Drupal-Wartung und -Support

Sicherheit und Kosteneffizienz stetig im Blick: warum Updates wichtig sind.

Druplicon und Werkzeuge
Drupal Logo

Wie jede aktiv betreute Software erhĂ€lt auch Drupal in regelmĂ€ĂŸigen AbstĂ€nden Sicherheits-Aktualisierungen und Funktions-Updates. Dies gilt auch fĂŒr zahlreiche Erweiterungs-Module, die fĂŒr Drupal zur VerfĂŒgung stehen.

Zudem erscheint ungefÀhr alle zwei Jahre eine neue Hauptversion von Drupal.

erdfisch - die “Fachwerkstatt” fĂŒr ein langes und zuverlĂ€ssiges Leben Ihres Drupal-Projekts

Genau wie ein Fahrzeug regelmĂ€ĂŸig zum Service gebracht und mit neuen Verschleißteilen ausgestattet werden muss, um dauerhaft und verlĂ€sslich zu funktionieren, so benötigt auch eine Software wie Drupal wĂ€hrend ihres produktiven Lebens kontinuierlich Wartung in Form von funktionalen Aktualisierungen oder Sicherheits-Updates.

HÀlt man die Wartungsintervalle nicht ein oder versÀumt das Einspielen sicherheitskritischer Patches, setzt man sowohl das Drupal-Projekt als auch dessen Nutzer Risiken aus, die im schlimmsten Fall geschÀftsschÀdigende und juristische Folgen haben können.

Als seit bald 20 Jahren spezialisierte Drupal-Agentur sorgt erdfisch verlĂ€sslich dafĂŒr, dass ihr Drupal-Projekt stets die erforderliche Wartung und Pflege erhĂ€lt, um fĂŒr einen reibungslosen und möglichst sicheren Betrieb auch ĂŒber Jahre hinweg “fit” zu bleiben.

 

Nach der Reise ist vor der Reise

oder warum eine Website nie "fertig" ist

Built to last
Erfahren Sie hier, welche Upgrade-Strategie Drupal seit der Version 8 fÀhrt, und warum dies von Vorteil ist, wenn Projekte lange laufen und stetig weiterentwickelt werden.

Der typische Lebenszyklus eines Web-Projekts hat zwei Phasen.

Da ist zum einen der initiale Aufbau, wenn das Projekt erstmals konzeptioniert und implementiert wird. Oder aber die erste Phase ist der Relaunch, also der Neuaufbau und die Ablösung eines Bestands-Systems, mit oder ohne Migration der Bestandsdaten.

Diese erste Phase ist im Regelfall ein umfangreiches Investment fĂŒr den Betreiber und somit eine Investition, die sich amortisieren soll. Dies gelingt aber nur, wenn das Projekt ĂŒber einen entsprechend langen Zeitraum erfolgreich betrieben werden kann.

Insbesondere komplexe Enterprise-Projekte sind auf einen Betriebszeitraum von mehreren Jahren ausgelegt, was auch der Grund fĂŒr die Update- und Upgrade-Strategie ist, die Drupal seit der Version 8 konsequent verfolgt. WĂ€hrend bis Drupal 7 bei einem Wechsel von einer Hauptversion zur nĂ€chsten meist ein kompletter Relaunch notwendig war, sind Drupal-Projekte heute langfristig Upgrade-fĂ€hig – auch ĂŒber mehrere Hauptversionen hinweg.

Zwingende Voraussetzung dafĂŒr ist aber, dass das Projekt kontinuierlich auf die jeweils neuesten Versionen des Drupal-Kerns und der verwendeten Module aktualisiert wird.

Wird dies befolgt, kann ein gut konzeptioniertes und gemĂ€ĂŸ der Drupal-Entwicklung-Standards aufgesetztes Drupal-Setup ĂŒber viele Jahre hinweg erfolgreich betrieben und stetig modernisiert werden.

FAQ zu Drupal-Wartung und -Support

Alles Wissenswerte rund um das Thema Instandhaltung, Pflege und Support fĂŒr Drupal-Bestandsprojekte im Produktiv-Einsatz

Warum muss mein Drupal-Projekt gewartet werden?

