Drupal 7 EOL: Was bedeutet das?

Jedes Produkt und jeder Software unterliegt einem Lebenszyklus. Am Ende dieses Zyklus das „End of Life“ (EOL), dem Supportende. Dem EOL vorangestellt ist das „End of Life Announcement“ (EOLA). Hier kündigt der Hersteller das Ende der Unterstützung an und nennt ein konkretes Datum oder einen Zeithorizont, ab welchem das Produkt nicht mehr weiter unterstützt wird.

Eine solche EOLA Ankündigung hat oft nicht nur Auswirkungen auf das eigentliche Produkt, sondern kann ebenso Auswirkungen auf das angeschlossene Ökosystem haben. Die Nachfolger von Drupal 7, also ab Drupal 8, bieten hierzu ein sehr gutes Beispiel: So wird das Supportende von Drupal 8 vom EOL Datum des zugrundeliegenden PHP Frameworks „Symfony“ bestimmt. Sobald der Support von Symfony 3 im November 2021 eingestellt wird, endet auch die Unterstützung von Drupal 8 und es wird ein Wechsel auf Drupal 9 (Symfony 4) erforderlich.

Dies betrifft jedoch nicht nur Drupal, sondern auch viele andere PHP Projekte, die Symfony als Basis verwenden.

Die nächsten EOL Termine für Drupal

Bedingt durch das Ende von Symfony 3 wird für Drupal 8 der Support im November 2021 eingestellt. Zu diesem Zeitpunkt ist die aktuelle Version Drupal 9. Wer bereits Drupal 8.9 verwendet, für den ist der Wechsel auf Drupal 9 in den meisten Fällen kein großer Aufwand.

Für Drupal 7 sollte das Supportende ebenfalls im November 2021 sein. Aufgrund der Coronapandemie wurde entschieden, das EOL für Drupal 7 um ein Jahr zu verschieben, um Unternehmen und Organisationen mehr Zeit für die Umstellung zu geben. Für Drupal 7 ist jetzt der offizielle EOL Termin der 1. November 2023 (EOL Termin wurde erneut verschoben).

Welche Auswirkungen hat das „End of Life“ Datum?

Kur gesagt: Mit dem Erreichen dieses Datums wird vom Hersteller für das Produkt kein Support mehr angeboten. Bei physischen Produkten bedeutet dies auch, dass keine Ersatzteile mehr offiziell verfügbar sind. Bei Softwareprodukten betrifft dies die Updates einschließlich Sicherheitsupdates, die es ab diesem Datum nicht mehr gibt.

Ist die Software damit unsicher?

Mit dem Erreichen des EOL Datums werden zwar keine Updates mehr veröffentlicht, sollte eine Sicherheitslücke gefunden werden. Das bedeutet jedoch nicht, dass die Software sofort unsicher wird oder ist.

Jedoch steigt natürlich mit zunehmender Zeit das Risiko, dass ein Sicherheitsproblem entdeckt wird, welches offen bleibt und die eigene Installation damit dann verwundbar ist. Je mehr solcher Lücken entdeckt werden, desto problematischer wird dies natürlich für die eigene Installation dieser Software.

Aus diesem Grund ist es sehr ratsam, eine End of Life Ankündigung ernst zu nehmen und die Auswirkungen auf das eigene Unternehmen zu prüfen, dafür notwendige Ressourcen einzuplanen und einen Zeitplan zu erstellen.

Was ist, wenn ich eine Software nach dem EOL weiter verwende?

Wenn Sie sich dazu entscheiden, ein Produkt auch nach dem angekündigten End of Life weiterzuverwenden, können Sie das tun. Sie sollten sich jedoch der Tatsache bewusst sein, dass die Risiken mit jedem Tag steigen.

Security: Sicherheitslücken und fehlende Updates

Wenn eine Software das Ende ihres Lebenszyklus erreicht hat, sind in dieser Zeit oft die meisten Sicherheitslücken bereits geschlossen worden. Diesen Umstand sollten Sie jedoch nach dem EOL nicht dauerhaft herausfordern.

Mit dem Einsatz der Software nach dem End of Life riskieren Sie eine steigende Verwundbarkeit und damit der Gefahr, dass Sie Opfer eines Cyberangriffs werden. Dabei können die Auswirkungen erheblich sein und nicht nur auf die Software selbst beschränkt bleiben. So können sensible Firmen- und Kundendaten in die falschen Hände geraten. Ein solcher Vorfall kann das Vertrauen sehr stark belasten.

