TYPO3 Security Checkliste: Was B2B- und Enterprise-Websites regelmäßig prüfen sollten

TYPO3 gilt in vielen Organisationen als solides CMS für komplexe, mehrsprachige und langfristig betriebene Websites. Genau deshalb ist TYPO3-Security aber kein Randthema. Wer TYPO3 für Unternehmenswebsites, öffentliche Portale, Verbandsseiten oder B2B-Plattformen nutzt, betreibt selten eine reine Broschüren-Website. Häufig hängen daran viele Redakteure, Rollenmodelle, Integrationen, Formulare, Login-Bereiche, Extension-Logik und langjährige Upgrade-Zyklen.

Das Sicherheitsrisiko entsteht dabei nicht nur durch „TYPO3 selbst“. Es entsteht durch das Zusammenspiel aus Core-Version, Extensions, Templates, Serverumgebung, Backend-Zugängen, Install Tool, Security Headers, Zertifikaten, öffentlichen Fingerprints und der Frage, ob bekannte Schwachstellen überhaupt regelmäßig geprüft werden.

Dieser Artikel zeigt, was Website-Verantwortliche auch ohne tiefen Admin-Zugang regelmäßig prüfen sollten — und wie ein TYPO3 Security Check von einem einmaligen Audit zu einem wiederholbaren Prozess wird.

Warum TYPO3-Security gerade jetzt relevant ist

TYPO3 arbeitet mit Long-Term-Support-Versionen. Laut offizieller TYPO3-Dokumentation erscheinen LTS-Versionen planmäßig etwa alle 18 Monate und erhalten mindestens drei Jahre Support mit Bugfixes und Security Fixes. Die TYPO3-Dokumentation weist außerdem ausdrücklich darauf hin, dass Versionen unterhalb von TYPO3 v12 veraltet sind und deren regulärer Support inklusive Security Updates beendet ist.[^typo3-versions]

Besonders relevant: TYPO3 v12 LTS hat am 30. April 2026 das Ende des kostenlosen Supports erreicht. Ab dem 1. Mai 2026 erhält TYPO3 v12 LTS laut TYPO3-News keine kostenlosen Support-, Maintenance- oder Security-Updates mehr. TYPO3 v13 LTS erhält Security Updates bis Ende Dezember 2027; TYPO3 v14 LTS erhält Security Updates bis Ende Juni 2029.[^typo3-v12-eol]

Für Website-Verantwortliche bedeutet das: Eine Website kann weiterhin funktionieren und trotzdem sicherheitsstrategisch veraltet sein. Das ist ein typisches Problem in B2B- und Enterprise-Umgebungen. Systeme werden stabil betrieben, Relaunches werden verschoben, Agenturverträge wechseln, einzelne Extensions bleiben liegen — und irgendwann ist nicht mehr klar, welche Komponenten eigentlich noch sicher gepflegt werden.

Das Grundproblem: Viele Teams kennen ihre TYPO3-Angriffsfläche nicht vollständig

OWASP beschreibt „Vulnerable and Outdated Components“ als Risiko, wenn Organisationen ihre Komponenten, Versionen und Abhängigkeiten nicht kennen, wenn Software veraltet oder unsupported ist oder wenn nicht regelmäßig auf Schwachstellen gescannt wird.[^owasp-a06]

Genau hier liegen viele TYPO3-Risiken. Nicht weil TYPO3 grundsätzlich unsicher wäre, sondern weil reale TYPO3-Installationen über Jahre wachsen:

• Der TYPO3 Core läuft auf einer LTS-Version, aber nicht auf dem aktuellen Patch-Level.
• Eine Extension wurde vor Jahren eingebaut, wird aber nicht mehr aktiv gepflegt.
• Ein Template oder Sitepackage enthält alte Libraries.
• Backend-Zugänge wurden nach Mitarbeiterwechseln nicht konsequent bereinigt.
• Das Install Tool wurde nach Wartungsarbeiten nicht ausreichend abgesichert.
• Security Headers fehlen oder sind nur teilweise gesetzt.
• Der öffentliche Auftritt verrät mehr über CMS, Versionen und Erweiterungen als nötig.