Drupal und seine Module entwickeln sich stetig weiter und unterliegen einem festgelegten Release-Zyklus. Der aktive Support fĂŒr eine bestimmte Version Drupals ist dabei immer zeitlich begrenzt.

Um das aktuellste Funktions-Potenzial Drupals voll auszuschöpfen, ist es daher zwingend notwendig, sowohl den Drupal-Kern als auch die im jeweiligen Projekt zusĂ€tzlich verwendeten Contrib-Module regelmĂ€ĂŸig auf Aktualisierungen zu prĂŒfen und diese durchzufĂŒhren.

Noch wichtiger fĂŒr die Betriebssicherheit des Projektes ist es aber, all diejenigen sicherheitskritischen Aktualisierungen, die fĂŒr das eigene Setup Relevanz besitzen, zeitnah einzuspielen. Da auch die Sicherheits-Abdeckung („security coverage“) fĂŒr eine bestimmte Drupal-Version zeitlich begrenzt ist, genĂŒgt es hier auf Dauer auch nicht, nur Sicherheits-Patches einzuspielen. Vielmehr ist es fĂŒr einen dauerhaften und langfristig sicheren Betrieb des Systems obligatorisch, Drupal „als Ganzes“ aktuell zu halten. Nur so ist gewĂ€hrleistet, dass etwaige hochkritische Sicherheits-Updates bei Erscheinen fĂŒr das eigene System zur VerfĂŒgung stehen und kompatibel sind.

Was kann passieren, wenn die Wartung nicht regelmĂ€ĂŸig erfolgt?

Es gibt mehrere Risiken, denen sich ein Website-Betreiber aussetzt, wenn er nicht dafĂŒr Sorge trĂ€gt, dass seine Projekte regelmĂ€ĂŸige Wartung erfahren.

Am naheliegendsten ist dabei der Sicherheitsaspekt. Keine Software ist völlig fehlerfrei, und es besteht somit immer die Möglichkeit, dass solche Fehler sicherheitskritische LĂŒcken eröffnen, die von Angreifern ausgenutzt werden können.

Besonders problematisch kann eine nicht geschlossene SicherheitslĂŒcke dann werden, wenn Dritte auf diesem Weg die Kontrolle ĂŒber die Website erlangen und vertrauliche Informationen oder personenbezogene Daten abgreifen können. Dann liegt neben dem wirtschaftlichen Schaden und dem Reputationsverlust, ein Datenschutzverstoß vor, der je nach Schwere empfindliche Strafen nach sich ziehen kann.

Aber auch in anderer Hinsicht kann Ihre Webseite und deren Serverumgebung fĂŒr Angreifer interessant sein, etwa um:

  • ĂŒber Ihre Server-IP-Adresse Spam zu versenden
  • Malware auf Ihrem Server zu hinterlegen
  • Verlinkungen zu Drittseiten platzieren, die dann vom Suchindex-Ranking Ihres Projekts zu profitieren
  • einen Krypto-Miner zu installieren, der die Rechenleistung Ihres Servers ausnutzt

um nur einige mögliche Schadszenarien zu nennen

In seltenen FĂ€llen kann es sogar passieren, dass der Betreiber einer kompromittierten Seite vor der radikal anmutenden Entscheidung steht, das komplette Projekt vom Netz nehmen zu mĂŒssen. Ein solches Worst-Case-Szenario kann eintreten, wenn keine Backups vom Zeitpunkt vor der Kompromittierung vorhanden sind, aus denen eine Wiederherstellung des Projekts im Zustand vor der Kompromittierung möglich wĂ€re, und gleichzeitig die online befindliche Version vom Hacker oder einem automatisiert nach Webseiten mit Schwachstellen suchenden Bot mit geheimen HintertĂŒren ("Backdoors") versehen wurde. Diese wĂŒrde eine fortgesetzte Kompromittierung selbst dann noch erlauben, wenn der entsprechende Sicherheits-Patch eben verspĂ€tet eingespielt wurde.

Um sich diesen Risiken nicht auszusetzen, ist es daher unbedingt geboten, stets im Blick zu behalten, welche sicherheitskritischen Aktualisierungen fĂŒr das eigene Projekt zur VerfĂŒgung stehen und welche Aktualisierungen davon fĂŒr das eigene Anwendungsszenario relevant und somit obligatorisch sind.

