Security und TYPO3

Weil eine Menge davon abhängt, dass Ihre Website funktioniert

Pagemachine.de/ TYPO3/ Security

Darauf, dass Ihre Website, Ihre Daten und die Daten Ihrer Kund:innen  geschützt sind, müssen sie sich jederzeit und dauerhaft verlassen können. Die Schäden eines Angriffs sind kaum kalkulierbar.

Wir setzen auf TYPO3, weil Systemarchitektur und Update-Policy genau darauf ausgerichtet sind und so unsere hohen Sicherheitsstandards für die Entwicklung von Websites und online Anwendungen perfekt ergänzen.

Eine Website nicht regelmäßig zu betreuen ist fahrlässig .

Das kann man nicht deutlich genug sagen: das Betreiben einer TYPO3 Website ohne kontinuierliche technische Betreuung ist fahrlässig und verstößt auch gegen Vorgaben des Datenschutzes, was letztlich sehr teuer werden kann.

Wir halten TYPO3 Websites sicher

Updates und Support

Im Rahmen von Wartungsverträgen sorgen wir dafür, dass Ihre Websites stabil läuft und sicherheitstechnisch jederzeit auf dem aktuellen Stand ist.

Zuallererst natürlich für Websites, die wir selbst entwickelt haben. Aber wir übernehmen auch Support für Websites anderer Agenturen.

Wie sicher ist Ihre Website?

Fragen Sie uns...

Gerne unterziehen wir Ihre Website einem kurzen Check und besprechen mit Ihnen den Handlungsbedarf.

Was könnte passieren

Risiken und Bedrohungen

Sie möchten aber auch, dass Ihre Website zuverlässig funktioniert und nicht durch böswillige Angriffe lahmgelegt wird. Für Unternehmen, deren Website ein Hauptvertriebskanal ist, ist ein lang dauernder Ausfall ein Albtraum.

Zugriff aufs Filesystem ist besonders gefährlich

Neben plumpen DNS-Attacken, für die Angreifer:innen nicht in das Zielsystem selbst eindringen müssen, versuchen ambitioniertere Hacker:innen, sich einen Zugang zum Filesystem zu verschaffen. Dabei nutzen sie häufig bekannte Sicherheitslücken aus, um z.B. 

  • Programmcode gegen modifizierten Code auszutauschen
  • Daten aus der Datenbank zu stehlen. 
  • Daten zu verschlüsseln

Ein Beispiel

Beim Angriff auf die IHKs im Sommer 2022 kam es zu monatelangen Ausfällen

Der Hackerangriff erfolgte am 3. August 2022 auf den bundesweiten IHK-IT-Dienstleister. Als Reaktion mussten sämtliche Verbindungen der IHKs zum Internet unterbrochen werden.

Auch gut einen Monat danach waren nicht alle Websites der IHKs wieder online. 32 von 79 IHKs waren am 6. noch nicht wieder per E-Mail erreichbar. 

Open vs. Closed Source

In Open-Source-Projekten bleiben Sicherheitslücken nicht lange unentdeckt

Hier greift ein weiterer großer Vorteil von Open-Source-Projekten: die Zahl der Personen, die Zugriff auf den Programmcode haben, ist riesig. So bleiben Fehler und auch Sicherheitslücken nur für kurze Zeit unentdeckt, während bei Closed-Source-Projekten eklatante Mängel in der Sicherheitsarchitektur und in der Umsetzung immer wieder für Schlagzeilen sorgen.

Sicherheitslücken gibt es in jedem Software-System

Der Umgang damit macht den Unterschied

Wie in jedem komplexen Software-System, werden in TYPO3 immer wieder Sicherheitslücken entdeckt. So auch in TYPO3. Der Umgang mit solchen Sicherheitslücken macht den Unterschied.

Was leistet TYPO3

So reduziert die TYPO3 Community das Risiko von Sicherheitslücken

Regelmäßige TYPO3 Sicherheitsupdates

Die wichtigste präventive Abwehrmaßnahme dagegen ist, sämtliche Sicherheitslücken unmittelbar nach Bekanntwerden zu schließen. 

Das ist im Falle von TYPO3 sehr gut möglich, da die TYPO3 Association grundsätzlich bei Bekanntgabe einer Lücke immer auch gleich ein Update zur Verfügung stellt, das diese Lücke schließt.

Bei TYPO3 greift ein definierter Prozess

Entdeckt einer der tausenden Entwickler im TYPO3-Umfeld eine Sicherheitslücke in TYPO3, greift ein definierter Prozess, der dafür sorgt, dass diese einem Security Team bekannt gemacht wird, das dann die unverzügliche Behebung der Lücke organisiert und das nach Schließen der Lücke in Form eines Core Updates die Öffentlichkeit über die Gefahr informiert und das Update zeitgleich zur Verfügung stellt.

