TYPO3-Upgrades: Warum "Es läuft doch" die gefährlichste Ausrede ist

Ich erlebe es immer wieder. Ein Kunde sitzt auf TYPO3 Version 8 oder sogar älter, und wenn ich das Thema Upgrade anspreche, kommt wie aus der Pistole geschossen: "Die Seite läuft doch. Es funktioniert alles. Warum sollte ich da Geld reinstecken?"

Und ich verstehe die Zurückhaltung. Wirklich. Kein Unternehmen gibt gerne Geld aus für etwas, das scheinbar nicht kaputt ist. Aber diese Einstellung ist nicht nur kurzsichtig. Sie ist brandgefährlich.

Als jemand, der seit 2006 mit TYPO3 arbeitet und regelmäßig mit anderen Agenturen und Integratoren spricht, kann ich dir sagen: Das Problem ist real, es ist weit verbreitet, und es wird größer.

Die bequeme Lüge: "Es läuft doch"

Ja, deine Website läuft. Heute. Morgen vielleicht auch noch. Aber sie läuft auf Software, die niemand mehr wartet. Auf einem PHP, das seit Jahren keine Sicherheitsupdates mehr bekommt. Mit Extensions, für die es längst keine Pflege mehr gibt.

Das ist, als würdest du mit einem Auto ohne TÜV fahren. Funktioniert auch. Bis zur ersten Kurve. Oder bis zur ersten Kontrolle.

Der Unterschied: Bei deinem Auto weißt du, dass du ein Risiko eingehst. Bei deiner Website redest du dir ein, dass schon nichts passieren wird.

Was du wirklich riskierst

Sicherheitslücken: Offene Türen für Angreifer

Alte TYPO3-Versionen haben bekannte Sicherheitslücken. Diese Lücken sind öffentlich dokumentiert. Hacker haben automatisierte Skripte, die das Internet nach genau solchen veralteten Installationen durchsuchen.

Du lässt deine Haustür nicht nur offen. Du hängst ein Schild raus: "Bin nicht da, kommt rein."

Wenn deine Website gehackt wird, geht es nicht nur um ein paar Spam-Links. Es geht um Malware, die deine Besucher infiziert. Um gestohlene Kundendaten. Um einen beschädigten Ruf, der Jahre braucht, um wieder hergestellt zu werden.

DSGVO: Du verstößt gerade gegen geltendes Recht

Hier wird es unangenehm: Laut DSGVO bist du verpflichtet, die eingesetzte Software auf dem Stand der Technik zu halten. Besonders wenn personenbezogene Daten verarbeitet werden.

Und bevor du sagst "Wir verarbeiten keine Daten": Doch. Allein ein Kontaktformular reicht. Analytics. Newsletter-Anmeldung. Das alles sind personenbezogene Daten.

Wer bewusst veraltete Software einsetzt, handelt fahrlässig. Bei einer Datenpanne drohen Meldepflichten, Bußgelder und Schadensersatzforderungen. Und deine Versicherung könnte bei grober Fahrlässigkeit die Leistung verweigern.

Für Vereine, Gemeinden und Kirchengemeinden gilt das übrigens genauso. Ehrenamtliche Vorstände haften persönlich. Wollt ihr wirklich das Vereinsvermögen für eine vermeidbare Strafe riskieren?

Kosten steigen exponentiell

Ein Upgrade von TYPO3 11 auf 13 ist überschaubar. Von TYPO3 8 auf 13 wird es schon aufwendiger. Von Version 4.5 auf 13? Dann reden wir nicht mehr über ein Upgrade, sondern über einen Relaunch.

Je länger du wartest, desto teurer wird es. Extensions verschwinden vom Markt. PHP-Versionen werden inkompatibel. Hoster stellen den Support für alte Systeme ein. Was heute noch in zwei Tagen machbar wäre, kann in einem Jahr einen kompletten Neuaufbau bedeuten.