Ein weiteres Problem, welches insbesondere bei lange nicht gewarteten Projekten eintritt, ist der Umstand, dass die eingesetzte Version Drupals aus dem aktiven Support herausfÀllt und somit keine Weiterentwicklung mehr erfÀhrt oder Sicherheits-Updates erhÀlt.

Dies hĂ€ngt mit den sogenannten Release-Zyklen zusammen, gemĂ€ĂŸ denen Drupal seit der Version 8 erscheint. Innerhalb einer Hauptversion (Major Release wie z. B. Drupal 9) erscheinen ungefĂ€hr alle 6 Monate sogenannte Zwischenversionen oder Minor-Releases (z.B. Drupal 9.5), die dann jeweils fĂŒr die Dauer von rund einem Jahr aktiv supported werden.

Somit haben Webseiten-Betreiber immer etwa 6 Monate Zeit, um auf das neue Minor-Release zu wechseln und weiter Support zu erhalten. Wird dies versĂ€umt, rutscht die eingesetzte Version aus dem Support. Wie auch bei Betriebssystemen fĂŒr Computer erscheinen fĂŒr unsupportete Drupal-Versionen keine Sicherheits-Updates mehr.

Eine weitere Schwierigkeit ist dann, dass es in jedem Zwischen-Release von Drupal neue Funktionen oder Funktions-Anpassungen gibt. Setzt man mehrere Zwischen-Versionen lang aus, wird das anschließende Upgrade umso zeitaufwendiger, da man dann alle verpassten Zwischenversionen auf einmal nachholen muss.

Somit gibt es also wie bei jeder Software mehr als genug Argumente dafĂŒr, die Wartung auch bei einem Drupal-Projekt nicht zu vernachlĂ€ssigen, sondern sich regelmĂ€ĂŸig darum zu kĂŒmmern oder diese Aufgabe einem kompetenten Partner anzuvertrauen.

Was ist mit der "Automated Updates"-Initiative von Drupal?

Es gibt zwar bereits eine strategische Initiative, die sich damit befasst, fĂŒr bestimmte Updates in Drupal eine Automatisierungs-Routine zu schaffen.

Jedoch zielt diese nicht auf „Enterprise-Kunden“ ab:

"Automatic updates are generally not intended for use by large enterprise organizations that already have their own build workflows and pipelines. Instead, the intent is to support small-to-medium site owners who have a 'set-it-and-forget-it' attitude towards their Drupal installations."

Außerdem beschrĂ€nkt sich die Initiative rein auf den Drupal-Kern und zielt nicht auf Zusatzmodule, und bei den Core-Updates auch nur auf Sicherheits-Aktualisierungen, und nicht etwa neue Zwischen- oder Hauptversionen.

Mit anderen Worten: komplexere Drupal-Installationen, die zum einen eine bedeutende Menge an Zusatzmodulen verwenden und zum anderen unter Verwendung professionalisierter Implementierungs- und Bereitstellungsprozesse stetig aktiv weiterentwickelt werden, sind derzeit keine Zielgruppe fĂŒr diese Initiative.

Sie benötigen somit auch fĂŒr die absehbare Zukunft eine passende Wartungsstrategie, wie sie beispielsweise erdfisch anbieten kann.

Warum brauche ich eine Wartungs- und Support-Vereinbarung?

Auf den ersten Blick erscheint es eine interessante und vor allem kostengĂŒnstige Variante: wieso nicht einfach mit dem Dienstleister eine "On-Demand"-Regelung vereinbaren, anstelle einer Wartungspauschale?

Die Idee dahinter: der Dienstleister soll immer nur punktuell tÀtig werden, wenn Updates oder Aktualisierungen anstehen. Gibt es keine Updates, entstehen auch keine Kosten.

In der Praxis hĂ€tte dieses Modell aber zwei gravierende Nachteile, weswegen es unĂŒblich ist und auch von erdfisch in dieser Form nicht angeboten wird:

a) fehlende Planbarkeit

Drupal Agenturen wie erdfisch planen ihre verfĂŒgbaren KapazitĂ€ten langfristig und verteilen diese dabei zum einen auf die Projektentwicklung und zum anderen auf die Bestandskundenbetreuung, in welcher Produktwartung ein wichtiger Bestandteil ist.