Was tun wir?

So maximieren wir die Sicherheit Ihrer TYPO3-Instanz

Wir sorgen dafür, dass solche Updates unverzüglich in Ihre TYPO3 Instanz eingespielt werden.

Wir behalten alle Komponenten automatisch im Blick

Dafür nutzen wir auch teilautomatisierte Mechanismen, die nicht nur für den TYPO3 Core, sondern auch für andere Komponenten mehrmals täglich das Vorhandensein von Updates prüfen und deren Installation in einem separaten Branch der Versionsverwaltung vorbereiten. 

Https ist für uns selbstverständlich

Natürlich ist es selbstverständlich, dass eine Website unter https läuft, also der Datenverkehr zwischen dem Besucher und Ihrem Server in einem verschlüsselten Kanal abläuft.

Bei CDNs wägen wir ab

Zum Beispiel beim Einsatz von Content Delivery Networks (CDN) wie Cloudflare machen wir uns immer bewusst, welche Einschränkungen es hierbei gibt – schließlich wir der SSL-Tunnel beim CDN-Anbieter kurz unterbrochen – und wägen gemeinsam mit Ihnen ab, ob man diese in Kauf nimmt.

Sicherheit vs. Performance

Ein starkes CDN fängt Denial-of-Service-Attacken in der Regel sehr gut ab und verhindert, dass Ihr Webserver in die Knie geht. Manchmal ist das der Hauptzweck des Einsatzes eines CDN, oft aber ist es ein willkommener Nebeneffekt, der mit den eigentlich angestrebten schnelleren Ladezeiten einhergeht.

TYPO3 – sicher konzipiert

Viele Merkmale in TYPO3 sorgen für höchste Sicherheit

Neben der sehr professionellen Update-Policy gibt es aber auch in der Architektur von TYPO3 zahlreiche Merkmale, die für höchste Sicherheit sorgen.

Passwörter niemals im Klartext

Passwords in TYPO3 sind niemals im Klartext gespeichert, sondern als Hashwert mit Salt versehen. Dabei passt TYPO3 das verwendete Hash-Verfahren kontinuierlich der technischen Entwicklung an - aktuell wird das sehr starke Verfahren argon2i eingesetzt.

Mehr-Faktor-Authentisierung für's Backend

Für Backend-User bietet TYPO3 eine Mehr-Faktor-Authentisierung an und entspricht damit den modernsten Sicherheitsparadigmen.

Protected Storages

Für datenschutzrelevante Downloads bietet TYPO3 das Prinzip der “Protected Storages” an. Das sind Verzeichnisse außerhalb des Virtual Hosts, die deshalb niemals direkt über eine URL aufrufbar wären, sondern nur programmatisch angesprochen werden können.

TYPO3 ist nicht umsonst ein Enterprise Content-Management-System

TYPO3 ist für Herausforderungen konzipiert, die große Unternehmen insbesondere auch an Sicherheit und Verfügbarkeit Ihrer Website haben. Wenn dann noch eine kontinuierliche Pflege der Website mit zeitnahem Einspielen von Updates organisiert wird, hat man bestmöglich vorgesorgt.

Wollen Sie wissen, wie sicher Ihre Website ist?

Haben Sie Fragen? Dann lassen Sie sich doch einfach von unseren Expert:innen beraten.

Per Telefon, Video-Call oder perönlich im Büro.

Alles rund um Ihre Website aus einer Hand

Von Gestaltung bis Programmierung ist Ihr Projekt bei unseren erfahrenen Designer:innen und Entwickler:innen in den besten Händen.

Ein Grund mehr uns anzurufen

+49 69 260997030

Drei weitere gute Gründe

Beispiele für erfolgreiche Projekte von Pagemachine

TÜV Hessen

Entwicklung und Umsetzung nach Scrum

Sanner

Erarbeitung eines vollkommen neuen Internetauftritts

Uni Würzburg

Demokratie aufbereitet und dargestellt auf der neuen Website 

Unsere Kund:innen

Don’t talk about!

Über 100 Mitarbeiter:innen!

Der FGTCLB: Fünf Agenturen, ein Netzwerk, seit 2017. Wir sind unabhängig, profitieren aber von einem geteilten Pool an Ressourcen und Erfahrung, auch aus gemeinsam realisierten Projekte.

Ein Team

Was haben Sie davon? Ganz einfach, Ihre Projekte werden schneller fertig. Wir gleichen Arbeitsspitzen aus. Und Sie profitieren von mehr Know-how, gerade bei kniffligen Aufgaben.