TYPO3-Upgrade: Wann ist der richtige Zeitpunkt?
Mitte April 2026 hat TYPO3 wieder einen bedeutenden Schritt vollzogen und die Version 14 herausgebracht. Die Entwickler sind stolz, die Community ist begeistert - aber die Besitzer einer Website stöhnen: Schon wieder wird ein Upgrade fällig.
Aus ihrer Sicht ist ein Upgrade ein lästiger Kostenblock.
Wie man diesen Kostenblock möglichst klein halten kann, und was die Vor- und Nachteile der verschiedenen Upgrade-Strategien sind, darum soll es in diesem Blog-Artikel gehen.
Erster Schritt: aktuelle Version ermitteln
Bei der konkreten Frage, ob und wann ein Upgrade ansteht, ist der erste Schritt immer die Bestandsaufnahme: Welche Version benutze ich gerade?
Dazu haben wir ein Tool auf unsere Homepage eingebaut, mit dem man die aktuelle TYPO3-Version prüfen kann. Sie erfahren auch zugleich, wie viele Sicherheitslücken in der genutzten Version schon öffentlich bekannt geworden sind.
Sollten dort Sicherheitslücken aufgeführt werden, entsteht möglicherweise Handlungsdruck - aber nicht zwingend. Hier kommt es auf den Einzelfall an; mehr dazu weiter unten.
zweiter Schritt: technische Randbedingungen prüfen
Unabhängig vom Upgrade-Zustand von TYPO3 gibt es technische Parameter, die den Betrieb einer Webseite beeinflussen. Der wichtigste: Die genutzte PHP-Version. Wenn der Hoster die zugrunde liegende PHP-Version abschaltet, etwa weil sie keine Sicherheitsupdates mehr erhält, dann muss auch jede Software außer Betrieb genommen werden, die auf dieser PHP-Version läuft.
Das kann auch TYPO3 betreffen. Auf einer aktuellen PHP-Version sind aber alte TYPO3-Versionen nicht mehr läuffähig.
Das gleiche gilt, in verringertem Umfang, für die verwendete Datenbank. Wenn der Hoster die Version ersetzt, muss TYPO3 eventuell mitziehen.
Außerdem spielen Extensions eine wichtige Rolle. Je mehr Erweiterungen installiert sind, desto genauer muss geprüft werden, ob sie mit der Zielversion kompatibel sind. Gerade ältere, individuell entwickelte Extensions können den Aufwand eines Upgrades deutlich erhöhen.
dritter Schritt: Security-Aspekte abwägen
An die Sicherheit einer Webseite werden immer höhere Anforderungen gestellt. Dennoch braucht es den kühlen Blick auf den Einzelfall: Wie wichtig ist die Seite? Wie oft wird sie angegriffen? Wie verschmerzbar wäre ein vorübergehender Ausfall? Wie viele Redakteure haben Zugriff? Welche zusätzlichen Angriffsflächen bietet die Installation durch Formulare, APIs oder Extensions?
Bei kleinen Webseiten, die wenige Extensions benutzen, ist es oft verantwortbar, TYPO3-Versionen lange über ihr Unterstützungsende hinaus zu betreiben.
Dass viele Betreiber das so einschätzen, zeigt der Blick in die TYPO3-Statistik: Anfang 2026 (kurz vor Laufzeitende von TYPO3 13) liefen noch ca. je 7% der Installationen auf den Versionen 7,8,9 und 10. Das sind vermutlich in der Hauptsache kleine Installationen, die oft nur einen Backend-Bearbeiter haben und vorwiegend Standard-Features benutzen.
Immerhin ca. 15% der Installationen liefen auf TYPO3 11, waren also ebenfalls schon länger als ein Jahr aus der Unterstützung herausgefallen.
Von diesen potentiell unsicheren Installationen muss man noch jene abziehen, die einen ELTS-Vertrag geschlossen haben und somit längeren Security-Support bekommen. Nach Statistik ist das ca. ein Viertel.
Wichtig ist dabei: „Nicht mehr offiziell unterstützt“ bedeutet nicht automatisch „sofort gehackt“. Es bedeutet aber, dass bekannte Sicherheitslücken nicht mehr regulär geschlossen werden. Je länger dieser Zustand dauert, desto größer wird das Risiko.
vierter Schritt: wirtschaftliche Aspekte berücksichtigen
Wenn die harten Fakten auf dem Tisch liegen und klar ist, dass ein Upgrade nicht vermieden werden kann, zum Beispiel weil die eingesetzte TYPO3- oder PHP-Version ausläuft, dann kommt die schwierige Entscheidung: Wann ist der beste Moment?
Als Faustregel gilt hier: Ein zweistufiges Upgrade ist gut machbar (z.B. von Version 12 auf 14) und eher billiger als zwei einstufige (12→13 und 13→14). Optimal startet das Upgrade ca. 3 Monate nach Erscheinen der neuen LTS-Version. Dann ist der nicht unterstützte Zeitraum für die alte Version überschaubar, und in der neuen Version wurden bereits die ersten Fehler behoben.
Verschiebt man das Upgrade weiter, steigt die Angriffsgefahr, dafür verbilligen sich die relativen Kosten des Upgrades. Ein Upgrade über drei Stufen (z.B. Version 11 auf 14 ist wieder billiger als ein zweistufiger plus ein einstufiger (11→12 und 12→14). Hier muss man abwägen, wie viel Risiko man eingehen mag.
Ein weiterer wirtschaftlicher Aspekt ist die Planbarkeit. Ein frühzeitig eingeplantes Upgrade lässt sich meist ruhiger, günstiger und mit weniger Betriebsunterbrechung durchführen als ein Notfall-Upgrade nach einem Sicherheitsvorfall.
