Seitdem die OTRS Group den Support für die ((OTRS)) Community Edition (CE) Ende des Jahres 2020 eingestellt hat, wird diese nicht mehr mit (Sicherheits)-Updates und Patches – für die Beseitigung von Schwachstellen – versorgt.
Das Ticketsystem erfährt zwar eine Weiterentwicklung von Graumarkt-Anbietern, die nicht von der OTRS Group autorisiert sind, basiert jedoch auf einem veralteten System, das nun bereits seit vielen Jahren keine professionellen Sicherheitsupdates mehr erhält.
Viele User verlassen sich weiterhin auf die ((OTRS)) Community Edition, ignorieren dabei jedoch – ob nun bewusst oder unbewusst – die Gefahren dahinter. Klingen fehlende Updates für einige nach einem Risiko, das sie getrost eingehen können, ist diese Denkweise dennoch recht weit von der Realität entfernt.
Denn es ist davon auszugehen, dass die weitere Verwendung der ((OTRS)) Community Edition einen Datenschutzverstoß darstellt. So muss laut der Datenschutz-Grundverordnung (DSGVO) eine Software dem aktuellen Stand der Technik entsprechen, was bei der CE eindeutig nicht der Fall ist.
Relevanz von Sicherheit
Ganz allgemein herrscht zurzeit ein hoher Handlungsbedarf bei der Umsetzung von Cybersecurity-Standards und -Richtlinien. So sieht laut unseren Umfragedaten nur ein Bruchteil der Cybersecurity-Fachkräfte das eigene Unternehmen optimal auf Sicherheitsvorfälle vorbereitet – bei einer steigenden Zahl an Vorfällen, wohlgemerkt.
In anderen Worten: Unternehmen erfahren mehr und mehr Bedrohungen und sind auf vieles, das kommt, nicht vorbereitet. Wenn erst ein (kritischer) Schaden entstehen muss, damit Sicherheit in den Fokus gerät, ist das überaus ärgerlich und absolut vermeidbar.
Ein guter Schutz fängt dabei bei einem Sicherheitsbewusstsein an und sollte kontinuierlich im Fokus stehen, um äußere Bedrohungen und den Verlust sensibler Daten abzuwenden.
Warum die Sicherheitslage so bedenklich ist
Eben hier liegt das Problem der Weiterbenutzung der ((OTRS)) Community Edition: Es fehlen die in der heutigen Zeit üblichen Schutzmechanismen und es gibt teilweise gravierende Schwachstellen. Die Angriffsfläche fällt dementsprechend groß aus. Für die ((OTRS)) Community Edition ist somit keine ausreichende Umsetzung von Sicherheits- und Compliance-Anforderungen möglich.
Bei allen Vorteilen einer Open Source Software ist daher von einer Nutzung abzuraten. Dafür gibt es unterschiedliche Gründe; der technologische Rückstand, ein unzureichender Datenschutz und mangelnde, unkoordinierte Sicherheits-Updates wiegen schwer.
Defizite durch die Nutzung der ((OTRS)) Community Edition
Es gibt eine Reihe von Sicherheitsdefiziten, die im Zusammenhang mit der ((OTRS)) Community Edition entstehen. Hier finden sich die wichtigsten und kritischsten davon
- Ungepatchte Sicherheitslücken: Lücken und Schwachstellen werden schon lange nicht mehr professionell und zuverlässig behoben. Auch wenn sie bekannt sind, heißt das noch lange nicht, dass jemand sie auch ausmerzt. Bei einer solchen Gemengelage haben Angreifer, die im Übrigen immer ausgeklügelter zu Werke gehen, ein leichtes Spiel.
- Angriffsfläche für Cyberkriminalität: Hacker können die ((OTRS)) Community Edition kompromittieren. Die dort gespeicherten Daten sind nicht sicher und lassen sich ausspähen sowie manipulieren. Mitunter könnten Hacker das System sogar vollständig übernehmen.
- DSGVO-Risiken: Besonders kritisch wird es, wenn Nutzer über die ((OTRS)) Community Edition personenbezogene Daten verarbeiten. Da die Software und die Schutzmaßnahmen nicht dem aktuellen Stand der Technik entsprechen, kommt die weitere Verwendung einem Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) gleich.
