Unsere Open Source Learnings 2025
Open Source befindet sich 2025 in einem Zustand tiefgreifender Veränderung. Viele Selbstverständlichkeiten der vergangenen zwei Jahrzehnte – klare Lizenzmodelle, Community-getriebene Weiterentwicklung, ein schwarz-weißes Verständnis von „frei“ versus „proprietär“ – lösen sich auf oder werden neu definiert. Gleichzeitig steigt die Bedeutung digitaler Souveränität rapide an.
Unternehmen, Behörden und öffentliche Institutionen müssen sich damit auseinandersetzen, wo ihre Daten liegen, wie unabhängig ihre Technologieentscheidungen wirklich sind und welche Rolle Open Source dabei spielt. Genau an dieser Schnittstelle bewegen wir uns als punkt.de seit vielen Jahren. Und selten war die Dynamik so spürbar wie 2025.
Vom Klassentreffen zur strategischen Bühne:
TYPO3 im Aufwind
Wer seit vielen Jahren in der TYPO3-Community unterwegs ist, erinnert sich noch gut an die Zeit vor 2015–2020: Die T3CON war ein Klassentreffen. Familiär, fachlich tief, aber klein. 2025 ist das Bild ein anderes. Auf der Konferenz waren Akteure zu sehen, die noch vor wenigen Jahren keinerlei Berührungspunkte mit TYPO3 hatten. Karim Marucchi, CEO von Crowd Favorite, tief in der WordPress-Welt verankert, sprach über digitale Souveränität und Open-Source-Governance. Dass sich Persönlichkeiten aus ganz anderen Ökosystemen plötzlich ernsthaft für TYPO3 interessieren, zeigt: Unser CMS ist nicht mehr nur Werkzeug – sondern Infrastruktur.
Das ITZBund, Materna und andere große Player waren ebenfalls an allen Tagen präsent. Das ist ein qualitativer Sprung. TYPO3 wird strategisch gedacht. Nicht als Alternative, sondern als Grundlage. Der Government Site Builder (GSB) setzt in seiner neuen Version auf TYPO3. Die Relevanz von Open Source „made in Germany“ wächst – und wir sind Teil eines Ökosystems, das 2025 erwachsener ist als je zuvor.
Der Government Site Builder 11 wird vom ITZBund offiziell als Standardlösung des Bundes geführt und basiert ab Version 11 auf dem Open-Source-CMS TYPO3 – ein klares Bekenntnis der Bundesverwaltung zu offener Infrastruktur.
Wer das vertiefen möchte, findet im TYPO3-Umfeld und in unserer Zusammenarbeit mit anderen Agenturen rund um GSB und öffentliche Projekte weitere Einblicke, z. B. im Beitrag „1_Forge: Drei Agenturen, ein Schulterschluss – für starke TYPO3-Projekte auf Augenhöhe“.
Automatisierung wird souverän: Unser Weg mit n8n und CIB seven
2025 war für uns ein Jahr der konsequenten Automatisierung – allerdings mit einem klaren Anspruch: Wir automatisieren nur dort, wo wir die Datenhoheit behalten können. Damit unterscheiden wir uns bewusst vom aktuellen Trend, überall Make, Zapier oder andere SaaS-Integratoren einzusetzen. Nicht weil diese Tools schlecht wären – sie sind im Gegenteil oft großartig. Aber sie erfordern, dass Unternehmensprozesse, Zugangsdaten und interne Datensysteme in einer fremden Cloud liegen.
Als Kunden zunehmend Make nutzten, standen wir vor der Frage: Wie können wir dieselbe Flexibilität bieten, ohne Souveränität einzubüßen? Die Antwort war für uns eine Kombination aus Werkzeugen: n8n als zentrale Automatisierungsplattform und CIB seven als Möglichkeit, komplexere Prozesse auf einer souveränen Workflow-Engine abzubilden. Beide Tools hosten wir selbst – und das verändert das Spiel.
Ein Beispiel: Unsere Pressearbeit läuft inzwischen weitgehend automatisiert. Einmal pro Woche wird aus unseren internen Quellen ein aktueller Artikelbestand an Dienste wie die PresseBox übermittelt – fehlerfrei, nachvollziehbar und komplett auf unseren Servern verarbeitet. Klein, aber symbolträchtig: Wir sparen Zeit, gewinnen Qualität und behalten alle Daten im eigenen Haus.