Du entscheidest heute, ob du das Upgrade planst oder ob dein Hoster für dich entscheidet. Und Entscheidungen unter Zeitdruck sind immer die teuersten.

Der Dominoeffekt: Wenn der Hoster den Stecker zieht

Das Szenario läuft immer gleich ab: Dein Hoster kündigt an, dass alte PHP-Versionen nicht mehr unterstützt werden. Du hast drei Monate Zeit. Deine alte TYPO3-Version läuft aber nur mit genau dieser PHP-Version.

Jetzt hast du die Wahl: Notfall-Upgrade unter Zeitdruck oder Website offline. Beides ist teuer. Beides ist stressig. Beides wäre vermeidbar gewesen.

Ich habe das schon dutzende Male erlebt. Und jedes Mal ist die Rechnung am Ende höher als ein geplantes, sauberes Upgrade es gewesen wäre.

Warum Kunden trotzdem zögern

Ich verstehe die Einwände. Wirklich.

"Wir haben kein Budget."

Dann hast du auch kein Budget für eine offline Website, für Datenverlust oder für DSGVO-Strafen. Ein geplantes Upgrade kostet einen Bruchteil dessen, was ein Notfall-Szenario kostet.

Überleg mal: Würdest du bei deinem Auto sagen "Ich habe kein Budget für neue Bremsen"? Nein, weil du weißt, was passiert, wenn die Bremsen versagen.

"Wir ändern die Website eh nicht mehr."

Dann brauchst du kein CMS. Wenn deine Website wirklich statisch ist und sich nichts mehr ändert, gibt es bessere Lösungen. Eine statische HTML-Version ist günstiger im Betrieb, sicherer und schneller.

Aber sei ehrlich: Ändert sich wirklich nichts? Keine Texte, keine Bilder, keine Kontaktdaten? Falls doch, brauchst du ein gepflegtes System.

"Bei uns passiert schon nichts."

Vielleicht hast du Glück und es passiert dir nichts. Aber die Statistik spricht eine andere Sprache: Jedes siebte Unternehmen wurde bereits gehackt, und 70% der deutschen Unternehmen waren schon Opfer von Cyberkriminellen. Die meisten davon sind kleine Unternehmen und Vereine, die genau das dachten.

Hacker interessieren sich nicht für deine Unternehmensgröße. Sie interessieren sich für offene Sicherheitslücken. Und die sind bei einer veralteten TYPO3-Installation garantiert vorhanden.

Die Perspektive der Integratoren

Und jetzt ein Wort an die Agenturen, Entwickler und Integratoren, die das hier lesen:

Ihr macht einen wichtigen Job. Ihr betreut Websites, haltet Systeme am Laufen, kümmert euch um Probleme. Aber ihr seid keine Sanitäter für Zombies.

Alte TYPO3-Installationen zu betreuen kostet überproportional viel Zeit. Zeit, die euch für moderne, spannende Projekte fehlt. Zeit, die eure Margen auffrisst. Zeit, die euch frustriert.

Und was noch wichtiger ist: Eure Mitarbeiter wollen nicht an zehn Jahre alter Software arbeiten. Welcher gute Entwickler will 2025 noch an TYPO3 4.5 schrauben? Ihr verliert gute Leute, wenn ihr nur alte Systeme betreut.

Grenzen zu setzen ist nicht unfreundlich. Es ist professionell.

Es ist okay zu sagen: "Ich kann die Betreuung nicht mehr verantworten, wenn Sie nicht upgraden. Hier sind die Risiken, hier ist ein Angebot für ein Upgrade. Wenn Sie das nicht möchten, müssen wir die Zusammenarbeit beenden."

Das ist kein Ultimatum. Das ist Risikomanagement. Für beide Seiten.

Wenn ein Kunde gehackt wird und ihr habt vorher nicht eindringlich auf die Risiken hingewiesen, haftet ihr möglicherweise mit. Und selbst wenn nicht: Euer Ruf leidet. "Der betreut eine gehackte Website und hat nichts gemacht."

