Wir machen Ihre TYPO3-Website sicherer!

Letzte Änderung:

Darum sollten Sie in Sicherheit und Datenschutz investieren

Wichtiger Teil unseres TYPO3 Supports sind die Themen Datenschutz und Sicherheit.

Website-Ausfälle, Hacker-Angriffe und Datenschutzverletzungen bringen nicht nur hohe wirtschaftliche sondern auch rechtliche Risiken:

  • Datenmissbrauch: Der Missbrauch von Daten durch Dritte verursacht Imageschäden und kann im Rahmen der Datenschutzgrundverordnung(DSGVO) sehr hohe Geldstrafen nach sich ziehen.
  • Servermissbrauch: Von Viren befallene Websites werden häufig zu Fremdzwecken mißbraucht (z.B. Suchmaschinenspaming, “Cryptojacking”, DDoS-Attacken, usw.). Sie können Haftungsschäden verursachen sowie Rankingverluste bis hin zum Blacklisting bei Suchmaschinen.
  • Datenverlust/Dysfunktionalität: In der Regel schützen Backups vor dem versehentlichen oder absichtlichen Verlust von Daten. Da sich ein Virenbefall in der Regel aber immer erst viel später bemerkbar macht, kann es sein, dass auch zurück liegende Datensicherungen keine Abhilfe mehr leisten. Im schlimmsten Fall muss die Website nocheinmal komplett neu entwickelt werden.

Warum ist TYPO3 von Haus aus sehr sicher?

TYPO3 gilt als besonders sicheres CMS, weil Sicherheit organisatorisch und technisch fest im Projekt verankert ist:

  • Ein eigenes TYPO3 Security Team prüft gemeldete Schwachstellen und veröffentlicht koordinierte Sicherheitsupdates sowie nachvollziehbare Security Advisories.
  • TYPO3 besitzt ein sehr detailliertes Rollen- und Rechtesystem. Redakteure und Administratoren können genau auf die benötigten Seiten, Dateien und Funktionen beschränkt werden.
  • Sicherheitsfunktionen wie Mehrfaktor-Authentifizierung, konfigurierbare Passwortrichtlinien, Zugriffsschutz und Content Security Policy sind im System beziehungsweise über offizielle Komponenten vorgesehen.
  • Für Administratoren, Entwickler, Integratoren und Redakteure gibt es umfangreiche offizielle Sicherheitsrichtlinien und Best Practices.
  • Als Open-Source-System ist der Quellcode öffentlich überprüfbar. Sicherheitsprobleme können dadurch von der Community und spezialisierten Entwicklern entdeckt und nachvollziehbar behoben werden.

Entscheidend ist jedoch: TYPO3 ist nicht automatisch sicher, nur weil es eingesetzt wird. Eine Installation bleibt nur dann sicher, wenn Core, Extensions, PHP und Server regelmäßig aktualisiert, Benutzerrechte sinnvoll vergeben und Backups, Monitoring sowie Sicherheitsprozesse eingerichtet werden. Die offizielle Dokumentation betont ausdrücklich, dass der sichere Betrieb kontinuierliche Aufmerksamkeit aller Beteiligten erfordert. 

So machen wir Ihre Website sicherer

Schaubild zum Thema Sicherheitsaudits von WACON

Initialer Ausgangspunkt ist die Durchführung eines Sicherheits- und Datenschutzaudits. Die Ergebnisse besprechen wir mit Ihnen und erstellen Ihnen kostenlos ein Angebot mit individuellen Maßnahmen für Ihre TYPO3-Instanz.

Illustration mit Text Sicherheitsupdate eingespielt

Eine der wichtigsten sicherheitstechnischen Aufgaben ist das zeitnahe Einspielen von Sicherheitsupdates. Wir bieten diese Leistung u.a. im Rahmen unserer Serviceverträge an. Was Sicherheitsupdates sind und wie Sie sie auch selber einspielen können, erfahren Sie hier.

