Pagemachine.de/ Blog/ KI verändert die Bedrohungslage für veraltete CMS-Systeme

KI verändert die Bedrohungslage für veraltete CMS-Systeme

Autor
Publiziert

Einleitung

In der Betreuung von TYPO3-Projekten erleben wir ein Szenario immer wieder: Eine eingesetzte TYPO3-Version erreicht ihr End-of-Life — die Community stellt die kostenlosen Sicherheitsupdates ein. Betreiber stehen dann vor einer konkreten Entscheidung: Upgrade auf eine aktiv unterstützte Version, oder Erwerb einer kostenpflichtigen ELTS-Lizenz (Extended Long Term Support).

Da ein Upgrade technischen Aufwand bedeutet und die ELTS-Lizenz für viele keinen unmittelbar greifbaren Mehrwert darstellt, entscheiden sich manche Betreiber dafür, ihr System vorübergehend ohne Sicherheitsupdates weiterzubetreiben. Der Plan: eine oder zwei Versionen überspringen und erst zu einem späteren Zeitpunkt auf eine aktuellere Version wechseln.

Wir haben von dieser Strategie schon in der Vergangenheit abgeraten. Bisher mussten wir jedoch ehrlich einräumen: In der Praxis kam es bei diesem Vorgehen nur selten zu ernsthaften Sicherheitsvorfällen.

Diese Einschätzung müssen wir heute revidieren.

Was sich durch KI grundlegend verändert hat

Durch den gezielten Einsatz von KI — insbesondere von Werkzeugen wie Claude — lassen sich Sicherheitslücken in bislang ungekannter Geschwindigkeit aufspüren, analysieren und klassifizieren. Was früher Stunden oder Tage dauerte, ist heute eine Frage von Minuten.

Das klingt zunächst wie eine gute Nachricht — schließlich profitieren auch Sicherheitsforscher und Systemadministratoren von dieser Geschwindigkeit. Die Kehrseite ist jedoch gravierend: Dieselbe Technologie steht auch Angreifern zur Verfügung.

Lücken in veralteten Systemen, die früher unbemerkt blieben, weil ihre Ausnutzung spezialisiertes Wissen und erheblichen manuellen Aufwand voraussetzte, können heute mit KI-Unterstützung systematisch identifiziert und angegriffen werden. Das Angreifen von Schwachstellen wird damit demokratisiert — technische Einstiegshürden, die bisher schützten, fallen weg.

„Es ist bisher immer gut gegangen" — diese Erfahrung ist ab sofort kein verlässlicher Indikator mehr.

Ein konkretes Beispiel: Firefox im April 2026

Wie dramatisch KI die Geschwindigkeit der Schwachstellensuche verändert, zeigt ein aktuelles Beispiel aus der Browserwelt — das direkt auf die Situation von CMS-Systemen übertragbar ist.

Mozilla hat im April 2026 insgesamt 423 Sicherheitslücken in Firefox geschlossen. Zum Vergleich: In der Vergangenheit waren es typischerweise 20 bis 30 behobene Schwachstellen pro Monat. Der entscheidende Faktor hinter diesem Sprung war der systematische Einsatz von KI — konkret Anthropics Modell Claude Mythos, das allein in Firefox 150 insgesamt 271 Sicherheitslücken aufdeckte. Darunter befanden sich zwei Schwachstellen, die seit 15 bzw. 20 Jahren im Code schlummerten, ohne je von menschlichen Prüfern oder herkömmlichen Sicherheitswerkzeugen entdeckt worden zu sein.

Mozilla CTO Bobby Holley kommentierte das Ergebnis nüchtern: KI finde bislang keine Schwachstellen, die menschliche Experten grundsätzlich nicht auch finden könnten — aber sie findet sie schneller, systematischer und in größerem Umfang.

Was bedeutet das für veraltete CMS-Systeme? Firefox ist ein aktiv gepflegtes Projekt mit über 100 beteiligten Fachleuten, das dennoch jahrelang unentdeckte Schwachstellen enthielt. Bei einem TYPO3-System ohne aktiven Support sind die Voraussetzungen deutlich ungünstiger: Keine laufenden Sicherheitsprüfungen, keine Patches — und gleichzeitig dieselben KI-Werkzeuge, die nun auch Angreifern zur Verfügung stehen.

Was bedeutet End-of-Life konkret?

Wenn eine TYPO3-Version ihr End-of-Life (EOL) erreicht, stellt die Community die Entwicklung und Bereitstellung kostenfreier Sicherheitsupdates ein. Neu entdeckte Schwachstellen in dieser Version werden nicht mehr öffentlich gepatcht.

Das bedeutet: Bekannte Sicherheitslücken bleiben dauerhaft offen — und können von Angreifern, die auf öffentliche CVE-Datenbanken oder KI-gestützte Analyse-Werkzeuge zurückgreifen, gezielt ausgenutzt werden.

Für Betreiber gibt es in dieser Situation zwei reguläre Wege:

  • Upgrade auf eine unterstützte TYPO3-Version — dauerhaft die empfohlene Lösung, erfordert aber Planungsaufwand und ggf. Anpassungen an Extensions und Templates.
  • ELTS-Lizenz (Extended Long Term Support) — ermöglicht den Weiterbetrieb der veralteten Version mit kommerziell bereitgestellten Sicherheitsupdates, als Überbrückung bis zum Upgrade.