Ein guter TYPO3 Security Check beginnt deshalb nicht mit Panik, sondern mit Inventur: Was ist öffentlich erkennbar? Was ist wahrscheinlich veraltet? Was lässt sich gegen bekannte CVEs prüfen? Was gehört in ein technisches Follow-up?

Die TYPO3 Security Checkliste

1. TYPO3-Version und Supportstatus prüfen

Die wichtigste Frage lautet nicht nur: „Welche TYPO3-Version läuft?“ Sondern:

• Ist die Version noch im regulären Support?
• Ist sie auf dem aktuellen Patch-Level?
• Gibt es für diese Version bekannte Sicherheitslücken?
• Gibt es einen Upgrade- oder ELTS-Plan?

Bei TYPO3 v12 ist diese Frage seit Mai 2026 besonders dringend. Wer noch auf v12 setzt, sollte entweder ein Upgrade auf v13/v14 planen oder bewusst entscheiden, ob Extended Long Term Support nötig ist. Wer noch auf v11, v10 oder älter läuft, sollte das nicht als kosmetisches Wartungsthema behandeln, sondern als strukturelles Risiko.

Wichtig: Das Risiko liegt nicht nur in „großen“ Major-Releases. Auch Patch-Versionen können sicherheitsrelevant sein. Im Januar 2026 veröffentlichte TYPO3 beispielsweise Security Releases für mehrere betroffene Versionen. Eine der Core-Advisories betraf Broken Access Control im Recycler Module; betroffen waren u. a. TYPO3 12.0.0 bis 12.4.40, 13.0.0 bis 13.4.22 und 14.0.0 bis 14.0.1. Die Lösung bestand im Update auf gefixte Versionen wie 12.4.41 LTS, 13.4.23 LTS oder 14.0.2.[^typo3-recycler]

2. Extensions systematisch gegen bekannte Schwachstellen prüfen

TYPO3-Websites sind selten reine Core-Installationen. Sie nutzen Extensions für Formulare, SSO, Suche, Veranstaltungen, Newsletter, Schnittstellen, Exportfunktionen oder individuelle Prozesse. Genau diese Extensions sind oft der Teil, der über längere Zeit unbemerkt altert.

Die offiziellen TYPO3 Security Advisories zeigen regelmäßig auch Extension-Schwachstellen. Im Jahr 2026 wurden beispielsweise Advisories zu Authentication Bypass, Broken Access Control, Insecure Deserialization und verwundbaren gebündelten Paketen in Extensions veröffentlicht.[^typo3-advisories]

Für Website-Verantwortliche folgt daraus eine praktische Regel: Jede produktive TYPO3-Website braucht eine aktuelle Extension-Inventur. Dazu gehören mindestens:

• Name der Extension
• Version
• Herkunft: TER, Composer, Eigenentwicklung, Agentur-Code
• Wartungsstatus
• bekannte CVEs oder Security Advisories
• Business-Relevanz: kritisch, wichtig, optional, legacy
• Verantwortlichkeit: intern, Agentur, Hosting, externer Dienstleister

Eine Extension, die nicht mehr gebraucht wird, ist keine harmlose Altlast. Sie ist technischer Ballast und potenziell ein Angriffspunkt.

3. Öffentliche Fingerprints reduzieren

Viele Security Checks beginnen von außen. Angreifer, Scanner und auch seriöse Prüftools analysieren öffentliche Hinweise:

• Generator-Meta-Tags
• typische TYPO3-Pfade
• sichtbare Extension-Assets
• JavaScript- und CSS-Dateien
• öffentlich erreichbare Backend- oder Install-Tool-Pfade
• Server Header
• Fehlermeldungen
• Directory Listing
• veraltete Frontend-Libraries

Nicht jeder Fingerprint ist automatisch kritisch. Aber je mehr Informationen eine Website preisgibt, desto einfacher wird es, bekannte Schwachstellen automatisiert zuzuordnen. Für Betreiber bedeutet das: Öffentliche Erkennbarkeit sollte bewusst gesteuert werden. Was nicht öffentlich notwendig ist, sollte nicht öffentlich verraten werden.