Es drohen nicht nur unbefugte Zugriffe und Datenverluste, sondern auch Reputationsschäden und sogar Haftungsrisiken für Unternehmen – rechtliche Konsequenzen wie Bußgeldzahlungen können anfallen.
Ergo gehen Unternehmen, die noch die alte ((OTRS)) Community Edition verwenden, ein massives Risiko ein.
Weder ein DSGVO-konformer Betrieb noch der Schutz sensibler Daten sind garantiert. Neben technischen bestehen auch rechtliche Unsicherheiten.
Warum Forks keine hinreichende Sicherheit bieten
Es haben sich zwar seit dem Rückzug der OTRS Group mehrere unabhängige Forks – die bereits erwähnten Graumarkt-Anbieter – gebildet, die auf dem Quellcode der ((OTRS)) Community Edition aufbauen. Diese Projekte stellen Weiterentwicklungen sowie eigene Sicherheits-Fixes bereit. Dennoch können sie die Sicherheit der ursprünglichen ((OTRS)) Community Edition nicht garantieren, wie aus den folgenden Punkten hervorgeht:
- Einzelne Forks müssen Sicherheitslücken selbst entdecken und schließen – ein zentral koordinierter, verlässlicher Sicherheitsprozess fehlt.
- Sicherheits-Updates erscheinen oft zeitverzögert oder unregelmäßig.
- Unterschiedliche Forks entwickeln in verschiedene Richtungen (es fehlt ein zentral koordiniertes Vorgehen), wodurch Unternehmen bei der Auswahl auf eine nachhaltige und vertrauenswürdige Community angewiesen sind oder zusätzlich noch eigene Ressourcen in die Weiterentwicklung und Absicherung investieren müssen.
Die wichtigsten Sicherheitsvorteile des modernen OTRS
Für das moderne OTRS gibt es ständig neue Features, Verbesserungen und Weiterentwicklungen, was die Softwarelösung auf einem hohen technologischen Stand hält. Dazu bilden Bug Fixes und Security Advisories einen kontinuierlichen Prozess.
Darüber hinaus erhalten Kunden einen umfassenden Service und professionelle Beratung, die sowohl die Sicherheit und die Compliance als auch andere wichtige Themen tangieren.
Anwender profitieren von Spezialisten und Experten, die ihr über Jahre erworbenes Fachwissen einsetzen, um OTRS stets sicher, compliant und zuverlässig zu halten. So vertrauen vor allem auch Unternehmen mit strengen Sicherheits- und Compliance-Vorgaben auf OTRS.
Kurzum: Organisationen sollten dringend den Umstieg auf OTRS in Angriff nehmen, um Sicherheitsvorfälle und rechtliche Folgen zu vermeiden.
Fazit: Sicherheitsdefizite veranlassen zum Wechsel
Sicherheit sollte nicht erst dann ein Thema sein, wenn es bereits zu Vorfällen gekommen ist. Wer sie nicht ausreichend beachtet, riskiert, schwere Schäden davon zu tragen. Bei der ((OTRS)) Community Edition gibt es keine Garantie für eine hinreichende Sicherheit, so dass deren User hohe Risiken – insbesondere beim Datenschutz – eingehen. Da dort bereits seit Langem keine offiziellen Sicherheits-Updates mehr erfolgen, ist die Gefahr (kritischer) Lücken enorm.
So beliebt die ((OTRS)) Community Edition auch war, ist sie heute in puncto Sicherheit äußerst kritisch zu betrachten. Schließlich ist der technologische Fortschritt beträchtlich, sodass die Basis der Community Edition – OTRS 6 – bereits seit Jahren überholt ist.
Neben den neuen Features und den ansprechenden Interfaces des modernen OTRS sprechen vor allem Sicherheitsaspekte dafür, den Wechsel zu OTRS sofort anzugehen. Faire Preismodelle, eine einfache Migration und ein umfassender Kundenservice machen den Weg zu deutlich mehr Sicherheit leicht.
