Wenn ein Update 200 Euro kostet – aber ein Hack Jahre nachwirkt
Was Unternehmen aus aktuellen CMS-Sicherheitsfällen über Website-Wartung lernen können
Viele Unternehmen stellen sich bei ihrer Website vor allem eine Frage: Was kostet die Erstellung?
Deutlich seltener wird gefragt: Was kostet es, wenn diese Website in zwei, drei oder fünf Jahren nicht mehr sicher betrieben wird?
Aus Agentursicht ist genau das einer der wichtigsten Punkte in der digitalen Betreuung. Eine Website ist heute kein abgeschlossenes Projekt mehr, das nach dem Go-live einfach „fertig“ ist. Sie ist ein technisches System. Und jedes technische System braucht Pflege.
Ein aktuelles Beispiel zeigt, warum das so wichtig ist: Im Juni 2026 wurde eine kritische Sicherheitslücke im SP Page Builder von JoomShaper bekannt, einer Erweiterung für Joomla. Die Schwachstelle ermöglichte unter bestimmten Voraussetzungen nicht authentifizierten Datei-Upload und konnte dazu führen, dass Angreifer PHP-Code auf dem Server ausführen. Betroffen waren Versionen bis einschließlich 6.6.1; mit Version 6.6.2 wurde ein Sicherheitsupdate veröffentlicht.
Wichtig ist dabei: Das ist kein Argument gegen Joomla. Und es ist auch kein Anlass, einzelne Systeme pauschal schlechtzureden. Der eigentliche Punkt ist größer.
Moderne Websites bestehen selten nur aus einem CMS. Sie bestehen aus Core-System, Erweiterungen, Templates, Formularen, Schnittstellen, Tracking, Hosting-Umgebung und individuellen Anpassungen. Je mehr Bausteine eingesetzt werden, desto wichtiger wird eine klare technische Verantwortung.
„Unsere Website funktioniert doch“
Aus Kundensicht ist der Gedanke nachvollziehbar: Die Website ist online. Die Seiten laden. Formulare funktionieren. Inhalte können gepflegt werden. Warum also regelmäßig Geld für Updates ausgeben?
Das Problem ist: Funktion ist nicht gleich Sicherheit.
Ein Auto fährt auch noch, wenn die Inspektion längst überfällig ist. Das bedeutet aber nicht, dass der Zustand gut ist. Bei Websites kommt hinzu, dass Schwachstellen nicht zufällig entdeckt werden müssen. Sie werden aktiv gesucht.
Automatisierte Systeme scannen große Mengen von Websites nach bekannten Sicherheitslücken. Sobald eine kritische Lücke öffentlich bekannt ist, wird aus einem theoretischen Risiko sehr schnell ein praktisches Problem.
Gerade Erweiterungen sind dabei ein sensibler Punkt. Sie machen Websites flexibler und leistungsfähiger, vergrößern aber auch die technische Angriffsfläche. Das ist kein Fehler einzelner Systeme, sondern eine Grundrealität moderner Webentwicklung.
Die eigentliche Frage lautet nicht: Was kostet das Update?
Ein professioneller Update-Service wirkt auf den ersten Blick wie ein laufender Zusatzposten. Nehmen wir als Beispiel einen pauschalen Wartungs- oder Update-Service für ein Contao-System für 200 Euro pro Jahr. Das sind in fünf Jahren 1.000 Euro. In zehn Jahren 2.000 Euro.
Für manche Unternehmen klingt das zunächst nach Geld, das man sparen könnte. Vor allem dann, wenn die Website scheinbar stabil läuft. Doch diese Rechnung ist unvollständig. Denn sie betrachtet nur die Wartungskosten, nicht das Risiko eines ungepflegten Systems.
Die bessere Frage lautet deshalb:
Was kostet es, wenn niemand verantwortlich ist?
Wenn eine Website kompromittiert wurde, beginnt die eigentliche Arbeit oft erst. Dann reicht es nicht, ein Update nachzuholen. Es muss geprüft werden, was passiert ist. Welche Dateien wurden verändert? Wurden Schadskripte abgelegt? Gibt es versteckte Hintertüren? Ist die Datenbank betroffen? Wurden Benutzer angelegt? Wurde Spam verschickt? Ist die Domain bereits auf Sperrlisten gelandet?
Eine saubere Bereinigung kann schnell mehrere Stunden oder mehrere Tage dauern. Bei einem angenommenen Agenturstundensatz von 100 Euro entstehen für Analyse, Bereinigung, Wiederherstellung, Absicherung und Kontrolle schnell Kosten von 800 bis 2.000 Euro. Bei größeren Websites, mehreren Installationen oder gewachsenen Systemlandschaften kann es deutlich mehr werden.
Und das sind nur die direkten technischen Kosten.
Der Ausfall ist oft teurer als die Reparatur
Eine Website ist für viele Unternehmen kein reines Schaufenster mehr. Sie ist Kontaktpunkt, Vertriebsweg, Bewerbungsplattform, Servicebereich oder Informationszentrale.
Wenn sie ausfällt, als unsicher markiert wird oder bei Google mit Warnhinweisen erscheint, entsteht ein Schaden, der sich nicht immer sofort sauber beziffern lässt. Anfragen bleiben aus. Bewerbungen kommen nicht an. Kunden springen ab. Angebote verzögern sich. Interne Abläufe geraten ins Stocken.
Gerade bei Unternehmen, die regelmäßig neue Kontakte über ihre Website gewinnen, kann ein mehrwöchiger Ausfall teurer sein als jede Wartung der vergangenen Jahre.