Diese Haltung – Automatisierung ja, aber nur mit Datenhoheit – haben wir in unserem Blog einmal so zusammengefasst: „Automatisierung funktioniert nur dann nachhaltig, wenn die Hoheit über die Daten beim Unternehmen bleibt.“
Dabei mussten wir unser eigenes Verständnis von Open Source erweitern. Denn n8n ist eben nicht „klassisch Open Source“. Die Sustainable Use License beschränkt bestimmte Nutzungsarten – insbesondere das Betreiben als kommerziellen SaaS-Dienst. Anfangs war ich skeptisch. Open Source ist für mich mehr als ein Lizenztext. Doch das Modell von n8n hat mich überzeugt: Es schützt vor Ausbeutung durch Cloud-Giganten, lässt aber alle Freiheitsgrade, die man für echte Souveränität braucht. Dieses hybride Denken ist ein wichtiger Baustein für die Zukunft – und ein persönliches Learning von 2025.
Jan Oberhauser, der Gründer von n8n, bringt es im Kontext der Fair-Code-Bewegung so auf den Punkt: Man müsse Modelle finden, „in denen alle gewinnen – Nutzer, Community und Unternehmen“. Die Sustainable Use License ist genau so ein Versuch: Der Quellcode bleibt einsehbar und erweiterbar, aber die rein kommerzielle Weitervermarktung ohne Rückfluss an das Projekt wird begrenzt.
Bewegung in den Communities: WordPress, Akeneo, Pimcore
Kaum ein Jahr hat so deutlich gezeigt, wie fragil Open-Source-Governance sein kann. Der Konflikt zwischen Matt Mullenweg (Automattic) und WP Engine hat viele Kunden zutiefst verunsichert. Der endgültige Bruch eskalierte Ende 2024, doch die Auswirkungen rollten 2025 durch den Markt: die Drohung, Markenrechte zu entziehen, das zeitweise Entfernen von WP-Engine-Kunden aus Update-Kanälen, der öffentliche Schlagabtausch. Egal wie man die Details bewertet – ein solches Machtgefälle wäre in vielen anderen Open-Source-Projekten schlicht nicht möglich. TYPO3 & Co. haben hier einen klaren Vorteil: Governance ist verteilt. Kein einzelner Akteur kann komplette Nutzergruppen aussperren.
Doch WordPress ist nur ein Beispiel. Akeneo hat seine Community Edition de facto eingefroren und konzentriert sich zunehmend auf sein SaaS- und Enterprise-Modell. In der Praxis bedeutet das: Neue Features landen zuerst (oder ausschließlich) in den gehosteten Varianten und in der Enterprise-Edition, während die Community Edition in weiten Teilen im Wartungsmodus verharrt und der Fokus klar auf den „Serenity“-SaaS-Ansatz wandert.
Pimcore hat in diesem Jahr auf die eigene POCL-Lizenz umgestellt – ein Move, der für viele nach einem Abschied von echtem Open Source klingt, aber gleichzeitig die rechtlichen Risiken klassischer Copyleft-Lizenzen minimieren soll. Ab Version 2025.1 steht die Community Edition nicht mehr unter GPLv3, sondern unter der Pimcore Open Core License (POCL), die zwar vollständige Quellcode-Einsicht und Anpassbarkeit verspricht, aber klar zwischen Community-Nutzung und kommerzieller Nutzung unterscheidet.
Und jetzt kommt der unbequeme Teil:
Es wäre zu einfach, diese Projekte zu kritisieren. Fakt ist: Die Anforderungen an moderne digitale Produkte sind enorm gestiegen. Architektur, Security, Skalierbarkeit, Compliance – das alles kostet Geld. Und ehrlicherweise: Die Open-Source-Community trägt nur selten ausreichend dazu bei, dass große Projekte finanziell solide weiterentwickelt werden können.
Wer jetzt protestiert, sollte sich fragen, ob er in den letzten Jahren genügend beigetragen hat, um Kommerzialisierung zu verhindern. Ich selbst schaue mit Stolz auf TYPO3 und die Gründung der TYPO3 GmbH im Jahr 2016. Das war Weitblick. Es war die Antwort der Community auf die Frage:
Wie sichern wir die Zukunft unseres Projekts, ohne uns zu verkaufen?
Diese Governance-Strukturen tragen heute – und andere Systeme werden nachziehen müssen.