FĂŒr die Produktwartung werden also ebenfalls KapazitĂ€ten reserviert, um zum einen die regulĂ€ren Drupal-Aktualisierungen durchzufĂŒhren, aber auch, um im Ernstfall bei kritischen Sicherheit-Updates zeitnah zur Stelle zu sein.

Um Produktwartung einplanen zu können, mĂŒssen dafĂŒr also bestimmte Kontingente reserviert sein. Bei einer "On-Demand"-Regelung wĂ€re das nicht möglich. Somit kĂ€me der zweite Nachteil zum Tragen:

b) fehlende VerlÀsslichkeit

Sind fĂŒr die Produktwartung keine KapazitĂ€ten eingeplant, mĂŒsste dafĂŒr seitens des Anbieters „im Ernstfall“ erst Platz geschaffen werden – was unter UmstĂ€nden zeitnah gar nicht möglich ist.

Entsprechend könnte der Kunde mit der "On-Demand"-Vereinbarung dann nicht zeitnah bedient werden und mĂŒsste warten, bis wieder KapazitĂ€ten frei werden. Gerade bei sicherheitskritischen Themen ist dies aber ein No-Go.

Daher ist eine Wartungs- und Betreuungsvereinbarung mit einer dem mittleren Wartungsaufwand des Projekts entsprechenden Zeitpauschale, welche dann vom Dienstleister fix eingeplant wird, fĂŒr eine zuverlĂ€ssige Produktwartung unumgĂ€nglich.

Habe ich selbst noch AufwĂ€nde, wenn erdfisch die Wartung ĂŒbernimmt?

Ja. Diese beschrĂ€nken sich allerdings darauf, nach einem Wartungszyklus die Endkontrolle durchzufĂŒhren, dass insbesondere geschĂ€ftskritische Funktionen auch nach einem Update oder Upgrade noch wie gewohnt fehlerfrei funktionieren.

Eine solche Endkontrolle ist vor allem bei umfangreicheren Drupal-Aktualisierungen, die auch Funktions-Updates enthalten, sehr anzuraten.

Eine mögliche Entlastung in diesem Bereich können Test-Routinen sein, die vorab definierte Funktionen oder Prozesslogik innerhalb des Kundenprojekts automatisiert vertesten. Insbesondere dann, wenn ein Projekt nicht nur Wartung, sondern auch kontinuierliche Weiterentwicklung erfĂ€hrt sind automatisierte Tests sowohl fĂŒr den Endkunden als auch fĂŒr den Dienstleister selbst eine große Hilfe, den Umfang manueller Tests zu reduzieren und damit auf lange Sicht sowohl viel Zeit als auch Geld zu sparen.

Kann ich mit einer bestehenden Drupal-Webseite zu erdfisch wechseln?

Ja. Wir ĂŒbernehmen grundsĂ€tzlich auch die Wartung von Web-Projekten, die wir initial nicht selbst erstellt haben. Es mĂŒssen dabei jedoch einige Voraussetzungen erfĂŒllt sein:

  • das Setup muss auf der Drupal-Version 9 oder neuer laufen
  • wir mĂŒssen die Möglichkeit erhalten, im Rahmen eines Kurzgutachtens eine Analyse des Projekts durchfĂŒhren zu können um festzustellen, ob das Projekt sich in einem wartbaren Zustand befindet
  • die Codebase des Projekts muss sich in einer Git-Versionsverwaltung befinden oder dorthin umgezogen werden und das Projekt selbst muss auf die kubernetes-basierte Container-Betriebsumgebung von erdfisch umgestellt werden - entweder auf den Servern des Kunden oder nach Umzug auf das erdfisch-eigene Hosting

Weitere Details zu den Voraussetzungen finden Sie im Absatz "In drei einfachen Schritten zur Wartungs- und Support-Vereinbarung bei erdfisch"

Welche Leistungen bekomme ich konkret?

