Die Masken, die Ihre Hypothek abwickeln
Eine europäische Top-10-Retailbank wickelt die gewerbliche Kreditvergabe noch immer über 427 Oracle Forms-Masken ab. Die älteste wurde 1996 geschrieben. Sie bucht jährlich rund 18 Milliarden Euro an neuen Krediten, und jede Auszahlung läuft durch ein PL/SQL-Paket, das fünf Personen im Gebäude vollständig verstehen.
Wir sehen dieses Muster bei Tier-2- und Tier-3-Banken auf drei Kontinenten. Die prominente Kernbankenplattform bekommt die Pressemitteilungen. Die Forms-Schicht darunter bekommt die Transaktionen.
Warum Banken Forms länger behielten als alle anderen
Oracle Forms passte nahtlos zur tatsächlichen Arbeitsweise von Banken: dichte Dateneingabe, strikte Feldvalidierung, WHEN-VALIDATE-ITEM-Trigger, die regulatorische Rundungen durchsetzen, und Audit-Trails, die direkt in die Oracle Database geschrieben werden. Die Alternativen im Jahr 2005 waren schlechter. Bis 2015 hatten die Masken zu viel eingebettete Richtlinienlogik angesammelt, um sie herauszureißen.
Eine mittelgroße Geschäftsbank führt typischerweise zwischen 300 und 900 Forms-Masken in der Produktion. Etwa 40 % berühren das Hauptbuch. Weitere 25 % liegen im Scope der Basel-III-Berichterstattung. Der Rest wickelt KYC, Sicherheiten und Filialbetrieb ab.
Die Geduld der Regulierungsbehörden ist endlich
Die Leitlinien der Europäischen Zentralbank 2024 zum IKT-Risikomanagement setzten End-of-Life-Software auf die Vorstandsagenda. Die britische PRA folgte mit SS2/21-Updates, die Oracle Forms explizit in Aufsichtsschreiben benennen, die wir eingesehen haben. APRA in Australien hat drei der Big Four um Sanierungspläne gebeten.
Keine davon sind formelle Fristen. Alle tragen dieselbe Botschaft: Nicht unterstützte Middleware auf kritischen Systemen ist jetzt ein Kapitalthema. Banken, die keinen glaubwürdigen Migrationsweg vorweisen können, sehen ihre operativen Risikogewichtungen in die falsche Richtung wandern.
Was tatsächlich auf dem Spiel steht
Der WebLogic-Forms-Stack läuft auf Java-Versionen, für die Oracle vor Jahren aufgehört hat, Sicherheitspatches auszuliefern. Erweiterte Supportverträge decken die Datenbank ab, nicht die Präsentationsschicht. Eine einzige ungepatchte Deserialisierungsschwachstelle auf einem Forms-Server mit Zugriff auf Kernbanken-Tabellen ist ein meldepflichtiger Vorfall unter DORA.
Wir haben eine Bank auditiert, in der 11 Forms-Server innerhalb der PCI-Scope-Grenze lagen. Keiner war seit 2021 gepatcht worden. Der CISO wusste es. Der Vorstand nicht.
Warum Neuschreibungen immer wieder scheitern
Banken haben es versucht. Der Standardansatz — das Forms-Inventar einem Systemintegrator übergeben, einen Fünfjahres-Festpreisvertrag unterzeichnen, in Java oder .NET umschreiben — hat im Finanzdienstleistungsbereich eine dokumentierte Misserfolgsquote von über 60 %. Wir haben die Post-Mortems analysiert.
Das Muster ist konsistent. Die Geschäftsregeln in 3.000 Triggern wurden nie außerhalb der .fmb-Dateien dokumentiert. Der Integrator lieferte gegen eine Spezifikation, die vielleicht 70 % des tatsächlichen Verhaltens erfasste. Die verbleibenden 30 % tauchten im UAT auf, und der Zeitplan brach zusammen.
Automatisierte Extraktion als Durchbruch
Die Rechnung ändert sich, wenn die .fmb-Dateien direkt in einen strukturierten JSON-Deskriptor geparst werden. Jeder Trigger, jedes LOV, jede Block-Beziehung und jede Validierungsregel wird maschinenlesbar. Ein 400-Masken-Inventar, dessen Dokumentation früher 18 Monate dauerte, braucht jetzt drei Wochen.
Aus diesem Deskriptor können moderne TypeScript-Anwendungen generiert, überprüft und regeneriert werden, wenn sich das Geschäft weiterentwickelt. Die Bank behält das Verhalten. Die Prüfer behalten die Nachweise. Der CIO zahlt nicht mehr für Forms-Laufzeitlizenzen.
Der Cutover, den niemand planen will
Das Kernbankgeschäft verträgt keine Big-Bang-Migrationen. Die funktionierende Architektur betreibt die neue TypeScript-Schicht und die alte Forms-Schicht gegen dieselbe Oracle Database, über eine REST API-Grenze, so lange, bis zwei vollständige Quartalsabschlüsse absolviert sind. Wir haben Parallel-Runs von nur sechs Wochen und bis zu neun Monaten gesehen. Beide waren erfolgreich. Keiner war optional.
Die Frist, über die niemand spricht
Banken haben vielleicht 36 Monate, bevor sich die regulatorische Haltung von Empfehlung zu Durchsetzung verhärtet. Die, die jetzt beginnen, werden nach ihrem eigenen Zeitplan umstellen. Die, die warten, werden nach dem Zeitplan eines anderen umstellen.
Oracle Forms hat die Systeme gebaut, die Ihre Hypothek abwickeln und Ihre Unternehmensanleihe begleichen. Es muss sie nicht für immer betreiben.