1. Sie sind hier:
  2. Home
    3. |
  3. TYPO3-Support
    4. |
  4. TYPO3 Update
    5. |
  5. Haftungsrisiken

Haftungsrisiken durch veraltete TYPO3-Software

Letzte Änderung:

Risiken durch veraltete TYPO3- und PHP-Versionen

Illustration Frau mit Schloss
Aktuelle TYPO3- und PHP-Versionen ansehen.

Der Betrieb einer Website ist nicht nur eine technische, sondern auch eine rechtliche Verantwortung. Betreiber von Websites müssen dafür sorgen, dass ihre Systeme ausreichend gegen Sicherheitsrisiken geschützt sind. Ein besonderes Risiko entsteht durch die Verwendung veralteter Software – insbesondere sogenannter End-of-Life-Versionen (EOL) von Content-Management-Systemen wie TYPO3 oder Programmiersprachen wie PHP.

Veraltete Software wird vom Hersteller nicht mehr mit Sicherheitsupdates versorgt und kann dadurch zu erheblichen Sicherheits- und Haftungsrisiken führen.

Sicherheitsrisiken durch veraltete Software

Moderne Websites bestehen aus mehreren technischen Komponenten, etwa:

  • Content-Management-System (z. B. TYPO3)
  • Programmiersprache (z. B. PHP)
  • Erweiterungen und Plugins
  • Server-Software

Sobald eine dieser Komponenten das End-of-Life erreicht, stellt der Hersteller keine Sicherheitsupdates mehr bereit. Dadurch bleiben bekannte Sicherheitslücken dauerhaft offen.

Solche Schwachstellen werden häufig automatisiert von Angreifern ausgenutzt. Veraltete PHP-Versionen gelten beispielsweise als besonders anfällig für Angriffe, weil bekannte Sicherheitslücken öffentlich dokumentiert sind und leicht ausgenutzt werden können. 

Typische Folgen eines erfolgreichen Angriffs sind:

  • Einschleusen von Schadcode (Malware)
  • Spam-Versand über die Website
  • Weiterleitung auf Phishing-Seiten
  • Manipulation von Inhalten
  • Datendiebstahl

In vielen Fällen nutzen Angreifer gehackte Websites außerdem als Verteiler für Malware, wodurch Besucher der Website ebenfalls betroffen sein können.

Websitebetreiber tragen grundsätzlich die Verantwortung für den sicheren Betrieb ihrer Systeme. Werden Sicherheitsmaßnahmen vernachlässigt, kann dies rechtliche Konsequenzen haben.

Zu den möglichen Risiken gehören insbesondere:

Datenschutzrechtliche Haftung

Wenn durch eine Sicherheitslücke personenbezogene Daten kompromittiert werden, können Ansprüche nach der Datenschutz-Grundverordnung (DSGVO) entstehen. Unternehmen können dann zu Schadensersatz verpflichtet sein oder Bußgelder riskieren. 

 

Schadensersatzforderungen

Cyberangriffe können Schäden bei Dritten verursachen, etwa wenn Malware über eine kompromittierte Website verbreitet wird ("Störerhaftung"). In solchen Fällen können zivilrechtliche Ansprüche gegen den Betreiber entstehen.

 

Reputationsschäden

Ein erfolgreicher Hackerangriff kann das Vertrauen von Kunden, Geschäftspartnern und Besuchern erheblich beeinträchtigen. Wird eine Website beispielsweise zur Verbreitung von Malware, Spam oder Phishing-Inhalten missbraucht, kann dies schnell öffentlich sichtbar werden – etwa durch Warnmeldungen im Browser oder Hinweise von Sicherheitssoftware.

 

Rankingverlust in Suchmaschinen

Suchmaschinen wie Google überwachen Websites kontinuierlich auf Sicherheitsprobleme. Wird eine Website gehackt oder zur Verbreitung von Schadsoftware genutzt, kann sie von Suchmaschinen als unsicher eingestuft werden.

In solchen Fällen kann es zu deutlichen Rankingverlusten kommen oder die Website wird sogar vollständig aus dem Suchindex entfernt. Zusätzlich können Warnhinweise wie „Diese Website wurde möglicherweise gehackt“ oder „Diese Seite könnte Ihren Computer beschädigen“ in den Suchergebnissen erscheinen.