Innerhalb einer Hauptversion Drupals (z. B. Drupal 10) kĂŒmmern wir uns um das Einspielen der folgenden von der Drupal-Community bereitgestellten Aktualisierungen sowohl fĂŒr den Drupal-Kern als auch die vorhandenen Contrib-Module:

  • Security Releases - Aktualisierungen, die akute oder potenzielle Sicherheitsprobleme im System beheben
  • Patch Releases - Aktualisierungen, durch die Programmfehler behoben oder Fehlfunktionen behoben werden
  • Minor Releases - Aktualisierungen auf eine neue Zwischenversion Drupals, die meist auch neue Funktionen behalten oder in denen alte Funktionen abgekĂŒndigt werden

Weiterhin ĂŒberprĂŒfen wir stichprobenartig die FunktionalitĂ€t des Systems nach den Aktualisierungen, erstellen vor und nach der Aktualisierung ein Datenbank-Backup und stellen die Aktualisierung zur Endkontrolle fĂŒr den Kunden auf einer Test- und Abnahmeumgebung bereit.

Detaillierte Informationen zu unserer Vorgehensweise insbesondere bei sicherheitskritischen Aktualisierungen finden Sie im Blogbeitrag "Drupal auf Stand halten - Wartung kurz erklÀrt".

Bleibt meine Seite erreichbar, wenn es Wartungsarbeiten gibt?

GrundsÀtzlich ja. Unsere containerbasierte Betriebsumgebung ermöglicht es, dass das Drupal-Setup gekapselt in einem dedizierten Container lÀuft.

Soll eine Aktualisierung auf das Produktivsystem ausgespielt werden, muss dieser Drupal-Container neu gestartet werden.

Dieser Neustart benötigt nur einige wenige Sekunden Zeit, sodass es praktisch keine Downtime gibt.

Eine seltene Ausnahme besteht, wenn extrem sicherheitskritische Updates ausstehen, bei denen eine Kompromittierung der Seite unmittelbar nach Veröffentlichung der SicherheitslĂŒcke und des zugehörigen Patches zu befĂŒrchten ist.

Solche hochkritischen Patches werden mindestens mit einer Woche Vorlauf angekĂŒndigt und zum angekĂŒndigten Datum in den frĂŒhen Abendstunden europĂ€ischer Zeit veröffentlicht.

In diesem Fall ist unser Team in Abendbereitschaft und versetzt das zu aktualisierende Projekt kurz vor Erscheinen des Patches in einen speziellen Wartungsmodus, der Angreifern von außen keine Zugriffsmöglichkeit bietet.

Sobald der Patch eingespielt wurde, wird das System wieder online geschaltet.

Wieviel Sicherheit bekomme ich durch die Wartungsvereinbarung?

Absolute Sicherheit wird es nie geben – auch nicht bei einer Wartungsvereinbarung mit einem erfahrenen und kompetenten Drupal-Anbieter wie erdfisch.

Jedoch kann das Risiko durch ein regelmĂ€ĂŸig gewartetes und instand gehaltenes System sehr weitreichend minimiert werden, sodass dieses mit sehr hoher Wahrscheinlichkeit ĂŒber viele Jahre hinweg erfolgreich betrieben und weiterentwickelt werden kann.

Welchen Support leistet erdfisch?

Bei Übernahme eines Projektes in die aktive Wartung etablieren wir unterschiedliche KommunikationskanĂ€le mit dem Kunden, ĂŒber die Kommunikation im allgemeinen und Support im besonderen stattfinden kann.

FĂŒr die Projekt-Kommunikation werden Systeme zur kollaborativen Arbeit am Projekt (Ticketsystem) und zur asynchronen Kommunikation (Web-Chat) bereitgestellt - entweder von erdfisch, wenn er Kunde keine Systeme dieser Art bereits betreibt, oder es wird vereinbart, dass das Support-Team von erdfisch entsprechende ZugĂ€nge fĂŒr die Kommunikations-Tools des Kunden erhĂ€lt.

Sind die KommunikationskanÀle etabliert, kann auch technischer Support gegeben werden.