Für 2026 wünsche ich mir klare Preisstrukturen und transparente Onboarding-Modelle. Wir verstehen, dass Systeme Kosten verursachen müssen, aber die Willkommenskultur der „alten Open-Source“-Welt muss erhalten bleiben. In diesem Jahr haben wir versucht, mit einigen langjährigen Open-Source-Systemen, wie Sylius, Elastic und n8n, in die Enterprise-Welt einzusteigen.
Es war ein absoluter Tarif-Dschungel. Nach fünf Telefonaten, Gesprächen und Unterlagen hatten wir immer noch keinen Preis und kein Gefühl der Willkommenskultur – nur Unsicherheit.
Gerade Agenturen brauchen die Möglichkeit, neue Tools auszuprobieren, ohne sofort im Enterprise-Lock-in zu landen. Andernfalls wird Europa diese Tools nicht breit adaptieren.
Ein Beispiel, dass es auch anders geht, sieht man im TYPO3-Ökosystem: Durch die Mischung aus Association, GmbH und einem breiten Agentur-Netzwerk ist klar, wer wofür bezahlt – und trotzdem bleibt der Kern des Systems offen und Community-getrieben.
Europa reguliert – und das ist gut so
Regulierung ist in der Tech-Branche ein Reizwort. Viele Unternehmen sehen in NIS2, CRA, dem Barrierefreiheitsgesetz oder DSGVO-Nachschärfungen vor allem Aufwand. Wir erleben das täglich: Die ersten Reaktionen auf EU-Gesetze klingen oft nach Überforderung oder „Brüssel-Bürokratismus“. Doch je tiefer ich mich professionell mit diesen Themen beschäftige, desto klarer sehe ich: Europa hat hier einen strategischen Vorteil, den wir viel selbstbewusster kommunizieren sollten.
Ich habe in diesem Jahr einige Gespräche mit amerikanischen Expert:innen geführt. Das Bild ist eindeutig: Die USA beneiden uns um die europäische Regulierung. Nicht weil sie bequem wäre – sondern weil sie Schutz, Klarheit und Souveränität schafft. Während in den USA Datenhandel, Profiling und Plattformmacht weitgehend unreguliert sind, bietet Europa verlässliche Leitplanken, die Vertrauen schaffen.
NIS2 zwingt Unternehmen, sich ernsthaft mit ihrer eigenen IT-Sicherheit auseinanderzusetzen. Die Richtlinie schafft einen einheitlichen Rahmen für Cybersecurity in zahlreichen kritischen Sektoren und erweitert den Geltungsbereich deutlich – auch auf viele mittelständische Unternehmen. Der Cyber Resilience Act sorgt dafür, dass Software – egal ob Open Source oder proprietär – endlich Mindeststandards erfüllen muss, etwa Security-by-Design, regelmäßige Updates und klare Verantwortlichkeiten. Der Accessibility Act hebt Barrierefreiheit aus dem „Nice-to-have“ in den Status eines Qualitätsmerkmals. Und über allem steht das europäische Selbstverständnis, digitale Souveränität als Standortfaktor zu begreifen.
Viele betrachten das als Belastung. Ich sehe es als Chance.
Auch, weil wir uns als punkt.de auf den Weg gemacht haben, selbst die ISO 27001 zu erfüllen. Nicht, weil ein Kunde es verlangt hätte, sondern weil wir zeigen wollen: Wir meinen Sicherheit und Souveränität ernst. Für uns ist das Regulierungsthema kein Klotz am Bein – es ist ein Zukunftstreiber.
Wer sich tiefer einlesen möchte, findet in unserem Blog regelmäßig Einordnungen zu Regulierung, Souveränität und Praxisbeispielen – vom Mittelstand bis zur öffentlichen Hand.
Eine ausführlichere Einordnung, warum wir digitale Souveränität nicht als Verzicht, sondern als bewusste Entscheidung verstehen, habe ich in unserem Blogartikel „Digitale Souveränität: bewusste Entscheidungen statt Dogma“ festgehalten.
Mein Ausblick: 2026 wird ein Jahr der Klarheit
2025 war ein Jahr des Wandels. 2026 wird ein Jahr der Klarheit. Wir werden im nächsten Jahr deutlich klarer sehen, welche Open-Source-Projekte ihre Governance im Griff haben – und welche nicht. Wir werden sehen, welche Lizenzmodelle funktionieren und welche die Community entfremden. Wir werden erkennen, welche EU-Regulierungen echte Innovation auslösen – und wo nachjustiert werden muss.