4. Backend-Zugänge und Rollen regelmäßig kontrollieren

TYPO3 ist oft redaktionell stark verteilt. Gerade das ist eine Stärke des Systems — aber auch ein Security-Thema. Viele Redakteure, Agenturen, Freelancer, Administratoren und Systembetreuer erzeugen über Jahre ein komplexes Berechtigungsmodell.

Die TYPO3-Dokumentation empfiehlt aus Sicherheitsperspektive, Zugriffe auf notwendige Funktionen zu beschränken. Zusätzliche Privilegien bringen zusätzliche Risiken und Verantwortung.[^typo3-editors]

Für die Praxis heißt das:

• Gibt es ehemalige Mitarbeiter oder Dienstleister mit aktivem Zugang?
• Haben Redakteure nur die Rechte, die sie wirklich brauchen?
• Sind Administrator-Accounts auf wenige Personen begrenzt?
• Gibt es 2FA oder andere starke Zugangsschutzmechanismen?
• Sind Backend-Logins ausschließlich per HTTPS erreichbar?
• Wird ungewöhnliches Login-Verhalten überwacht?
• Gibt es getrennte Rollen für Redaktion, Administration und Systemwartung?

Besonders in Enterprise-Umgebungen sollte Backend-Security nicht nur technisch, sondern organisatorisch verstanden werden. Ein „alter Admin-Account“ ist kein Detail. Er kann ein reales Risiko sein.

5. Install Tool und Admin Tools besonders absichern

Das TYPO3 Install Tool ist mächtig. Laut offizieller Dokumentation kann es sehr grundlegende Systemeinstellungen verändern. Ein TYPO3-Backend-Account ist für den Zugriff auf das Install Tool nicht zwingend erforderlich; deshalb benötigt es besondere Aufmerksamkeit und Schutz.[^typo3-install]

TYPO3 schützt das Install Tool unter anderem über das Vorhandensein der Datei ENABLE_INSTALL_TOOL und ein separates Install-Tool-Passwort. Die Dokumentation weist ausdrücklich darauf hin, dass die Datei nach der Nutzung entfernt oder umbenannt werden sollte, um unautorisierten Zugriff zu verhindern.[^typo3-install]

Eine praktische Prüfliste:

• Ist das Install Tool öffentlich erreichbar?
• Existiert eine ENABLE_INSTALL_TOOL-Datei in produktionsnahen Pfaden?
• Wird das Install Tool zusätzlich serverseitig geschützt?
• Ist das Install-Tool-Passwort stark und aktuell?
• Sind System Maintainer auf das absolut nötige Minimum beschränkt?
• Sind Entwicklungs- und Produktionskontexte sauber getrennt?

Das ist ein gutes Beispiel dafür, warum TYPO3 Security nicht nur aus Core-Updates besteht. Ein aktuell gepatchter Core hilft wenig, wenn hochprivilegierte Tools unnötig erreichbar sind.

6. HTTPS, Zertifikate und Security Headers prüfen

TYPO3-Security endet nicht im CMS. Die Website sollte durchgehend per HTTPS erreichbar sein, keine Mixed-Content-Probleme erzeugen und sichere Header verwenden.

Zur Baseline gehören unter anderem:

• gültiges TLS-Zertifikat
• automatische Weiterleitung von HTTP auf HTTPS
• HSTS, wenn sauber implementiert
• Content-Security-Policy oder zumindest eine bewusst geplante CSP-Roadmap
• X-Frame-Options oder CSP-Frame-Ancestors gegen Clickjacking
• Referrer-Policy
• Permissions-Policy
• sichere Cookie-Flags, wenn Cookies eingesetzt werden
• keine unnötigen Server- oder Framework-Versionen in Response Headern

Diese Punkte sind nicht TYPO3-spezifisch, aber für jede TYPO3-Website relevant. Gerade B2B- und Enterprise-Websites werden häufig in Beschaffungs-, Compliance- oder Partnerprüfungen aufgenommen. Fehlende Security Headers sind dann ein sichtbares Qualitätsproblem, auch wenn noch kein konkreter Angriff vorliegt.