An unseren technischen Support können Sie sich wenden, wenn es im Rahmen der Systemwartung zu Schwierigkeiten kommt - also beispielsweise nach einem Update Teile des Drupal-Projekts nicht mehr oder anders funktionieren als bisher gewohnt, und dies nicht schon wÀhrend der internen QualitÀtskontrolle oder bei der Endkontrolle durch den Kunden bemerkt und behoben wurde.

Ebenso können Sie mit dem Support Termine abstimmen sowie fachliche Themen oder VerstÀndnisfragen klÀren.

Bekomme ich einen persönlichen Ansprechpartner?

Ja. Jedes Projekt, das wir betreuen, bekommt einen sogenannten „administrativen Projektmanager“ und einen „operativen Projektmanager“ zugewiesen.

WĂ€hrend der administrative Projektmanager sich dabei um ĂŒbergeordnete Themen wie VertrĂ€ge, Budgetkontrolle und Customer-Success-Management kĂŒmmert, ist der operative Projektmanager Ihr persönlicher Ansprechpartner fĂŒr konkrete Themen rund um das zu betreuende Projekt selbst. Er hat die zu erledigenden Aufgaben im Blick, steht bei Fragen oder Problemen zur VerfĂŒgung und achtet darauf, dass nichts „liegen bleibt“.

Bei Projekten mit kleinerem Umfang ĂŒbernimmt meistens ein Mitarbeitender bei erdfisch beide Funktionen gleichermaßen.

In welchen ZeitrĂ€umen ist erdfisch fĂŒr mich erreichbar?

Neben der asynchronen Kommunikation via Web-Chat oder E-Mail, die jederzeit gestartet werden kann, stehen wir von Montag bis Donnerstag zwischen 10 und 17 Uhr auch fĂŒr geplante Termine via Video-Call zur VerfĂŒgung oder können telefonisch erreicht werden.

Ist ein Notfall-Support vereinbart, erhalten unsere Kunden zudem eine spezielle Notfall-Rufnummer, an welche sie sich im Ernstfall wenden können.

Gibt es bestimmte technische Voraussetzungen?

Ja. erdfisch betreut Drupal-Projekte anhand eines standardisierten Entwicklungs-Workflows und verfĂŒgt fĂŒr diese ĂŒber eine container-basierte Betriebsumgebung auf der Grundlage von Kubernetes. Um durch erdfisch gewartet und betreut zu werden, muss das fragliche Projekt in diese Entwicklungs-Workflows eingebunden und auf den Kubernetes-Webstack umgestellt werden. Dies ist ein einmalig anfallender Aufwand, der vor der Übernahme des Projekts in die Betreuung durch erdfisch durchgefĂŒhrt werden muss.

Kann ich meine Webseite auch bei erdfisch hosten lassen?

Ja. Gemeinsam mit unserem Hosting-Partner bietet erdfisch ein leistungsfĂ€higes und zuverlĂ€ssiges Gesamtpaket sowohl fĂŒr das Hosting als auch fĂŒr den Betrieb Ihrer Drupal-Webseite an. Dieses lĂ€sst sich je nach den Anforderungen Ihres Projektes im Hinblick auf Traffic, Speicherplatzbedarf und Nutzerzahlen einfach und bequem skalieren lĂ€sst.

Was ist, wenn ich mein Projekt um neue Funktionen erweitern möchte?

Dann setzt erdfisch diese um. Im Vorfeld fĂŒhren wir eine Anforderungsanalyse durch, klĂ€ren RĂŒckfragen, erarbeiten ein technisches Konzept und schĂ€tzen den Implementierungsaufwand sowie BegleitaufwĂ€nde ein.

Dies ist jedoch dann nicht mehr Teil der Wartungs- und Support-Vereinbarung, sondern kann z.B. im Kontext einer separat abgeschlossenen Weiterentwicklungs-Vereinbarung ĂŒber ein bestimmtes einmaliges oder monatlich wiederkehrendes Personentage-Kontingent erfolgen.

Auch punktuelle Weiterentwicklungs-AuftrĂ€ge ĂŒber das Einholen einzelner Angebote sind denkbar, oder das Modell des agilen Festpreises.

Weitere Informationen zu unserem Leistungsspektrum rund um die Konzeption und (Weiter-)Entwicklung von Drupal-Projekten finden Sie hier.

 

 

 

Und was kostet das...?