Ich persönlich freue mich darauf, diese Diskussionen aktiv mitzugestalten. Open Source bedeutet für mich: Optionen behalten. Verantwortung übernehmen. Und souverän bleiben – technisch, strategisch und rechtlich.
Als punkt.de werden wir auch 2026 unseren Weg konsequent gehen:
Open Source als Default.
Europäische Technologie als Fundament.
Souveränität als Haltung.
Es ist ein guter Zeitpunkt, über Technologie neu nachzudenken. Und es ist ein großartiger Zeitpunkt, Verantwortung zu übernehmen.
Autor: Fabian Stein
Fabian beschäftigt sich mit der Digitalisierung in Deutschland und der Entwicklung des Open Source Marktes als CEO von punkt.de
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Matomo statt Google – Tracking gehört Ihnen
Viele Unternehmen stehen derzeit vor der Frage, wie sie ihr Web-Tracking und ihre Analyse datenschutzkonform und zukunftssicher gestalten können. Google Analytics – insbesondere die aktuelle Version GA4 – ist zwar weit verbreitet, bewegt sich aber weiterhin in einer juristischen und technischen Unsicherheitszone. Mehrere Datenschutzbehörden in Europa haben bestätigt, dass GA4 in seiner Standardkonfiguration nicht DSGVO-konform betrieben werden kann. Das schafft Risiken, die langfristig schwer kalkulierbar sind.
Gleichzeitig wünschen sich Teams ein Tracking-System, das professionelle Analyse-Funktionen bietet und dennoch die volle Kontrolle über die eigenen Daten ermöglicht. Genau hier setzt Matomo an. Die Open-Source-Plattform wird weltweit eingesetzt, ist technisch ausgereift und erlaubt Unternehmen, Webanalyse unter eigener Kontrolle zu betreiben – ohne Abhängigkeit von US-Anbietern.
Datenschutz und Datensouveränität als klare Vorteile
Der grundlegende Unterschied zwischen Matomo und GA4 liegt weniger in der Oberfläche als im Umgang mit Daten. Während die Datenströme von Google Analytics automatisch in ein US-basiertes Ökosystem fließen, lässt sich Matomo so betreiben, dass Datensouveränität vollständig gewährleistet ist:
- Daten können auf eigenen Servern gespeichert werden
- Hosting in deutschen oder europäischen Rechenzentren ist problemlos möglich
- Es findet kein Transfer personenbezogener Daten an Dritte statt
- Der Zugriff ist vollständig kontrollierbar
Diese Form der Datensouveränität wird für Unternehmen immer wichtiger – nicht nur aus juristischen Gründen, sondern auch für die interne Risikoabwägung. Matomo unterstützt diesen Ansatz durch integrierte Datenschutzfunktionen wie IP-Anonymisierung, „Do Not Track“-Unterstützung oder Datenlöschung auf Anfrage. Unter bestimmten Bedingungen ist Matomo sogar ohne Einwilligungsbanner nutzbar, weil das Tracking ohne Cookies möglich ist.
Damit wird Matomo zu einer Analyse-Plattform, die Datenschutz nicht als Einschränkung, sondern als Grundprinzip versteht.
Warum Matomo auch fachlich überzeugt
Die Entscheidung für eine Analyse-Plattform sollte nicht nur rechtliche Aspekte berücksichtigen, sondern auch die Qualität des eigenen Trackings. Hier zeigt sich, dass Matomo in einigen Punkten strukturelle Vorteile gegenüber GA4 hat.
Anders als Google Analytics arbeitet Matomo ohne Sampling. Die Analyse basiert immer auf vollständigen Daten – unabhängig vom Traffic-Volumen. Das erleichtert sowohl strategische Auswertungen als auch detaillierte Fragestellungen, etwa bei Conversion-Optimierung oder Kampagnenanalysen.
Hinzu kommt die Offenheit des Systems: In Matomo stehen – insbesondere bei Self-Hosting – die Rohdaten zur Verfügung. Unternehmen können eigene Auswertungen fahren oder Daten mit BI-Tools verbinden. Ein weiterer Vorteil liegt darin, dass Matomo neue Ziele oder Segmente nicht nur für die Zukunft berechnen kann, sondern auch rückwirkend. Bei GA4 dagegen verhindert die begrenzte Datenspeicherung oft, dass historische Auswertungen vollständig möglich sind.
Auch wenn die Oberfläche von Matomo weniger verspielt wirkt als die von GA4, erfüllt sie die Erwartungen moderner Tracking-Prozesse. Matomo bietet E-Commerce-Tracking, Event-Tracking, Kampagnenanalyse, Funnel-Berichte und erweiterte Funktionen wie Heatmaps oder A/B-Tests.