Wie hoch ist das Risiko?
Eines muss einem klar sein: Setzt man auf Risiko und hat Pech, dann sind die Folgen möglicherweise schmerzhaft.
Nehmen wir den Fall: Ein Website-Betreiber hat aus wirtschaftlichen Gründen das Upgrade lange hinaus gezögert. Nun haben Hacker seine Seite angegriffen und Schaden angerichtet. Wir nehmen weiter an, dass es nicht der Maximalschaden ist (Diebstahl von Kundendaten), sondern “nur” die Webseite zu bösartigen Zwecken missbraucht wurde.
Dann ist unmittelbares Handeln erforderlich. Es reicht nicht, den Schaden zu beheben (Schadcode finden und entfernen), es muss ja auch der Zugang für den Angreifer geschlossen werden. Es reicht also nicht, den Zustand vor dem Angriff wieder herzustellen. (Dann könnte der Angreifer ja seinen Angriff genau gleich wiederholen). Das Einfallstor muss gefunden und versperrt werden. Im einfachen Fall genügt es vielleicht, das Kontaktformular abzuschalten, im schwierigeren Fall muss man die gesamte Webseite abschalten.
Dann spätestens ist ein Upgrade nötig. Dann aber bleibt die Webseite für die Dauer der Umsetzung eines Upgrades offline - und das kann sich leicht mehrere Wochen hinziehen.
Hinzu kommen mögliche Folgekosten: Bereinigung, forensische Analyse, Wiederherstellung von Backups, Kommunikation mit Kunden oder Datenschutzbehörden und ein möglicher Reputationsschaden. Diese Kosten sind schwer planbar - aber mit Sicherheit deutlich höher als die für ein rechtzeitig durchgeführtes Upgrade.
Fazit
Wann der richtige Moment für ein Upgrade gekommen ist, hängt von vielen Faktoren ab. Als grobe Daumenregel kann man aber sagen: Ungefähr beim Erscheinen der übernächsten Version sollte man ein Upgrade vornehmen. Wenn meine Installation V12 ist, dann beim Erscheinen von V14.
Abweichungen in beide Richtungen sind möglich: Früher, wenn die Website sicherheitskritisch ist, später, wenn die Website klein ist und ein Ausfall einen verkraftbaren Schaden bedeutet.
Der beste Zeitpunkt ist also nicht automatisch „so früh wie möglich“ und auch nicht „so spät wie möglich“. Sinnvoll ist ein bewusst gewählter Zeitpunkt, der technische Anforderungen, Sicherheitsrisiko und Budget miteinander in Einklang bringt.
FAQ
Nein, direkt nach Erscheinen einer neuen Version ist in den meisten Fällen zu früh. Dann sind manchmal Extensions noch nicht bereit. Ein guter Zeitpunkt ist ab ca. 3 Monate nach der Veröffentlichung der neuen Version.
Wenn eine TYPO3-Version nicht mehr unterstützt wird, wird sie nicht automatisch und sofort unsicher. Die Angriffsmöglichkeiten steigen aber, je länger man abwartet.
Wenn Sie eine Version mit bekannten Sicherheitslücken betreiben, muss man im Einzelfall entscheiden, ob ein Upgrade sofort nötig wird oder andere Maßnahmen ausreichen. Das hängt von der Sicherheitslücke und der Installation ab. Manchmal ist z.B. zum Ausnutzen einer Sicherheitslücke ein Backend-Login nötig. In vielen kleineren Installationen sind aber alle Menschen bekannt und vertrauenswürdig, die einen Backend-Login besitzen. Dann ist keine direkte Aktion nötig. In großen Installationen mit tausenden von Redakteuren sieht das anders aus.
Ja, das ist oft möglich und wirtschaftlich sogar sinnvoll. Ein Upgrade von Version 12 auf 14 kann günstiger sein als zwei einzelne Upgrades von 12 auf 13 und anschließend von 13 auf 14. Voraussetzung ist aber, dass Extensions, Templates und individuelle Entwicklungen den Versionssprung mitmachen.
Teuer wird ein Upgrade vor allem dann, wenn viele Extensions installiert sind, eigene Erweiterungen angepasst werden müssen oder die Website technisch stark individualisiert wurde. Auch veraltete PHP-Versionen, alte Datenbankversionen oder schlecht dokumentierte Anpassungen können den Aufwand erhöhen.
Am besten durch regelmäßige Wartung: nicht benötigte Extensions entfernen, individuelle Entwicklungen dokumentieren, Updates nicht jahrelang aufschieben und technische Altlasten schrittweise abbauen. Je sauberer die Installation ist, desto einfacher wird das nächste Upgrade.
ELTS steht für Extended Long Term Support. Damit erhält eine ältere TYPO3-Version länger Sicherheitsupdates. ELTS-Lizenzen werden von der TYPO3-GmbH verkauft und kosten mehr als 2000€ pro Jahr. Das kann für großen Installationen mit vielen Abhänigkeiten sinnvoll sein, wenn ein sofortiges Upgrade wirtschaftlich oder technisch gerade nicht möglich ist. ELTS ersetzt aber kein dauerhaftes Upgrade-Konzept.
Kontaktieren Sie uns für eine fundierte Einschätzung
Sprechen Sie uns an, wenn Sie wissen möchten, ob Ihre TYPO3-Version noch sicher betrieben werden kann, welche Risiken bestehen und wann ein Upgrade wirtschaftlich sinnvoll ist. Wir können auch abschätzen, wie teuer ein Upgrade in Ihrem speziellen Fall werden könnte.