Mit welcher Investition Sie rechnen mĂŒssen.

Drupalgeddon...
... war im Jahr 2014 die bisher schwerste SicherheitslĂŒcke, die bei Drupal aufgetreten ist.
Zum GlĂŒck sind LĂŒcken diesen Ausmaßes Ă€ußert selten und der Umgang damit vorbildlich.

Die offene und ehrliche Antwort lautet: Es kommt darauf an.

Denn der Wartungs- und Support-Aufwand ist nicht bei jedem Drupal-Projekt exakt gleich groß.
Als Faustregel gilt: je komplexer und funktionsreicher das Projekt ist, und je mehr Erweiterungsmodule fĂŒr den Drupal-Kern installiert und im Einsatz sind, desto mehr Wartungsaufwand muss fĂŒr ein solches Projekt einkalkuliert werden.

Zudem muss unterschieden werden zwischen reinen sicherheitskritischen Aktualisierungen und Funktions-Updates, die unter UmstÀnden auch Einfluss auf die vorhandene Business-Logik haben können.

Auch ein Upgrade auf eine neue Drupal-Hauptversion ist nochmals gesondert zu betrachten. Beispielsweise wird bei diesem Upgrade veraltete Funktionslogik, die in der Vorversion Drupals zwar schon abgekĂŒndigt, aber noch verfĂŒgbar gewesen ist, endgĂŒltig aus dem Code Drupals entfernt.

Ist in der betreuten Webseite jedoch Individual-Entwicklung vorhanden, die von veralteter Funktionslogik abhÀngig gewesen ist, muss spÀtestens mit dem Upgrade auf die neue Hauptversion sichergestellt werden, dass diese AbhÀngigkeiten aufgelöst werden, ohne dass die Business-Logik der Webseite davon beeintrÀchtigt wird.

Daher regeln wir die laufende Wartung fĂŒr ein Projekt zweigleisig: die regulĂ€re Wartung innerhalb einer Drupal-Hauptversion bieten wir im Rahmen eines monatlichen Pauschalbetrages an, dessen Höhe sich am KomplexitĂ€tsgrad des zu betreuenden Projektes orientiert. Im Regelfall liegt dieser Pauschalbetrag zwischen 500 bis 1.000 Euro netto im Monat.

Ein Upgrade auf eine neue Hauptversion Drupals bieten wir dagegen gesondert an.

Zwei Schritte gibt es zudem, die vor der Übernahme einer Webseite in die kontinuierliche Wartung gegangen werden mĂŒssen. Mehr dazu erfahren Sie im folgenden Absatz.

In drei einfachen Schritten...

...zur Wartungs- und Support-Vereinbarung bei erdfisch

1

Kurz-Gutachten

Wir mĂŒssen wissen, was uns bei dem Projekt erwartet, das wir in die Wartung ĂŒbernehmen sollen. Aus diesem Grund ist es zwingend notwendig, das Projekt einer **initialen Analyse** zu unterziehen und fĂŒr dieses ein (link:Marketing-Seite Kurzgutachten / tbd)Kurzgutachten(/link) zu erstellen.

Im Rahmen des Kurzgutachtens untersuchen wir unter anderem

  • wie aktuell das im Einsatz befindliche Drupal und seine Module sind
  • ob das Projekt bisher gemĂ€ĂŸ anerkannter Drupal-Coding-Standards aufgebaut und weiterentwickelt wurde oder
    • ob es problematische Hacks und/oder Umbauten an den Kernkomponenten Drupals gibt oder
    • an den Drupal-Konzepten vorbei-entwickelt wurde
  • ob eine kontinuierliche Wartung und ggf. Weiterbetreuung somit grundsĂ€tzlich möglich ist oder welche Vorarbeiten notwendig wĂ€ren, das Projekt wartbar zu bekommen
  • ob das Projekt abgesehen von der reinen Wartung auch funktional gemĂ€ĂŸ der Drupal-Coding-Standards weiterentwickelt werden kann oder was dafĂŒr notwendig wĂ€re, dies zu ermöglichen

Der Inhalt des Kurzgutachtens wird dem Kunden als Ergebnis der Seiten-Analyse in schriftlicher Form zur VerfĂŒgung gestellt.