Für viele Anwendungsfälle ist Matomo damit nicht nur eine datenschutzfreundliche Alternative, sondern auch eine funktional stabile und nachvollziehbare Analyse-Plattform.
Unabhängigkeit und Planungssicherheit
Ein Punkt, der bei der Wahl eines Tracking-Systems oft unterschätzt wird, ist die langfristige Planbarkeit. GA4 hat gezeigt, wie abrupt Google grundlegende Änderungen vornehmen kann – sei es technisch, strukturell oder im Hinblick auf Datenhaltungsfristen. Die Abschaltung von Universal Analytics hat viele Unternehmen gezwungen, Daten zu migrieren oder sogar ganz aufzugeben.
Matomo entwickelt sich in einem anderen Rhythmus: transparent, nachvollziehbar und ohne externe Abhängigkeiten. Für Unternehmen bedeutet das langfristige Stabilität. Auch Migrationen – etwa von Piwik PRO oder Google Analytics – sind möglich und verlieren durch Matomos offene Struktur ihren Schrecken.
Vor allem Organisationen, die Tracking im Kontext von Compliance, Governance oder IT-Sicherheit betrachten, schätzen diese Form der Datensouveränität.
Fazit: Matomo schafft eine Balance aus Datenschutz, Kontrolle und professioneller Analyse
Für Unternehmen, die Wert auf rechtssicheres Tracking und gleichzeitig auf qualitativ hochwertige Analyse legen, ist Matomo heute oft die bessere Wahl. Die Plattform kombiniert:
- Datensouveränität durch volle Kontrolle über Speicherorte und Datenzugriff
- Datenschutz durch integrierte Schutzmechanismen
- Professionelle Tracking-Funktionen, die den Vergleich mit GA4 nicht scheuen müssen
- Transparenz und Offenheit, die langfristige Planung erleichtern
Matomo ist vielleicht nicht in jeder Nutzerinteraktion so poliert wie GA4 – dafür ist es klar strukturiert, nachvollziehbar und bietet Unternehmen die Freiheit, ihre Webanalyse selbstbestimmt zu gestalten.
Wer Web-Tracking nachhaltig, rechtssicher und zukunftsfähig betreiben möchte, kommt an Matomo kaum vorbei.
Die punkt.de GmbH ist eine Open-Source Software Agentur. Was uns auszeichnet sind mehr als 25 Jahre Erfahrung und der Anspruch unsere Kunden nachhaltig weiterzubringen. Erfrischend direkt, ehrlich und bodenständig.
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Arbeiten bei der punkt.de – Einstieg und die ersten Monate
Das war auch ideales Timing, denn am nächsten Tag ging es schon zusammen mit meinem ganzen Team zu den Teamtagen nach Bad Dürkheim. Die Teamtage finden jedes Jahr statt und sind eine Art KickOff bzw. Teamevent. Es war echt perfektes Timing für meinen Arbeitsbeginn, ich kann mir wenig bessere Startbedingungen vorstellen, als sein Team über mehrere Tage bei vielen interessanten Workshops und natürlich auch viel gemeinsamer Freizeit, kennenzulernen.
Ankommen und direkt mitten drin
In meiner ersten „richtigen“ Arbeitswoche nach dem Onboarding und den Teamtagen habe ich mich zuerst ein paar Tage lang mit dem Lernen und Einarbeiten in die aktuellen Projekte beschäftigt. Neben meinem „Lernticket“ hatte ich aber gleichzeitig auch schon in der Woche mein erstes „richtiges“ Ticket und konnte so von Anfang an in realen Projekten mitarbeiten. Neben meinem eigentlich Frontend Schwerpunkt habe ich auch einige andere Bereiche kennenlernen dürfen, wie zum Beispiel den Sylius Webshop und TYPO3.
Apropos TYPO3, ein besonderes Erlebnis waren die TYPO3 Developer Days. Da die punkt.de jedes Jahr als Sponsor dabei ist und auch bei der Organisation mithilft, war ein großer Teil unserer Mitarbeiter mit auf der Konferenz. Neben mehreren spannenden Vorträgen meiner Kollegen haben die meisten von uns als Helping Hands mitgeholfen. Es war interessant zu sehen, mit wie viel Engagement die Community dieses Event zusammen auf die Beine gestellt hat.