7. Bekannte CVEs nicht nur suchen, sondern priorisieren

Nicht jede CVE ist gleich kritisch für jede Website. Eine gute Bewertung fragt:

• Ist die betroffene Version tatsächlich im Einsatz?
• Betrifft die Schwachstelle Core, Extension, Template oder Library?
• Ist Ausnutzung ohne Login möglich oder nur mit Backend-Rechten?
• Betrifft sie Vertraulichkeit, Integrität oder Verfügbarkeit?
• Gibt es einen Patch?
• Gibt es Hinweise auf aktive Ausnutzung?
• Welche Business-Prozesse hängen an der betroffenen Website?

Beispiel: Die NVD beschreibt CVE-2026-6553 als TYPO3-Schwachstelle in Version 14.2.0, bei der Backend-User-Passwörter im Klartext in bestimmten Datenbankfeldern gespeichert werden konnten. Die CNA-Bewertung von TYPO3 lag bei CVSS 4.0 „High“.[^nvd-6553] Das zeigt: Auch aktuelle Major-Versionen können relevante Security Fixes brauchen. „Wir sind auf der neuesten Generation“ ersetzt kein Patch-Monitoring.

8. Malware- und Threat-Signale ergänzend beobachten

Ein TYPO3 Security Check sollte nicht nur Versionsstände prüfen. Er sollte auch nach Symptomen suchen:

• unerwartete externe Skripte
• verdächtige Weiterleitungen
• Blacklist- oder Safe-Browsing-Hinweise
• manipulierte Assets
• versteckte Spam-Seiten
• ungewöhnliche externe Requests
• kompromittierte JavaScript-Bibliotheken

Diese Ebene ist besonders wichtig, wenn die Website bereits Auffälligkeiten zeigt: Ranking-Verlust, Browser-Warnungen, Spam-Traffic, unerklärliche Weiterleitungen, ungewöhnliche Serverlast oder Beschwerden von Nutzern.

Warum ein einzelner TYPO3 Audit nicht reicht

Ein einmaliger TYPO3 Security Audit ist sinnvoll, aber er altert schnell. Nach dem Audit können neue Extensions installiert werden, Redakteure können neue Inhalte einbinden, Agenturen können Code ändern, Serverkonfigurationen können angepasst werden und neue CVEs können veröffentlicht werden.

Für Website-Verantwortliche ist daher ein wiederkehrender Sicherheitsprozess sinnvoller als ein jährlicher PDF-Report. Dieser Prozess sollte vier Fragen beantworten:

1. Was ist neu? Neue Schwachstelle, neue Extension, neue Konfiguration, neuer Fingerprint.
2. Was ist kritisch? Ausnutzbarkeit, Business-Relevanz, öffentliche Erreichbarkeit, betroffene Daten.
3. Wer ist verantwortlich? Internes Team, Agentur, Hosting, Datenschutz, IT-Security.
4. Was wurde erledigt? Fix, Update, Ausnahme, Risikoakzeptanz, erneuter Check.

Damit wird TYPO3-Security operationalisierbar. Nicht jedes Finding braucht sofort ein Großprojekt. Aber jedes relevante Finding braucht Kontext, Priorität und Verantwortlichkeit.

Was sich ohne TYPO3-Backend-Zugang prüfen lässt

Viele Website-Verantwortliche haben keinen direkten Backend- oder Serverzugang. Trotzdem lässt sich von außen mehr prüfen, als viele denken:

• Ist TYPO3 öffentlich erkennbar?
• Welche Version oder Versionshinweise sind sichtbar?
• Welche Extensions oder Assets lassen sich erkennen?
• Gibt es bekannte CVEs zu erkennbaren Komponenten?
• Sind Backend- oder Install-Tool-Pfade erreichbar?
• Gibt es Mixed Content?
• Welche Security Headers fehlen?
• Gibt es unsichere oder auffällige Response Header?
• Sind Zertifikate korrekt?
• Gibt es verdächtige externe Skripte?