Ihr seid Experten. Ihr wisst, was richtig ist. Steht dazu.

Was du jetzt tun kannst

Für Kunden: Hör auf deinen Integrator

Wenn deine Agentur oder dein Entwickler sagt, dass ein Upgrade notwendig ist, dann ist es notwendig. Diese Menschen leben von TYPO3. Sie wissen, wovon sie reden.

Frag nach einem konkreten Angebot. Lass dir erklären, was passiert und warum. Und dann investiere in die Sicherheit deiner Website.

Falls dein Integrator das Thema noch nicht angesprochen hat, sprich du es an. Frag, auf welcher TYPO3-Version du bist und ob ein Upgrade notwendig ist.

Und falls du keinen Integrator hast oder einen neuen brauchst: Melde dich gerne bei mir. Wir schauen uns deine Installation an und besprechen, was Sinn macht.

Für Integratoren: Sprich Klartext

Macht eine Liste eurer Kunden mit veralteten TYPO3-Versionen. Priorisiert nach Risiko. Und dann sprecht das Thema an. Konkret, mit Zeitplan und Angebot.

Gebt euren Kunden die Informationen, die sie brauchen, um eine Entscheidung zu treffen. Erklärt die Risiken. Nennt die Kosten. Setzt eine Frist.

Und wenn ein Kunde trotzdem nicht will, dokumentiert das schriftlich. Lasst euch bestätigen, dass ihr auf die Risiken hingewiesen habt und der Kunde das Upgrade ablehnt. Das ist Selbstschutz.

Bietet Lösungen an:

Wartungsverträge: Kleine, planbare monatliche Beträge statt große, unerwartete Rechnungen. Regelmäßige Updates sind günstiger als Notfall-Upgrades.

Upgrade-Pakete: Festpreis-Angebote für Standard-Upgrades, gestaffelt nach Aufwand.

Statische Konvertierung: Für wirklich tote Websites ohne regelmäßige Änderungen. Raus aus TYPO3, rein in statisches HTML. Günstiger im Betrieb, sicherer, schneller.

Stufenweise Migration: Nicht alles auf einmal, sondern Schritt für Schritt. Erst die kritischsten Sicherheitslücken schließen, dann den Rest.

Exit-Option: Manchmal ist ein neues, schlankes System günstiger als ein Monster-Upgrade. Seid ehrlich, wenn das der bessere Weg ist.

Die Frage ist nicht ob, sondern wann

Irgendwann wirst du upgraden müssen. Die Frage ist nur: Machst du es jetzt, geplant und sauber? Oder später, unter Zeitdruck und mit dreifachen Kosten?

Die Technologie wartet nicht auf dich. TYPO3 Version 14 kommt im April 2026. Der Abstand zwischen aktuellen Standards und alten Installationen wird größer, nicht kleiner.

In fünf Jahren findet man niemanden mehr, der TYPO3 4.5 anfassen will. Und wenn doch, wird es richtig teuer.

Die beste Zeit für ein Upgrade war vor zwei Jahren. Die zweitbeste Zeit ist jetzt.

Mein Rat

Ich schreibe das nicht, um Panik zu machen. Ich schreibe es, weil ich es ernst meine.

Als TYPO3-Experte seit 2006, als Mitglied des TYPO3 Education Committee und als jemand, der hunderte Projekte begleitet hat: Veraltete Installationen sind ein Risiko, das du nicht eingehen solltest.

Es geht nicht um Perfektionismus. Es geht um Vernunft.

Du musst nicht immer auf der neuesten Version sein. Aber du solltest auf einer Version sein, die noch Support bekommt. Die noch Sicherheitsupdates erhält. Die noch eine Zukunft hat.

Und wenn du nicht weißt, wo du stehst oder was zu tun ist: Frag jemanden, der sich auskennt. Deinen Integrator. Eine Agentur. Oder mich.

Aber tu etwas. Denn "Es läuft doch" ist keine Strategie. Es ist Selbsttäuschung.

Und die kann teuer werden.

Zurück