Am Tag vor den Developer Days fand der Just Do It Day statt. An diesem Tag, der zweimal im Jahr organisiert wird, trifft sich die gesamte Firma im Karlsruher Büro und es werden unterschiedliche, von den Mitarbeitern selbst vorgeschlagene Themen und Projekte angegangen. Dabei kann jeder mitmachen, wo man Lust hat. Mittags wurde zusammen Pizza bestellt und am Ende des Tages haben alle ihre Projekte und Ergebnisse vorgestellt. Es war auf jeden Fall ein sehr spannender Tag.
Ein Einstieg voller Abwechslung: Arbeit, Konferenz und JustDoIt-Day
Insgesamt ist die Arbeit bei der punkt.de ein idealer Mix aus interessant, abwechslungsreich, herausfordernd und von einem guten Miteinander geprägt. Man hat viel mit seinen Kollegen zu tun, die Atmosphäre im Team ist sehr gut und bei Fragen findet sich immer schnell jemand, der einem hilft. Im ersten halben Jahr hat man auch monatlich Mentorengespräche, welche Raum bieten für Feedback und persönliche Fragen in vertraulicher Atmosphäre. Hybrides Arbeiten macht es möglich, konzentriert von zu Hause aus arbeiten zu können und trotzdem regelmäßig sein Team vor Ort zu sehen.
Fazit: Vielfalt, Atmosphäre und und ein gelungener Start
So weit mein Eindruck nach den ersten Monaten bei der punkt.de: Die Arbeit ist abwechslungsreich und die Atmosphäre stimmt, was mir den Einstieg auf jeden Fall erleichtert hat. Ich bin froh, hier gelandet zu sein, freue mich auf die kommenden Monate und bin gespannt, welche neuen Herausforderungen auf mich warten.
Die punkt.de GmbH ist eine Open-Source Software Agentur. Was uns auszeichnet sind mehr als 25 Jahre Erfahrung und der Anspruch unsere Kunden nachhaltig weiterzubringen. Erfrischend direkt, ehrlich und bodenständig.
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Duales Studium bei punkt.de
Erste Schritte und Erfahrungen
Schon in der ersten Praxisphase konnte ich spannende Einblicke in die Praxis gewinnen. Zunächst durfte ich ein kleines TYPO3-Projekt umsetzen, um das System kennenzulernen und anwenden zu können. Dann durfte ich direkt an Kundenprojekten mitarbeiten und sammelte meine ersten Erfahrungen im Testing der Web-Anwendung. In meinem ersten Jahr bei der Firma beschäftigte ich mich im Rahmen meiner Projektarbeit mit einer Lösung der Bereitstellung von Daten für Tests bei einer Web-Anwendung. Das Beste daran war, dass ich direkt meine erste praktische Erfahrung im Backend-Entwicklung sammeln konnte, das war spannend, es zu verstehen und beschreiben zu können, und am Ende wird diese Lösung aktiv bis jetzt beim Testing angewendet.
Im zweitem Studienjahr wollte ich meinen Fokus auf Frontend-Entwicklung ausrichten, aber dabei Backend aus den Augen nicht verlieren. Ich arbeitete an der Mehrsprachigkeit in TYPO3 sowie an kleineren Frontend- und Backend-Tickets. Besonders prägend war meine zweite Projektarbeit über die Implementierung von Storybook in ein Kundeprojekt, die unsere Frontend-Entwicklung im Unternehmen nachhaltig optimiert und die Zusammenarbeit mit unserer Partneragentur made in erleichtert. Auch dieses Projekt ist aktuell in unsere Teamarbeit integriert, was sehr cool ist, ein Gefühl zu haben, was Nützliches gemacht zu haben, was aktiv verwendet wird und nicht einfach liegen bleibt.
Theorie liefert die Ideen, Praxis bringt sie zum Laufen.
Das Besondere an dualem Studium ist für mich, wie praktische und theoretische Phasen einander gegenseitig ergänzen. In den Theoriephasen an der DHBW Mosbach bekomme ich ständig neue Impulse und vertiefe mein theoretisches Wissen, sei es aus den Bereichen Projektmanagement, Entwicklung oder Internet-Psychologie, die ich direkt bei punkt.de einbringen kann. Gleichzeitig helfen mir die praktischen Erfahrungen aus den Projekten im Unternehmen, die Inhalte aus dem Studium besser zu verstehen und einzuordnen. Es ist mir auch immer wichtig, dass die Projektarbeiten, die ich beim Unternehmen schreibe, aktiv im Team und Unternehmen verwendet werden und die Forschung dabei an den Themen einen Mehrwert bietet.
