Warum ist der Betrieb von portier Vision 4 (End-of-Life) nicht mehr DSGVO-, KRITIS-, DORA- und NIS2-konform?

Hintergrund

portier Vision 4 wird seit dem 1. Januar 2025 offiziell nicht mehr unterstützt. Es erfolgen keine Sicherheitsupdates, Fehlerbehebungen oder Supportleistungen mehr. Immer wieder erreichen uns Anfragen, warum die weitere Nutzung auch bei internem Serverbetrieb nicht mehr rechtskonform ist.

1. Stand der Technik – Gesetzliche Anforderungen

DSGVO (Art. 32), KRITIS, DORA, NIS2

Alle relevanten Gesetze und Standards verlangen, dass IT-Systeme und Datenverarbeitungen dem aktuellen Stand der Technik entsprechen. Das bedeutet insbesondere:

• Regelmäßige Sicherheitsupdates

• Fehlerbehebungen und Patchmanagement

• Laufende Wartung

Nicht unterstützte Systeme erfüllen diese Anforderungen explizit NICHT.

2. Konkrete Risiken durch Nutzung von End-of-Life-Software

• Offene Sicherheitslücken: Neue Schwachstellen werden nicht mehr geschlossen. Selbst interne Systeme sind potenziell gefährdet (z. B. durch Netzwerkänderungen, Insider-Bedrohungen, Malware).

• Keine Supportgarantie: Weder Fehlerbehebung noch Unterstützung im Notfall – das Restrisiko liegt allein beim Betreiber.

• Fehlende Auditfähigkeit: Nachweise über IT-Sicherheit, Datenschutz und Compliance sind nicht mehr möglich.

• Rechtsfolgen bei Vorfällen: Bei Datenschutzverletzungen oder Cyberangriffen wird die Nutzung veralteter Software als Sorgfaltspflichtverletzung bewertet – es drohen Bußgelder und Reputationsschäden.

3. Typische Einwände – und warum sie nicht greifen

„Wir betreiben die Software auf eigenen Servern, Zugriff nur durch interne IT.“
Das reduziert das Risiko, ersetzt aber NICHT die Pflicht zu aktuellen Sicherheitsmaßnahmen.
Regelwerke (DSGVO, NIS2, DORA, KRITIS) gelten für alle Systeme, unabhängig vom Standort.

„Das System ist isoliert.“
Selbst isolierte Systeme sind nicht vollständig vor Bedrohungen geschützt (z. B. durch Wechselmedien, Insider, alte Schnittstellen oder zukünftige Netzwerköffnungen).

„Es gab bisher keine Probleme.“
Das Nichtauftreten eines Vorfalls ist kein Nachweis für Konformität. Der Gesetzgeber und die Aufsichtsbehörden fordern proaktive Maßnahmen, keine reaktive Rechtfertigung.

4. Rechtsquellen & Normen

• DSGVO Art. 32: Stand der Technik, Maßnahmen zur Sicherheit der Verarbeitung

• KRITIS/BSIG § 8a: Verpflichtung zu angemessenen Vorkehrungen nach dem Stand der Technik

• NIS2: Pflicht zu Risikomanagement, laufender Wartung und Auditfähigkeit

• DORA (EU 2022/2554): Betriebssicherheit und Resilienz digitaler Systeme, laufende Aktualisierung und Kontrolle

5. Empfehlung

Ein Umstieg auf eine aktiv gewartete, unterstützte und auditfähige Lösung ist zwingend erforderlich, um Konformität, Betriebssicherheit und Haftungsschutz zu gewährleisten.

portier Vision 5 erfüllt diese Anforderungen nachweislich (ISO 27001, regelmäßige Updates, persönlicher Support, Auditfähigkeit).

Kurzantwort (für Management oder IT-Freigabe):

Die Nutzung von portier Vision 4 ist ab 2025 nicht mehr konform mit DSGVO, KRITIS, DORA und NIS2 – auch beim reinen Eigenbetrieb. Das Risiko und die Haftung liegen allein beim Betreiber. Ein Umstieg auf eine aktuelle, unterstützte Version ist dringend empfohlen.

Bei Fragen zu Audit, Compliance oder Migration auf Vision 5 steht unser Team jederzeit gern zur Verfügung.