2

Umzug in den erdfisch-Webstack

Um die Wartung und Betreuung Ihres Projekts kosteneffizient und verlĂ€sslich durchfĂŒhren zu können, mĂŒssen gewisse Standards bei der Betriebsumgebung gewĂ€hrleistet sein, auf der das Projekt betrieben wird. Erforderlich ist hierbei beispielsweise

  • die Verwaltung der Codebase (also der System- und Konfigurationsdateien, aus denen Drupal besteht) mittels des Versionskontrollsystems Git
  • der Betrieb in einer kubernetes-basierten technischen Container-Infrastruktur

FĂŒr beides stellt erdfisch ausgereifte Lösungen bereit, auf die der Kunde zurĂŒckgreifen kann, sofern er keine eigenen Dienste dieser Art betreibt.

Die Container-Infrastruktur von erdfisch zum Betrieb Drupals kann als Rundum-Sorglos-Paket kombiniert mit dem Hosting-Angebot von erdfisch genutzt werden.

Auf Wunsch prĂŒfen wir aber auch, ob sie sich auf bereits vorhandenen Servern des Kunden einrichten und betreiben lĂ€sst.

FĂŒr den Umzug in den "erdfisch-Webstack" fĂ€llt eine einmalige Umstellungs-GebĂŒhr an. Im einfachen Falle, dass auch das Hosting-Angebot von erdfisch genutzt wird, liegen die Kosten hier ĂŒblicherweise bei einmalig 1.000,00 Euro netto.

FĂŒr den Betrieb auf einer eigenen Server-Infrastruktur des Kunden erstellen wir nach PrĂŒfung der jeweiligen Ausgangssituation ein individuelles Angebot.

3

Kontinuierliche Wartung und Support

Sobald Ihr Projekt in die neue Betriebsumgebung eingebettet ist, profitieren Sie von unseren bewĂ€hrten Workflows in der regulĂ€ren Produktwartung bei erdfisch. Dabei handelt es sich um eine mehrstufige Strategie, um sowohl bestmögliche Sicherheit fĂŒr das Projekt zu erzielen, als auch möglichst kosteneffizient und damit wirtschaftlich zu arbeiten.

Kosteneffizienz erreichen wir dabei zum Beispiel, indem wir nicht "blind" immer jegliches Update sofort nach Erscheinen einzuspielen versuchen, sondern immer auch den jeweiligen Kontext im Blick haben:

  • wie ist die Risikobewertung des Updates auf drupal.org?
  • existiert das konkrete Risikoszenario, fĂŒr das das Update veröffentlich wurde, auf Ihrer Website ĂŒberhaupt?

Indem wir diese Faktoren in die Betrachtung einfließen lassen, können wir den Wartungsprozess effizienter planen und dadurch die notwendigen Wartungsintervalle optimieren - und haben gleichzeitig immer die volle FlexibilitĂ€t, bei hochkritischen Sicherheitsupdates binnen kĂŒrzester Zeit die notwendigen Sicherheits-Patches auf Ihr Produktivsystem ausrollen zu können.

FĂŒr weitere Details wie wir die Wartung bei unseren Projekten organisieren und durchfĂŒhren, empfehlen wir an dieser Stelle den Beitrag "Drupal auf Stand halten - Wartung kurz erklĂ€rt" in unserem Blog.

Hinweis: Bestands-Projekte auf der Version Drupal 7 oder niedriger ĂŒbernehmen wir nicht mehr in neue Wartungsvereinbarungen. Wir sind aber sehr gerne Ihr Ansprechpartner, wenn Sie fĂŒr Ă€ltere Drupal-Projekte einen Sprung auf das aktuelle Major-Release Drupals angehen möchten.

Haben Sie ein laufendes Drupal-Projekt und wollten dessen kontinuierliche Wartung sicher stellen?

Schreiben Sie uns oder rufen Sie uns an unter +49 6221 751 560 0 fĂŒr ein kostenfreies und unverbindliches ErstgesprĂ€ch.

Profilfoto Frank Holldorf

Frank Holldorff

People & Culture | Business Development | Marketing | GeschĂ€ftsfĂŒhrer