Immer wieder erreichen uns Fragen von Kunden, wie sie ihre TYPO3-Installationen sicher und aktuell halten können.
Darauf gibt es zwei mögliche Antworten, die wir hier vorstellen wollen. Je nach Anwendungsfall passt entweder unser Support‑Paket "security" oder unser Support‑Paket "eternity".
Doch lassen Sie uns zunächst kurz die Grundlagen darstellen.
TYPO3 ist das System, das es erlaubt, auf einfache Weise Texte und Bilder (und Filme und Dateien und vieles mehr) auf der Webseite einzustellen. Es ist quasi das Werkzeug, mit dem die Webseite vom Redakteur bearbeitet werden kann.
Dieses Werkzeug ist eine Software, die auf einem Server läuft und dort unter anderen die Programmiersprache „PHP“ und eine Datenbank voraussetzt.
Wie jede Software, die über Internet erreichbar ist, ist sie Angriffen ausgesetzt. Diese Angriffe sind zum Teil komplex, zum Teil überraschend simpel: Manchmal probiert jemand einfach aus, ob er sich mit dem Nutzernamen „admin“ und dem Passwort „12345678“ einloggen kann.
Bei unseren Support-Verträgen geht es darum, die Seite vor genau diesen Angriffen zu schützen, egal wie kompliziert oder einfach sie sind.
Eine zweite Sache muss man bedenken: Auch die möglichen Angreifer sind faul.
Fast niemand sucht selbst aktiv nach Angriffsmöglichkeiten. Praktisch alle Angreifer warten, bis die Schwächen eines Systems öffentlich bekannt werden und versuchen danach diese Schwächen auszunutzen. Das erfordert schon genug Fachkenntnis!
Öffentlich werden die Schwachstellen, indem sie behoben werden. Da TYPO3 ja eine Open-Source-Software ist, kann jeder öffentlich nachverfolgen, welche Änderungen an TYPO3 vorgenommen werden. Manche Änderungen sind sicherheitskritisch und weisen darauf hin, dass die alte Software eine Sicherheitslücke hatte.
Diesen Umstand nutzten die Angreifer aus: Sobald die Lücke behoben wurde, kann man eine Übergangszeit lang jene Installationen angreifen, die noch mit der alten Version der Software arbeiten.
Daher ist nach dem Bekanntwerden einer Sicherheitslücke baldiges Handeln gefordert: So rasch wie möglich muss die Software auf den neuen Stand gebracht werden, in dem diese Sicherheitslücke nicht mehr existiert. Das erledigen wir zeitnah sowohl beim Support‑Paket "security" wie beim Support‑Paket "eternity". Hier ist erstmal kein Unterschied zwischen beiden Support‑Paketen
Wovor wir in diesem Zusammenhang dringend abraten müssen, ist es kein Support‑Paket zu buchen und die Installation einfach ungeschützt weiter laufen zu lassen. Man macht sich damit sogar nach DSGVO angreifbar: Sie schreibt vor, immer die aktuelle Version nach Stand der Technik zu betreiben.
Nachdem nun geklärt ist, wie die TYPO3-Installation sicher bleibt, kommt die nächste entscheidende Frage: Wie lange geht das gut?
Die kurze Antwort lautet:
Beides hat zu tun mit der TYPO3-Roadmap: Hierin ist festgelegt, dass alle 18 Monate eine neue TYPO3-Version erscheint, und dass jede Version 36 Monate lang mit Sicherheits-Updates unterstützt wird.
Das Support-Paket "security" gilt nur für eine Version von TYPO3. Ist das Laufzeitende dieser Version erreicht, macht das Security-Paket keinen Sinn mehr. Es macht erst wieder Sinn, wenn der Upgrade auf eine aktuelle TYPO3-Version vorgenommen wurde, die weiterhin Sicherheitsupdates erhält.
Im Support-Paket "eternity" sind diese Upgrades mit enthalten. Daher laufen hier die Sicherheits-Aktualisierungen ohne Unterbrechung weiter, beliebig lange.
Welcher TYPO3-Support-Vertrag für Sie der richtige ist, hängt im Wesentlichen vom Zeithorizont ab, mit dem die Website betrieben wird.
Ist es klar, dass die Webseite nur für eine begrenzte Zeit betrieben werden soll, ist es sinnvoll nur den billigeren Support "security" zu buchen.
Soll die Webseite mit offener Zeitperspektive betrieben werden, so lohnt sich das Support-Paket "eternity".
Im Prinzip könnte man nun einwenden, dass man ja auch ein Support-Paket "security" buchen und zusätzlich alle 18 Monate einen Upgrade auf die neueste TYPO3-Version beauftragen kann. Unsere Antwort: Ja, das geht - aber das ist teurer.
Der Vorteil für uns: Mit dem Support-Paket "eternity" können wir in gewissem Rahmen selbst entscheiden, wann wir die Arbeit vornehmen und so unsere Auslastung steuern. Den dadurch gewonnenen Vorteil geben wir an Sie weiter in Form günstigerer Preise.
Wenn Sie ihre TYPO3-Installation für alle Zukunft sichern wollen, kontaktieren Sie uns für ein verbindliches Angebot.
Falls noch Fragen offen sind, zögern Sie bitte nicht, einfach anzurufen; wir klären diese Fragen gerne.
Die metapublic-Hotline: 089 38 15 76 400