Maßnahmen, um das TYPO3 Backend sicherer zu machen

Um das TYPO3-Backend gezielt abzusichern, sind vor allem diese Maßnahmen wichtig:

  • Mehrfaktor-Authentifizierung aktivieren: Besonders Administratoren sollten sich zusätzlich zum Passwort per Authenticator-App oder anderem zweiten Faktor anmelden. TYPO3 unterstützt MFA bereits im Core.
  • Berechtigungen nach dem Minimalprinzip vergeben: Redakteure sollten nur die Module, Seiten, Dateiverzeichnisse und Felder sehen und bearbeiten dürfen, die sie tatsächlich benötigen. Rechte sollten möglichst über Benutzergruppen statt individuell vergeben werden.
  • Adminrechte stark begrenzen: Normale Redakteure benötigen weder Administrator- noch System-Maintainer-Rechte. Auch technisch Verantwortliche sollten möglichst mit einem eingeschränkten Konto arbeiten und Adminrechte nur bei Bedarf verwenden.
  • Persönliche Benutzerkonten verwenden: Keine gemeinsam genutzten Logins. So lassen sich Änderungen und Vorfälle eindeutig einer Person zuordnen.
  • Nicht mehr benötigte Konten sofort deaktivieren: Zugänge ehemaliger Beschäftigter, Agenturen oder Dienstleister müssen zeitnah gesperrt werden. Zeitlich begrenzte Konten können mit Start- und Ablaufdatum versehen werden.
  • Starke und einmalige Passwörter verlangen: Keine Wiederverwendung zwischen TYPO3-Systemen und keine identischen Passwörter für Backend und Install Tool.
  • Backend ausschließlich über HTTPS betreiben: Unverschlüsselte Verbindungen oder ungültige Zertifikate sind nicht akzeptabel, da sonst Zugangsdaten abgefangen werden könnten.
  • Login-Versuche begrenzen: Das integrierte Rate Limiting gegen Brute-Force-Angriffe aktivieren
  • Backend-Zugang zusätzlich einschränken: Je nach Organisation etwa über VPN, IP-Freigaben, Reverse Proxy oder vorgeschaltete Zugriffskontrollen. Dabei muss sichergestellt sein, dass berechtigte Personen im Notfall weiterhin Zugriff erhalten.
  • Anmeldungen und Aktivitäten überwachen: Fehlgeschlagene Loginversuche, aktive Sitzungen und ungewöhnliche Zugriffe sollten regelmäßig kontrolliert werden. TYPO3 14 kann Benutzer außerdem über fehlgeschlagene MFA-Prüfungen informieren.
  • Core und Extensions aktuell halten: Sicherheitsupdates für TYPO3, Erweiterungen, PHP und Serverkomponenten müssen zeitnah eingespielt werden. Nicht mehr gepflegte oder unsichere Extensions sollten entfernt werden.
  • Dateizugriffe begrenzen: File Mounts und Dateioperationen müssen so konfiguriert werden, dass Redakteure ausschließlich auf ihre vorgesehenen Verzeichnisse zugreifen können.
  • Regelmäßige Benutzer- und Rechteprüfung durchführen: Mindestens jährlich sowie nach Personal- oder Aufgabenänderungen sollten Konten, Gruppenmitgliedschaften, Adminrechte und MFA-Status überprüft werden.

So schützen wir die Besucher Ihrer Website

Um das TYPO3-Frontend sicherer zu machen und insbesondere die Besucher zu schützen, sind diese Maßnahmen wichtig:

  • HTTPS konsequent erzwingen: Die gesamte Website, Formulare, Downloads und eingebundene Ressourcen müssen verschlüsselt übertragen werden. Zusätzlich verhindert HSTS, dass Browser versehentlich auf eine unverschlüsselte HTTP-Verbindung zurückfallen.
  • Content Security Policy einrichten: Eine CSP legt fest, von welchen Quellen Skripte, Stylesheets, Bilder, Frames und Formulare geladen werden dürfen. Dadurch lassen sich insbesondere Cross-Site-Scripting, Schadcode und Datendiebstahl erschweren. TYPO3 unterstützt CSP für das Frontend bereits über eine eigene API und ein Reporting-Modul.
  • Weitere Sicherheitsheader setzen: Dazu gehören unter anderem Schutz vor Clickjacking, eine sichere Referrer-Policy, X-Content-Type-Options sowie eine restriktive Permissions-Policy. Solche Header nutzen Schutzfunktionen moderner Browser und reduzieren verschiedene Angriffsflächen.
  • Formulare besonders absichern: Eingaben müssen serverseitig validiert, korrekt gefiltert und bei der Ausgabe maskiert werden. Zusätzlich sollten CSRF-Schutz, Spam-Schutz, Größenbegrenzungen und gegebenenfalls Rate Limiting eingesetzt werden.
  • Keine sensiblen Daten unnötig abfragen: Kontaktformulare sollten nur die tatsächlich benötigten Informationen erfassen. Gesundheits-, Bewerber-, Kunden- oder Zugangsdaten benötigen gegebenenfalls zusätzliche Schutzmaßnahmen und sollten nicht unverschlüsselt per E-Mail weitergeleitet werden.
  • Datei-Uploads streng kontrollieren: Nur benötigte Dateitypen zulassen, Dateigrößen begrenzen, Dateinamen neu erzeugen und Uploads möglichst außerhalb direkt ausführbarer Webverzeichnisse speichern. Hochgeladene Dateien sollten zusätzlich auf Schadsoftware geprüft werden.
  • Cookies sicher konfigurieren: Sitzungs- und Login-Cookies sollten mit Secure, HttpOnly und einem passenden SameSite-Wert versehen sein. SameSite bietet unter anderem zusätzlichen Schutz gegen Cross-Site-Request-Forgery.
  • Externe Dienste reduzieren: Analyse-, Video-, Karten-, Schrift- oder Social-Media-Dienste übertragen häufig Daten an Dritte und erhöhen zugleich die technische Angriffsfläche. Externe Ressourcen sollten nur nach Prüfung und – soweit erforderlich – erst nach Einwilligung geladen werden.
  • JavaScript und Drittanbieter-Code prüfen: Veraltete Bibliotheken, externe Widgets, Tracking-Skripte und Tag-Manager können Sicherheitslücken oder unerwünschte Datenübertragungen verursachen. Nicht benötigte Skripte sollten entfernt und Abhängigkeiten regelmäßig aktualisiert werden.
  • TYPO3 und Extensions aktuell halten: Sicherheitsupdates für TYPO3, Extensions, PHP, Webserver und Betriebssystem müssen zeitnah installiert werden. Nicht mehr gepflegte Erweiterungen sollten ersetzt oder entfernt werden. Das TYPO3 Security Team veröffentlicht dafür formale Security Bulletins.
  • Fehlermeldungen begrenzen: Besucher dürfen keine PHP-Fehler, Datenbankmeldungen, Dateipfade, Stack-Traces oder interne Systeminformationen sehen. Diese Informationen können Angreifern Hinweise auf die technische Umgebung liefern.
  • Downloads und geschützte Inhalte kontrollieren: Vertrauliche Dateien dürfen nicht allein durch eine schwer erratbare URL geschützt sein. Der Zugriff muss über TYPO3-Berechtigungen oder eine andere serverseitige Autorisierung geprüft werden.

Wir prüfen Ihre Datenschutzerklärung

Im Rahmen einer Überprüfung Ihrer Datenschutzerklärung bieten wir folgende Leistungem:

  • Abgleich der Datenschutzerklärung mit eingesetzten Cookies, Tracking-Tools und Consent-Management
  • Prüfung eingebundener Drittanbieter wie Google Maps, YouTube, Vimeo, Social Media, Schriftarten oder CDN-Dienste
  • Kontrolle von Kontaktformularen, Newsletter-Anmeldungen, Bewerbungsformularen und Datei-Uploads
  • Prüfung, welche personenbezogenen Daten technisch übertragen, gespeichert oder protokolliert werden
  • Analyse von Server-Logfiles, IP-Adressen, Speicherdauer und Hosting-Anbieter
  • Prüfung von Webanalyse-Systemen wie Matomo oder Google Analytics
  • Kontrolle externer Skripte, iFrames und API-Verbindungen
  • Abgleich der genannten Cookies und Speicherdauern mit den tatsächlich gesetzten Cookies
  • Prüfung, ob Dienste bereits vor einer Einwilligung geladen werden
  • Kontrolle von Datenschutzhinweisen direkt an Formularen und Einwilligungsfeldern
  • Ermittlung fehlender oder veralteter Angaben zu technischen Dienstleistern
  • Dokumentation festgestellter Abweichungen und konkrete Handlungsempfehlungen

Die Leistung ist eine technische Prüfung der tatsächlichen Website-Funktionen, keine abschließende juristische Rechtsberatung. Das Ergebnis könnte als Prüfbericht dienen, den der Datenschutzbeauftragte oder eine Kanzlei für die rechtliche Überarbeitung der Datenschutzerklärung verwendet.

