Code Updates: Sicherheit
deiner Softwares und Dienste

Unter Software-Updates versteht man in der Webentwicklung weit mehr als nur das gelegentliche Klicken auf einen Aktualisierungs-Button. Digitale Plattformen sind in Schichten aufgebaut, die alle gepflegt werden müssen.

• Core-Updates: Die Aktualisierung des Hauptsystems, wie etwa eines eingesetzten CMS (z. B. WordPress, Pimcore) oder einer statischen Webseite durch SSG.
• Framework- und Library-Updates: Modernes Webdesign basiert auf Programmier-Rahmenwerken. Diese Framework-Strukturen bestehen oftmals aus vielen kleineren Programm-Bibliotheken und steuern Funktionen im Backend bzw. Frontend.
• Plugins und Erweiterungen: Zusatzfunktionen wie Formulare, SEO-Tools oder Caching-Erweiterungen benötigen kontinuierliche Anpassungen, um fehlerfrei zu laufen.
• Schnittstellen-Anpassungen: Wenn externe Systeme (z.B. ERP, CRM, etc.) ihre Datenstrukturen ändern, müssen die eigenen API Schnittstellen über ein Update angepasst werden, damit der Datenfluss nicht abreißt.

Der ideale Rhythmus für System-Aktualisierungen hängt von der Art der Modifikation und dem Gefährdungspotenzial ab. Pauschales Aufschieben ist in der heutigen IT-Landschaft ein hohes Risiko - weshalb ich bei meinem Webdesign und meiner erstellten Online-Software regelmäßig auf Updates überprüfe.

• Sicherheitsrelevante Patches (Hotfixes): Diese müssen sofort nach dem Erscheinen eingespielt werden. Sie schließen kritische Lücken, die aktiv von Angreifern ausgenutzt werden könnten.
• Kleinere Optimierungen (Minor Updates): Funktionserweiterungen oder Fehlerbehebungen können monatlich oder quartalsweise in gesammelten Zyklen umgesetzt werden.
• Große Versionssprünge (Major Updates): Ein Wechsel auf eine komplett neue Generation einer Software erfordert strategische Planung und wird meist alle ein bis zwei Jahre als eigenständiges Projekt realisiert.

Die Verantwortung für den reibungslosen Betrieb einer geschäftskritischen Webplattform gehört in professionelle Hände. Je nach Unternehmensgröße gibt es dafür verschiedene Modelle.

• Spezialisierte Digitalagenturen: Externe Experten übernehmen die Überwachung im Rahmen von Wartungsverträgen. Sie garantieren, dass Updates ohne Datenverlust eingespielt werden.
• Interne IT-Abteilungen: Größere Betriebe in Österreich nutzen eigene Entwickler, die den Code verwalten und neue Versionen deployen.
• Automatisierte Systeme: Für einfache Standard-Erweiterungen können automatische Update-Routinen genutzt werden. Bei komplexen Systemen ist dies ohne menschliche Qualitätskontrolle jedoch riskant.

Niemand möchte, dass sein Onlineshop während eines Updates stundenlang offline ist. In der modernen Software-Entwicklung gibt es bewährte Prozesse, um Systemausfälle (Downtimes) komplett zu verhindern.

• Versionskontrolle mit Git: Bevor Code geändert wird, arbeiten Entwickler in einer isolierten Kopie des Systems. Über das Versionswerkzeug Git bleibt jeder Schritt nachvollziehbar und reversibel.
• Die Entwicklungs-Umgebung: Ein Update wird niemals direkt auf der Live-Webseite eingespielt. Es wird zuerst auf einer exakten, passwortgeschützten Kopie der Seite installiert und auf Herz und Nieren geprüft.
• Automatisierte Qualitätskontrolle: Moderne Online Agenturen nutzen automatisierte Tests. Spezielle Skripte prüfen nach dem Update automatisch, ob Kontaktformulare, Warenkörbe und das Responsive Design noch fehlerfrei funktionieren.
• CI/CD-Pipelines: Continuous Integration und Continuous Deployment (CI/CD) automatisieren den gesamten Prozess. Der geprüfte Code wird ohne spürbare Unterbrechung für die Webseiten-Besucher auf den Live-Server übertragen.
• Kundenkommunikation: Sollte bei großen Daten-Umstellungen im Backend doch eine kurze Wartungsphase nötig sein, werden Kunden vorab transparent per E-Mail informiert. Solche Arbeiten werden in die verkehrsarmen Nachtstunden gelegt.

Veraltete Software ist kein Kavaliersdelikt. Wer bekannte Sicherheitslücken über Monate ignoriert, verstößt direkt gegen geltendes Recht.

• Die DSGVO-Pflicht: Nach der DSGVO sind Unternehmen verpflichtet, Kundendaten nach dem aktuellen Stand der Technik zu schützen. Ein Datenleck durch ein versäumtes Sicherheitsupdate kann zu drastischen Strafen durch die österreichische Datenschutzbehörde führen.
• EU Cyber Resilience Act (CRA): Dieses Gesetz nimmt Software- und Hardwarehersteller in die Pflicht. Es schreibt zwingend vor, dass Produkte über ihren gesamten Lebenszyklus (meist mindestens 5 Jahre) hinweg mit kostenlosen Sicherheits-Updates versorgt werden müssen. Zudem müssen kritische Sicherheitslücken innerhalb von 24 Stunden gemeldet werden.
• NIS-2-Richtlinie: Betreiber kritischer Infrastrukturen und wichtiger Unternehmen (auch in Österreich betrifft dies tausende Betriebe) müssen strenge Cybersicherheits-Maßnahmen nachweisen. Ein professionelles Patch-Management – also das lückenlose Einspielen von Updates – ist eine der rechtlichen Kernforderungen.
• Digital Services Act (DSA) & Digital Markets Act (DMA): Große Online-Plattformen und Gatekeeper sind gesetzlich verpflichtet, ihre Algorithmen und Schnittstellen transparent zu halten und Risiken zu minimieren. Regelmäßige Updates stellen hier sicher, dass die Plattformen den strengen Compliance- und Moderationsvorgaben der EU entsprechen.
• EU AI Act (KI-Gesetz): Wenn deine Webseite oder dein Backend KI-Systeme nutzt (z. B. für automatisierte Kundenberatung oder Datenanalyse), müssen diese Systeme über kontinuierliche Updates auf dem neuesten rechtlichen und technischen Stand gehalten werden, um verbotene oder riskante Praktiken auszuschließen.
• E-Commerce Gesetz & Barrierefreiheit: Updates stellen sicher, dass deine Plattform mit neuen Browser-Versionen kompatibel bleibt. Das ist wichtig, um die rechtlichen Vorgaben laut E-Commerce Gesetz sowie die Standards für barrierefreie Webseiten lückenlos zu erfüllen.

Wer eine Software oder ein individuelles System kauft, erlebt oft ein blaues Wunder, wenn die ersten Aktualisierungen anstehen. Verträge solltest du im Vorfeld genau prüfen:

• Umfang der Update-Garantie: Ist im Kaufpreis nur die Fehlerbehebung der aktuellen Version (Minor Updates) enthalten oder auch der Wechsel auf die nächste Generation (Major Updates)?
• Kompatibilität mit Drittsystemen: Garantiert der Hersteller, dass nach einem Update die Verknüpfungen zu deinen Datenbanken oder ERP-Systemen (z. B. bei BMD-Exporten) aufrechtbleiben?
• Wartungskosten einplanen: Software-Lösungen sind dynamische Produkte. Ein jährliches Budget für technische Betreuung und Lizenz-Verlängerungen sollte von Beginn an fix einkalkuliert werden.