Studium und Arbeitsumfeld
Der Studiengang Onlinemedien an der DHBW Mosbach bietet mir immer mal wieder spannende Einblicke in viele verschiedene Themen rund um Online-Medien, Design und Software-Entwicklung. Besonders gefällt mir daran, dass wir viele Gruppenarbeiten haben, wobei wir Zusammenarbeit im Team üben können und viele praxisnahe Aufgaben und Projekte erledigen sollen, die man auch in eigene Portfolios einfügen kann.
Auch das Arbeitsumfeld finde ich persönlich sehr cool. Als ich angefangen habe, bei punkt.de zu arbeiten, habe ich mich sofort angenommen gefühlt und dieses Gefühl bleibt erhalten. Ich wurde sehr schnell in Kundenprojekte integriert und durfte schon Verantwortung bei den Kundentickets übernehmen. Ich habe regelmäßige Feedbackgespräche, um meine Arbeit zu analysieren, neue Ziele ständig zu setzen, um mich weiterzuentwickeln. Die offene und freundliche Atmosphäre im Büro ist eine schöne Ergänzung zu den spannenden Aufgaben im Arbeitsalltag.
Fazit
Nach zwei Jahren ziehe ich ein sehr positives Zwischenfazit: Ich konnte viel lernen, spannende Projekte umsetzen und meine Arbeit findet aktiv im Unternehmen Anwendung. Wer Lust auf praxisnahes Lernen und echte Mitgestaltung hat, für den ist ein duales Studium definitiv eine spannende Option.
Autor:Anastasiia Zaieva
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Artikelserie Test: Codeception (FE/Acceptance, API, Monitoring)
In den ersten beiden Tests haben wir den Code geprüft und getestet. In diesem Teil wollen wir jetzt testen, welche Daten wirklich fließen und was Benutzer tatsächlich sehen.
Was Gurken mit Tests zu tun haben
Für alle folgenden Tests verwenden wir den gleichen Test-Code-Stack – wir verwenden Codeception als Testrunner und darin das Konzept von Behaviour Driven Testing, für welches die Sprache Gherkin (zu Deutsch Gurke) verwendet wird.
Wie man sehen kann, steht in dieser Syntax die Benutzerinteraktion im Vordergrund – es wird sehr selten mit CSS-Selektoren gerarbeitet, normalerweise wird ein Vorgang immer auf eine Art beschrieben, wie ein Benutzer die Anwendung verwenden würde.
Durch die eher einfach gehaltenen Schritte und den Fokus auf den tatsächlichen Inhalt der Website kann man sehr komplexe Abläufe abbilden – und wie bei den anderen Tests wird keine Logik versteckt. Man erkennt auch wieder AAA, wobei Act und Assert mehrmals in beliebiger Reihenfolge durchgeführt wird.
Acceptance für die Funktionen
Was wird dabei aber wirklich getestet? Im Beispiel-Code wird ein Acceptance-Test gezeigt. Dieser steuert einen Browser – wahlweise ein normaler Chrome-Browser mit allen Features oder ein Headless Chrome innerhalb eines Docker-Containers in der Entwicklungs- und CI-Umgebung – und klickt sich durch die fertige Anwendung.
Acceptance-Tests sind bei uns so definiert, dass vor dem Testlauf ein definierter, in git abgelegter Datenbankstand importiert wird, der pro Test optional ergänzt werden kann, und anschließend wird der Test durchgeführt. Am Ende jedes Tests wird die Datenbank wieder auf den definierten Stand zurückgesetzt. Dadurch kann man beliebige Vorgänge beliebig häufig testen – beispielsweise eine Benutzer-Anlage. Wenn der Datenstand nicht immer gleich wäre, könnte der Test nur einmal durchgeführt werden, da ein User mit einem Benutzernamen nur einmal angelegt werden darf, und hätte man einen zweiten Test um den User zu löschen müsste man diese Tests immer nacheinander ausführen, damit man keine Inkonsistenzen verursacht.