Professionelle Backupstrategie einführen

Ein wichtiger Bestandteil für einen möglichst ausfallfreien Betrieb einer Website, ist das Vorhalten eines Backups. 

Da mögliche Funktions-Fehler, Datenverlust und/oder schadhafter Code in den meisten Fällen erst spät erkannt werden, sollten Backups nicht nur vom Vortag sondern über einen längeren Zeitraum verfügbar sein.

Wir empfehlen die folgenden Backup-Intervalle:

  • Machen Sie ein tägliches Backup
  • Behalten Sie ein Backup der letzten 7 Tage
  • Behalten Sie ein Backup des letzten Monats
  • Behalten Sie ein Backup des letzten halben Jahres
  • Behalten Sie ein Backup der letzten 12 Monate

Wichtige rechtliche Grundlagen

Bild mit Schloss auf Euro-Fahne

TYPO3 bietet eine gute technische Grundlage für datenschutzkonforme Websites, etwa durch flexible Cookie- und Consent-Lösungen, kontrollierte Datenverarbeitung und detaillierte Benutzerrechte. Entscheidend ist jedoch die konkrete Konfiguration, insbesondere bei Formularen, Tracking, externen Diensten und der Speicherung personenbezogener Daten.

Illustration zum Thema NIS2

NIS2 stellt höhere Anforderungen an Cybersicherheit, Risikomanagement und Meldeprozesse – auch für Organisationen, die TYPO3 als zentrales Websystem einsetzen. Entscheidend sind daher sichere Konfigurationen, regelmäßige Updates, klare Zuständigkeiten und dokumentierte Sicherheitsmaßnahmen.

News rund um das Thema Sicherheit und Datenschutz

Schriftzug TYPO3 14.3.5 LTS

TYPO3 14.3.5 schließt eine Sicherheitslücke im Formular-Framework. Websites auf TYPO3 14 sollten zeitnah aktualisieren – TYPO3 13 ist nicht betroffen.

Illustration Frau mit Schloss in der Hand

Die TYPO3 Association hat ein ein neues Sicherheitsupdates für TYPO3 veröffentlicht. Das BSI wertet die geschlossenen Lücken als "hoch". Wir empfehlen dringend zu handlen. Und tun das auch proaktiv für unsere Kunden.

Screenshot Kalendereinstellungen bei Matomo 5.9.0

Matomo 5.9.0 ist da – mit smarten Verbesserungen für Datenschutz und Reporting: Die neue Version der Open-Source-Analyseplattform mbringt eine übersichtliche Verwaltungsseite für Segmente und beschleunigt den Kalender mit praktischen Datums-Voreinstellungen.

Viele Unternehmen setzen aktuell noch auf TYPO3 Version 12 LTS – doch der Countdown läuft: Der kostenlose Community-Support für TYPO3 v12 endet am 30. April 2026. Was bedeutet das konkret für Ihre Website – und was sollten Sie jetzt tun?

Grafik Frau mit Schloss

Es wurden neue Sicherheitsupdates für TYPO3 veröffentlicht Sie schließen diverse Lücken, die mit "Medium" bzw. "High" kategorisiert werden. Wir empfehlen ein zeitnahes Update. Für die Versionen 12 und 13 werden diese Updates im Rahmen des LTS kostenlos bereitgestellt.

Schloss mit Text Sicherheitsupdate TYPO3 Extension

In der Erweiterung powermail wurde eine Schwachstelle (IDOR) entdeckt, die es authentifizierten Backend-Benutzern ermöglicht, unbefugt Dateien vom Server herunterzuladen. Wir empfehlen ein zeitnahes Update.