73 Masken hinter dem Zaun
Ein börsennotiertes großes Rüstungsunternehmen betreibt 73 Oracle Forms-Masken innerhalb einer ITAR-kontrollierten Enklave. Die Masken verwalten Exportlizenz-Tracking, Zugangskontrollen für ausländische Staatsangehörige und Technologietransfer-Protokolle für ein Programmportfolio im Wert von 4,2 Milliarden Dollar pro Jahr. Die Anwendung wurde 2001 für ein einzelnes Programm erstellt. Sie unterstützt jetzt 14.
Die Enklave ist Air-Gapped vom Unternehmensnetzwerk. Jeder Patch erfordert ein formelles Change Control Board. Das letzte bedeutende UI-Update wurde 2013 genehmigt.
Warum die Rüstungsindustrie Forms am längsten behielt
Rüstungsunternehmen operieren unter einem Compliance-Stack, der Veränderung bestraft. ITAR, EAR, NISPOM, CMMC, DFARS 252.204-7012 und für einige Programme FedRAMP High liegen übereinander. Jedes fügt Review-Zyklen hinzu. Jedes behandelt neue Softwareeinführungen als Risikoereignisse. Oracle Forms überlebte, weil die Ablösung schwieriger war als die Wartung.
Wir haben Forms-Bestände bei vier großen Unternehmen und zwei großen Subunternehmern analysiert. Die Größen reichen von 40 bis über 300 Masken. Die Programme, die sie unterstützen, überdauern oft die ursprünglichen Entwickler um zwei Jahrzehnte.
Der CMMC-2.0-Reset
CMMC 2.0 hat die Kalkulation verändert. Level-2-Assessments erfordern jetzt die nachgewiesene Umsetzung von 110 NIST SP 800-171-Kontrollen. Mehrere dieser Kontrollen — Audit-Protokollierung, Zugriffsdurchsetzung, Sitzungsmanagement — zeigen sofortige Lücken in den meisten Oracle Forms-Deployments auf.
Eine Forms-Anwendung mit gemeinsam genutzten Datenbank-Accounts, ohne individuelle Sitzungszuordnung und einer WebLogic-Schicht auf End-of-Life-Java besteht kein CMMC-Level-2-Assessment. Wir haben gesehen, wie drei große Unternehmen an genau diesem Muster bei vorläufigen Assessments scheiterten.
Das ITAR-Problem ist schärfer als SOX
ITAR-Verstöße sind strafrechtlich relevant. Eine Forms-Maske, die den Zugriff auf kontrollierte technische Daten ohne zuverlässige individuelle Zuordnung protokolliert, ist ein meldepflichtiger Befund unter 22 CFR Part 120. Das Directorate of Defense Trade Controls des State Department war in den letzten 18 Monaten aktiver als zu jedem Zeitpunkt des vorangegangenen Jahrzehnts.
Ein Subunternehmer, mit dem wir sprachen, entdeckte bei einer internen Überprüfung, dass seine Zugangsprotokolle für ausländische Staatsangehörige von einem Forms-Trigger abhingen, der 2022 stillschweigend ausgefallen war. Drei Jahre an Zugangsaufzeichnungen waren unvollständig. Die freiwillige Offenlegung dauerte neun Monate in der Vorbereitung.
Warum Rip-and-Replace innerhalb des Perimeters meist scheitert
Rüstungsmodernisierungsprogramme haben eine Misserfolgsquote, die den kommerziellen Durchschnitt weit übersteigt. Die Gründe sind strukturell. FedRAMP-Autorisierung für Ersatz-SaaS-Plattformen dauert 18 bis 24 Monate. ATO-Pakete für On-Premise-Ersatzlösungen umfassen tausende Seiten. Sicherheitsüberprüfte Entwickler sind knapp und teuer. Jede Anforderungsänderung löst eine neue Sicherheitsprüfung aus.
Ein typisches Forms-Ersatzprogramm innerhalb einer sicherheitsüberprüften Umgebung plant 60 Monate und liefert in 90 — wenn es überhaupt liefert. Zwei große Unternehmen haben uns berichtet, dass sie jeweils mehr als 40 Millionen Dollar für Modernisierungsversuche abgeschrieben haben, die nie die Produktion erreichten.
Deskriptorbasierte Modernisierung innerhalb der Enklave
Der Ansatz, der innerhalb von Verschlusssachen- und ITAR-Umgebungen funktioniert, ist derjenige, der die Einführung neuer Software minimiert. Automatisierte Extraktion von .fmb-Dateien in JSON-Deskriptoren läuft offline, auf genehmigter Hardware, innerhalb der Enklave. Keine Cloud-Abhängigkeit. Keine externen Serviceaufrufe. Die Deskriptoren werden zum System of Record für Geschäftslogik, prüfbar durch Sicherheitsbeauftragte und Programmmanager gleichermaßen.
Aus diesen Deskriptoren generiert eine TypeScript-Anwendung gegen eine genehmigte Laufzeit-Baseline. Die Angriffsfläche schrumpft. Der Audit-Trail ist durchgängig. Dieselbe Oracle Database darunter bleibt bestehen, was die bestehende ATO-Grenze intakt hält.
Nachweise, die eine DCSA-Inspektion überstehen
Die großen Unternehmen, die erfolgreich modernisieren, produzieren ein spezifisches Artefakt: ein signiertes Manifest, das jeden bereitgestellten Build mit einer bestimmten Deskriptor-Version verknüpft, mit kryptographischer Integrität durch die Build-Pipeline. DCSA-Inspektoren und DCMA-Prüfer können es lesen. Ebenso der Facility Security Officer.
Wir haben gesehen, wie dies die Inspektionsvorbereitungszeit von sechs Wochen auf vier Tage verkürzt. Die Nachweise werden vom Build generiert, nicht von Hand aus Stammwissen zusammengestellt.
Die Compliance-Falle und der Ausweg
Die Falle besteht darin, dass je länger Forms bleibt, desto mehr Compliance-Pflichten sich darum ansammeln und desto riskanter jede Änderung erscheint. Der Ausweg besteht darin, die Extraktion als Kontrollerhaltungsübung zu behandeln — erst danach als Modernisierungsübung. Das Verhalten, das die Prüfer bereits akzeptieren, wird wortgetreu erfasst. Die Laufzeit, auf der es ausgeführt wird, wird durch etwas Wartbares ersetzt.
Rüstungsprogramme überdauern die meiste kommerzielle Software. Die Systeme, die sie verwalten, sollten das auch — ohne die großen Unternehmen für ein weiteres Jahrzehnt in einer Laufzeit von 2001 einzusperren.