Noch schwieriger wird es, wenn die Website zwar wieder erreichbar ist, aber das Vertrauen beschädigt wurde. Eine gehackte Website sendet ein starkes Signal. Nicht immer bewusst, aber wirksam. Besucher fragen sich, ob das Unternehmen technisch gut aufgestellt ist. Geschäftspartner fragen sich, ob Daten sicher behandelt werden. Kunden fragen sich, ob sie dem Anbieter vertrauen können.
Reputation lässt sich nicht einfach aus einem Backup wiederherstellen.
Gewachsene Systeme sind besonders anfällig
Viele Websites werden über Jahre erweitert. Hier kommt ein Formular hinzu, dort ein neues Plugin, später ein Tracking-Tool, dann ein zusätzlicher Login-Bereich, eine Schnittstelle, ein Relaunch auf bestehender Basis, eine kurzfristige Sonderlösung.
Für sich genommen ist vieles davon sinnvoll. In der Summe entsteht aber oft ein System, das niemand mehr vollständig überblickt.
Genau hier liegt aus Agentursicht ein zentraler Punkt: Je länger eine Website betrieben wird, desto wichtiger wird die technische Dokumentation. Welche Erweiterungen sind installiert? Welche werden wirklich genutzt? Welche sind veraltet? Welche Anpassungen wurden individuell programmiert? Welche PHP-Version läuft auf dem Server? Welche Abhängigkeiten bestehen?
Sicherheitsupdates sind deshalb nicht nur eine technische Routine. Sie sind ein regelmäßiger Realitätscheck.
Eine gute Wartung erkennt nicht nur verfügbare Updates, sondern auch strukturelle Risiken. Manchmal besteht die beste Sicherheitsmaßnahme nicht darin, noch ein Plugin zu aktualisieren, sondern ein nicht mehr benötigtes Plugin zu entfernen.
Warum wir als Contao-Agentur Wartung anders betrachten
Wir arbeiten als Contao-Partneragentur häufig mit Unternehmen zusammen, die keine experimentelle Website für ein Jahr benötigen, sondern ein System, das langfristig stabil betrieben werden soll.
Contao ist dafür aus unserer Sicht interessant, weil es stark auf strukturierte, nachvollziehbare und langfristig wartbare Websites ausgerichtet ist. Aber auch hier gilt: Kein CMS ist automatisch unverwundbar. Sicherheit entsteht nicht durch den Namen des Systems allein, sondern durch den verantwortungsvollen Betrieb.
Dazu gehören regelmäßige Updates, ein klarer Blick auf Erweiterungen, ein sauberes Hosting-Setup, Backups, technische Prüfung und jemand, der im Zweifel weiß, was zu tun ist.
Der Unterschied liegt also nicht in der Behauptung: „Unser System ist sicher.“
Der Unterschied liegt in der Frage: „Wer sorgt dafür, dass es sicher bleibt?“
200 Euro pro Jahr sind keine Versicherung gegen alles – aber ein Anfang
Ein pauschaler Update-Service ersetzt keine ganzheitliche IT-Sicherheitsstrategie. Er verhindert auch nicht jedes denkbare Problem. Das wäre unseriös versprochen.
Aber er schafft eine wichtige Grundlage: Es gibt einen Prozess. Es gibt Zuständigkeit. Es gibt regelmäßige Aufmerksamkeit. Und es gibt jemanden, der Sicherheitsmeldungen nicht erst dann wahrnimmt, wenn die Website bereits kompromittiert wurde.
Gerade für kleinere und mittlere Unternehmen ist das entscheidend. Denn dort gibt es häufig keine interne Webabteilung, die sich regelmäßig um CMS-Versionen, Erweiterungen und technische Abhängigkeiten kümmert. Die Website ist geschäftlich wichtig, aber intern oft niemandem wirklich zugeordnet.
Genau diese Lücke schließt ein professioneller Update-Service.
Die wirtschaftlichste Website ist nicht die billigste
Bei der Bewertung einer Website werden häufig Erstellungskosten verglichen. Was kostet das Design? Was kostet die Programmierung? Was kostet das Hosting?
Seltener wird betrachtet, was eine Website über ihre gesamte Nutzungsdauer kostet. Dabei ist genau diese Perspektive entscheidend.
Eine günstige Website kann teuer werden, wenn sie nach wenigen Jahren technisch veraltet ist. Ein eingespartes Update kann teuer werden, wenn daraus ein Sicherheitsvorfall entsteht. Eine gewachsene Installation kann teuer werden, wenn niemand mehr weiß, welche Erweiterung wofür zuständig ist.
Die wirtschaftlichste Website ist nicht automatisch die mit dem niedrigsten Einstiegspreis. Oft ist es die, die auch nach Jahren noch sicher, erreichbar, wartbar und vertrauenswürdig funktioniert.
Fazit: Wartung ist kein Zusatz. Wartung ist Teil des Projekts.
Der Sicherheitsfall rund um den SP Page Builder ist kein Grund für pauschales System-Bashing. Er zeigt vielmehr, wie wichtig professionelle Website-Wartung grundsätzlich ist.
Eine Website ist kein digitales Plakat, das einmal aufgehängt wird und dann unverändert bleibt. Sie ist ein lebendiges System. Sie wird genutzt, erweitert, angegriffen, aktualisiert und weiterentwickelt.
Deshalb sollte die zentrale Frage nicht lauten:
Was kostet ein Update?
Sondern:
Was kostet es, wenn sich niemand verantwortlich fühlt?
Denn am Ende ist Sicherheit keine einmalige Entscheidung beim Go-live. Sie ist ein laufender Prozess.