralteter Hardware könnte unter diesen neuen regulatorischen Rahmenbedingungen nicht nur als technisches Versäumnis, sondern als grobe Fahrlässigkeit gewertet werden, was empfindliche Bußgelder nach sich ziehen kann. Es reicht daher nicht mehr aus, Hardware erst dann zu ersetzen, wenn sie einen Defekt aufweist. Ein verantwortungsbewusstes IT-Management muss die End-of-Life-Daten aller kritischen Komponenten im Blick behalten und rechtzeitig Migrationspfade planen. Die aktuelle US-Direktive sollte somit als Weckruf für deutsche IT-Entscheider verstanden werden, die Inventarisierung ihrer Netzwerkrandbereiche zur Chefsache zu machen.

Letztlich zeigt der Vorstoß der CISA, dass Cybersicherheit kein statischer Zustand ist, sondern ein dynamischer Prozess, der die ständige Erneuerung der technologischen Basis erfordert. Den Austausch alter Geräte als lästige Kostenstelle zu betrachten, ist daher eine riskante Fehleinschätzung. Vielmehr handelt es sich um eine notwendige Investition in die Resilienz des gesamten Unternehmens. Die Botschaft ist klar: Wer die Sicherheit seiner Netzwerkgrenzen vernachlässigt, gefährdet das gesamte digitale Ökosystem. Es ist an der Zeit, dass auch hierzulande der Standard für Behörden und Industrie gleichermaßen lautet, dass das Ende des Support-Lebenszyklus‘ eines Geräts zwingend das Ende seines Einsatzes im produktiven Betrieb bedeuten muss.