Beide Wege sind legitim. Was nicht mehr legitim ist: keinen der beiden Wege zu gehen und darauf zu vertrauen, dass nichts passiert.

Sicherheitsupdates allein genügen nicht — sie müssen auch eingespielt werden

Ein weiterer Punkt, der in der Praxis oft unterschätzt wird: Selbst eine aktuelle, unterstützte TYPO3-Version schützt nur dann zuverlässig, wenn verfügbare Sicherheitsupdates auch zeitnah eingespielt werden.

Die Zeit zwischen der Veröffentlichung eines Patches und seiner Installation ist ein kritisches Fenster. Angreifer, die öffentliche Sicherheitsmeldungen verfolgen — oder KI einsetzen, um neue CVEs auszuwerten — können dieses Fenster aktiv nutzen.

Kurz: Wer Sicherheitsupdates verfügbar hat, aber nicht einspielt, ist genauso schlecht geschützt wie jemand, der keine Updates mehr erhält.

Wie wir bei Pagemachine mit diesem Risiko umgehen

Wir haben auf diese veränderte Bedrohungslage reagiert und unsere Prozesse entsprechend kritisch überprüft und da, wo es erforderlich war, angepasst.

Frühzeitige und proaktive Kommunikation: Wir informieren unsere Kunden nun noch gezielter und früher, wenn eine eingesetzte TYPO3-Version sich dem End-of-Life nähert — mit klaren Empfehlungen zum weiteren Vorgehen und realistischen Aufwandsschätzungen für ein Upgrade.

Automatisierte Update-Erkennung: Neben menschlicher Expertise setzen wir auf Automatisierung, die unmittelbar erkennt, wenn neue Sicherheitsupdates für eine TYPO3-Installation verfügbar sind. Die erforderlichen Vorbereitungen werden automatisch angestoßen, sodass unsere Entwicklerinnen und Entwickler Updates auf Knopfdruck einspielen können — ohne Verzögerung, ohne manuelle Recherche.

Upgrade-Planung als kontinuierlicher Prozess: Wir behandeln TYPO3-Upgrades nicht als einmaliges Ereignis, sondern als festen Bestandteil der Projektbetreuung. Damit vermeiden wir, dass Versionssprünge über mehrere Hauptversionen notwendig werden — was den Aufwand erheblich erhöht.

Unsere Empfehlung

Wenn Ihre TYPO3-Installation sich dem End-of-Life nähert oder diesen Punkt bereits überschritten hat, empfehlen wir:

  1. Jetzt handeln — nicht auf den nächsten günstigen Zeitpunkt warten.
  2. Upgrade-Aufwand realistisch einschätzen — wir unterstützen Sie bei der Analyse und Planung.
  3. Überbrückend eine ELTS-Lizenz erwägen — wenn ein sofortiges Upgrade nicht möglich ist.
  4. Sicherstellen, dass Sicherheitsupdates unverzüglich eingespielt werden — unabhängig davon, welchen Weg Sie wählen.

Die veränderte Bedrohungslage durch KI macht diese Punkte dringlicher als je zuvor. Das Risiko, das früher tolerierbar schien, ist es heute nicht mehr.

Sprechen Sie uns an

Betreiben Sie ein TYPO3-System, das sich dem End-of-Life nähert oder bereits darüber hinaus ist? Wir analysieren Ihre Situation und zeigen Ihnen, welche Schritte sinnvoll sind — ohne unnötigen Aufwand, aber ohne falsche Sicherheit.

Wir machen Ihre Website wow!

Wir sind Profis, wenn es um Ihre Website geht. Design, Programmierung, SEO, Support.

Unsere Kundinnen und Kunden

TÜV Hessen Logo
Sanner Logo
Körber Logo
Qualityhosting Logo
Feig Logo
Universität Würzburg Logo
Pagemachine Newsletter Beispielbild

Unser Newsletter

Pro Quartal versenden wir einen Newsletter, der spannende Neuigkeiten zu den Themen TYPO3, Webdesign, SEO und Trends enthält.

Logo Fight Club
Don’t talk about!

Über 100 Mitarbeiter:innen!

Der FGTCLB: Fünf Agenturen, ein Netzwerk, seit 2017. Wir sind unabhängig, profitieren aber von einem geteilten Pool an Ressourcen und Erfahrung, auch aus gemeinsam realisierten Projekte.

Ein Team

Was haben Sie davon? Ganz einfach, Ihre Projekte werden schneller fertig. Wir gleichen Arbeitsspitzen aus. Und Sie profitieren von mehr Know-how, gerade bei kniffligen Aufgaben.

Pagemachine AG

c/o Mindspace
Neue Mainzer Straße 66-68
60311 Frankfurt am Main

Tel.: +49 69 260 99 70 30
E-mail: [email protected]

Kontakt aufnehmen

Haben Sie Fragen oder möchten Sie ein kostenloses, unverbindliches Angebot? Wir kommen gerne bei Ihnen vorbei oder laden Sie auf einen Kaffee bei uns ein.

© PAGEMACHINE AG 2026

IMPRESSUM | DATENSCHUTZ