Höhere Kosten

Um eine veraltete Software weiterzubetreiben müssen mit der Zeit immer mehr Ressourcen aufgewendet werden: die Kosten steigen. Zudem wird die weitere Entwicklung und Integration in sich verändernde Unternehmensprozesse und Kundenanforderungen erschwert. So wird es immer schwieriger werden, Entwickler für diese Software bzw. der eingesetzten Softwareversion zu finden. Dies betrifft sowohl externe Freelancer, aber auch die Kompetenzen von inhouse Mitarbeitern, wenn diese einmal das Unternehmen verlassen sollten.

Bei Software, die auf einem Server betrieben wird (z.B. alle PHP basierten Projekte), steigt auch hier der Aufwand. Zudem ist das Hosting wiederum eingebunden in verschiedene Produktintervalle: sei es bei den PHP Versionen selbst, dem Betriebssystem oder der Serverhardware.

Viele Hoster gehen auch dazu über, veraltete PHP Versionen (die Programmiersprache in der Drupal geschrieben ist) mit der Zeit abzuschalten. Dies gilt auch für Software, die in einer anderen Programmiersprache entwickelt wurde oder angrenzende Software (z.B. Datenbanken).

Compliance Risiken

Die regulatorischen Rahmenbedingungen für Unternehmen nehmen immer weiter zu und werden strenger. Dies gilt nicht erst seit Einführung der DSGVO. Erst recht für Unternehmen, die auch international sehr stark engagiert sind.

Die Anforderungen dieser Regularien beinhalten sehr oft auch den Schutz von Daten nach dem Stand der Technik. Der Einsatz von Software, bei welcher der Support abgelaufen ist, entspricht dieser Anforderung natürlich nicht.

Von Innovationen abgeschnitten

Jede neue Hauptversion einer Software kommt mit einer Reihe von Verbesserungen, Weiterentwicklungen und neuen Möglichkeiten einher. Zudem werden ständig neue Standards und Best Practices etabliert, welche Unternehmen und deren Software adaptieren muss, um weiter wettbewerbsfähig zu bleiben.

Von diesen Verbesserungen und Integrationen neuer Standard und Entwicklungen werden Sie in Zukunft abgeschnitten sein und das Risiko besteht, dass sie beim Wettbewerb immer weiter zurückfallen können und inflexibel werden. Die Alternative ist, dass Sie die Entwicklungen und Adaptionen inhouse nach dem EOL selbst entwickeln. Dies kann jedoch mit sehr großen Kosten verbunden sein.

Was also tun?

Für den einen oder anderen kann es sehr verlockend sein, ein funktionierendes und eingespieltes System weiterhin zu behalten, auch wenn der Hersteller das Ende der Unterstützung von dieser angekündigt hat oder sie bereits vorüber ist. Jedoch dürfen dabei die direkten und indirekten Risiken und Kosten nicht übersehen werden.

In allen Fällen werden dabei mittelfristig diese Risiken die möglichen Vorteile bei weitem übersteigen. Auch, wenn die Migration auf eine neue Softwareversion selbst mit gewissen Risiken und Kosten verbunden ist.

1. Gründen Sie eine Projektgruppe, die sich mit dem EOL auseinandersetzt.
2. In dieser Gruppe werden die Auswirkungen auf das eigene Unternehmen, dessen Prozesse, Integrationen und anderer Software evaluiert.
3. Dazu gehört ebenso die Prüfung, der vom Hersteller vorgeschlagene Lösungsweg, wie eine neue Version oder alternatives Produkt. Gegebenenfalls können auch weitere Alternativen (z.B. von anderen Herstellern) mit einbezogen werden.
4. Auf Basis der recherchierten Informationen können die Vor-/Nachteile und Risiken abgewogen werden. Im Anschluss dessen kann von der Arbeitsgruppe der Umstieg konkret geplant und mit einem Zeitplan versehen werden.

Berücksichtigen Sie dabei, dass eine solche Vorplanung und Durchführung der Umstellung je nach Komplexität mehrere Monate in Anspruch nehmen kann. Bedenken Sie dabei auch, entsprechende Ressourcen bereitzustellen und Investitionen einzuplanen.