Dies führt häufig zu einem drastischen Rückgang des Website-Traffics und kann erhebliche wirtschaftliche Folgen für Unternehmen haben.

Rechtsprechung zu gehackten Websites

Die Haftung bei Hackerangriffen hängt stark vom Einzelfall ab.

So hat etwa das Oberlandesgericht Hamburg entschieden, dass ein Websitebetreiber nicht automatisch für rechtswidrige Inhalte haftet, die von unbekannten Hackern auf eine Website hochgeladen wurden.

Allerdings bedeutet dies nicht, dass Betreiber generell von Verantwortung befreit sind. Entscheidend ist insbesondere, ob der Betreiber zumutbare Sicherheitsmaßnahmen ergriffen hat. Werden grundlegende Sicherheitsmaßnahmen – wie etwa regelmäßige Software-Updates – dauerhaft unterlassen, kann dies rechtlich relevant sein.

So heißt es in dem Urteil u.a.:

... Der Betreiber einer Internetseite kann als Störer in analoger Anwendung des § 1004 BGB in Anspruch genommen werden, wenn er – ohne Täter oder Teilnehmer zu sein – in irgendeiner Weise willentlich und adäquat kausal zur Verletzung eines geschützten Rechts beiträgt. Dies setzt jedoch die Verletzung einer Verhaltenspflicht voraus, deren Umfang vom Einzelfall, insbesondere vom Ausmaß der zumutbaren Überprüfung der Internetseite, abhängig ist...
Logo Landgericht Hamburg

Urteil 310 O 219/18 vom 22.01.2019

LG Hamburg 10. Zivilkammer

Das gesamte Urteil ist hier nachzulesen: https://www.landesrecht-hamburg.de/bsha/document/NJRE001386895

Das Einspielen von bekannten (also z.B. von der TYPO3 Association veröffentlichten) Sicherheitsupdates dürfte Teil der Verhaltenspflicht im obigen Sinne sein.

Typische Angriffsszenarien bei veralteten TYPO3- oder PHP-Versionen

Bei Websites mit veralteten CMS- oder PHP-Versionen treten häufig folgende Angriffsszenarien auf:

1. Malware-Distribution

Angreifer platzieren Schadcode auf der Website, der beim Aufruf der Seite automatisch Malware an Besucher ausliefert.

2. Spam- und Phishing-Kampagnen

Der kompromittierte Webserver wird zum Versand großer Mengen von Spam- oder Phishing-E-Mails genutzt.

3. SEO-Spam

Suchmaschinen-Spam wird in die Website eingeschleust, um fremde Produkte oder illegale Angebote zu bewerben.

4. Weiterleitungen auf Schadseiten

Besucher werden automatisch auf manipulierte Seiten weitergeleitet.

Solche Vorfälle können nicht nur rechtliche Risiken verursachen, sondern auch erhebliche Reputations- und SEO-Schäden nach sich ziehen.

Um Risiken zu minimieren, sollten Websitebetreiber folgende Maßnahmen umsetzen:

Besonders wichtig ist, dass keine End-of-Life-Software eingesetzt wird, für die keine Sicherheitsupdates mehr verfügbar sind.

Fazit

Der Einsatz veralteter CMS- oder PHP-Versionen stellt ein erhebliches Sicherheitsrisiko dar und kann auch rechtliche Folgen haben. Websitebetreiber sind verpflichtet, angemessene Maßnahmen zur IT-Sicherheit zu ergreifen und ihre Systeme regelmäßig zu aktualisieren.

Der Betrieb von Websites mit End-of-Life-Software erhöht die Wahrscheinlichkeit erfolgreicher Angriffe erheblich. Neben technischen Schäden können daraus auch datenschutzrechtliche, zivilrechtliche und wirtschaftliche Risiken entstehen.

Regelmäßige Software-Updates und ein aktives Sicherheitsmanagement sind daher zentrale Voraussetzungen für einen sicheren und rechtssicheren Betrieb moderner Websites.