Das ersetzt keinen vollständigen Penetrationstest und keinen internen Code Review. Aber es schafft eine erste belastbare Risikoübersicht. Genau diese Übersicht fehlt oft zwischen Management, Marketing, IT und Agentur.

Verbindung zu +Analytics Pro

+Analytics Pro enthält einen spezialisierten TYPO3 Security Checker. Er ist darauf ausgelegt, TYPO3-Installationen öffentlich zu erkennen, Core-, Extension- und Template-Versionen gegen die NVD-Datenbank zu prüfen und sicherheitsrelevante Konfigurationen wie Backend-Erreichbarkeit und Frontend-Hardening-Indikatoren zu bewerten.[^oneco-typo3]

Der Nutzen liegt nicht nur im einzelnen Scan. Die Stärke entsteht im Betrieb:

• TYPO3 automatisch erkennen: keine manuelle Vorprüfung, ob eine Seite mit TYPO3 läuft.
• NVD-Abgleich: bekannte Schwachstellen strukturiert gegen erkennbare Komponenten prüfen.
• Konfiguration bewerten: Hinweise auf Backend-Zugänglichkeit, Security-Konfiguration und öffentliche Fingerprints.
• AI Executive Summary: Ergebnisse für Entscheider verständlich zusammenfassen.
• Developer Guidance: technische Hinweise für Agenturen, Entwickler und Admins erzeugen.
• Stable Links: Ergebnisse mit Stakeholdern teilen, ohne PDF-Versionen herumzuschicken.
• Recurring Checks: TYPO3-Security als wiederkehrende Prüfung statt Einmal-Audit betreiben.
• Issue Tracking: Findings in eine zentrale Aufgabenliste überführen.

Zusammen mit dem Basic Web Security Checker, Malware & Threat Scan, Compliance-Checks und Transparency-Funktionen wird daraus ein operativer Sicherheits- und Qualitätsprozess für Website-Teams.

Praktische Priorisierung: Was zuerst prüfen?

Wenn wenig Zeit vorhanden ist, empfiehlt sich diese Reihenfolge:

1. Supportstatus und Patch-Level: Läuft die Website auf einer unterstützten TYPO3-Version?
2. Kritische CVEs: Gibt es bekannte Schwachstellen für Core, Extensions oder Templates?
3. Backend und Install Tool: Sind hochprivilegierte Zugänge unnötig öffentlich erreichbar?
4. Security Headers und HTTPS: Ist die technische Baseline sauber?
5. Extensions: Welche Erweiterungen sind aktiv, veraltet oder nicht mehr notwendig?
6. Benutzer und Rollen: Sind Admins und Redakteure auf notwendige Rechte beschränkt?
7. Monitoring: Wird regelmäßig erneut geprüft?

Die wichtigste Managementfrage lautet nicht: „Ist unsere TYPO3-Website perfekt sicher?“ Sie lautet: „Kennen wir unsere aktuellen Risiken, haben wir Prioritäten und können wir nachweisen, dass wir daran arbeiten?“

Fazit

TYPO3 ist ein leistungsfähiges CMS für anspruchsvolle Websites. Aber gerade langfristig betriebene TYPO3-Systeme brauchen regelmäßige Sicherheitskontrolle. Core-Versionen altern, Extensions verändern sich, CVEs werden veröffentlicht, Konfigurationen driften und organisatorische Verantwortlichkeiten wechseln.

Ein moderner TYPO3 Security Check sollte deshalb nicht als einmalige technische Prüfung verstanden werden. Er sollte Teil des laufenden Website-Betriebs sein: automatisiert, wiederholbar, priorisiert und für unterschiedliche Stakeholder verständlich.

+Analytics Pro kann hier als verbindende Schicht dienen: TYPO3-spezifische Security Checks, allgemeine Web-Security-Prüfungen, Malware-Signale, wiederkehrende Audits, Issue Tracking und teilbare Nachweise in einem System.

Wer TYPO3 für kritische B2B-, Enterprise- oder öffentliche Websites nutzt, sollte Security nicht erst beim nächsten Relaunch betrachten. Der richtige Zeitpunkt für den ersten strukturierten Check ist vor dem nächsten Zwischenfall.