Diese Tests testen immer den kompletten Anwendungsstack – Webserver-Config, Backend- und Frontend-Code, CSS (beispielsweise display: none hat Auswirkungen auf Testaufrufe wie „I should see“), Datenbank und Inhalte, der Inhalt des Dateisystems – you name it, you test it. Dabei muss man natürlich beachten, dass Tests, welche immer die Website oder -App rendern und mehrmals Klicken und Formulare ausfüllen und absenden entsprechend lange laufen können, weswegen man diese Tests normalerweise nicht als Hauptsache, sondern als Ergänzung zu anderen, schnelleren Tests verwendet.
API-Testing in schneller
Unser größtes Projekt derzeit ist eine React-Anwendung mit einem TYPO3-Backend. Uns haben die Tests zu lange gedauert (selbst mit Parallelisierung und ähnlichem), vor allem wenn wir für verschiedene Berechtigungen und für nicht eingeloggte User die korrekte Daten-Sichtbarkeit prüfen wollten. Für diesen Zweck verwenden wir darum API-Tests, welche ebenfalls in Gherkin mit Codeception geschrieben werden, aber intern Guzzle verwenden.
Diese Tests haben leicht andere Steps (Beispiel: „Given that the API is logged in as ‚user’“), wodurch Codeception so gesteuert wird, dass eben Guzzle die Befehle ausführt, und wir testen dann direkt die API-URLs, die Requests und Responses mit JSON-Aufrufen und die Datenbank-Inhalte. Der Vorteil – während einfache Acceptance-Tests wie Login mit Prüfung auf den Inhalt der Startseite 4 Sekunden benötigen, benötigt die API-Only-Stage für einen ähnlichen Test ein paar Millisekunden.
Unser Ablauf besteht häufig darin, dass die API die verschiedenen Fälle und Daten prüft (ohne Login, verschiedene Berechtigungen, gültige Daten, ungültige Daten, Daten aus der Vergangenheit/von Heute/aus der Zukunft usw.) und die FullStack-Tests dann prüfen, dass die Anwendung sich in einem Erfolgsfall und in einem Fehlerfall korrekt verhält. Außerdem testen wir im FullStack auch FE-eigene Funktionen wie z.B. dass Formularfelder sich unterschiedlich verhalten, je nachdem, was ein User ausfüllt.
Wir wollen Fehler sehen, bevor sie für den Kunden relevant werden
Außerdem verwenden wir Codeception und Gherking für eine dritte Testing-Suite. Die FullStack- und API-Tests werden immer auf jeden Commit und den Main-git-Stand ausgeführt, wenn Änderungen passieren, aber damit immer nur für den Stand auf der Entwicklungs-Umgebung. Mit der dritten Suite testen wir Funktionen direkt auf dem Livesystem des Kunden.
Auch hier verwenden wir den Browser und User-ähnliche Schritte, wir achten aber darauf, dass wir innerhalb der Tests keine Daten verändern, und dass wir nicht auf veränderbare Daten prüfen – beispielsweise Testen wir beim Aufruf einer Aktivität (wie oben im Beispielcode) nicht auf ein genaues Datum oder einen genauen Vor- und Nachnamen, sondern wir testen darauf, dass ein beliebiges Datum und ein beliebiger Name angezeigt werden – diese Info reicht uns, um zu wissen, dass unser Live-System den Inhalt korrekt rendert.
Das Ziel dieser Tests besteht darin, dass wir nach Deployments oder nach nächtlichen Importern und ähnlichem wissen wollen, dass das Produktivsystem weiterhin funktioniert, und wenn nicht wollen wir die Info bekommen, bevor es Auswirkungen für tatsächliche Website-Benutzer gibt. In einem älteren Projekt gab es tatsächlich den Fall, dass wir durch Tests morgens gegen 8:00 Uhr wussten, dass es einen Fehler gibt – diesen konnten wir innerhalb von ein paar Minuten beheben, und als die Benutzer um 8:30 bis 9:00 Uhr angefangen haben, die Anwendung zu verwenden, konnten diese fehlerfrei arbeiten.
Verwendete Tools
Für die Übersetzung der Gherkin-Syntax in Codeception-Aufrufe gibt es im Codeception-Umfeld Methoden, die man selbst programmieren kann. Wir haben Standard-Steps, welche immer wieder verwendet werden, in diverse Composer-Pakete aufgeteilt und auf Github und Packagist veröffentlicht. Diese Repository befinden sich im Account/Vendor der punkt.de, inklusive einem kleinen Demo-Projekt, in welchem man die Verwendung nachlesen kann.
Abschluss
Dies war der letzte Teil unserer Test-Reihe. Damit können nun Anwendungen getestet werden – von der Codequalität bis zur korrekten Funktionsweise auf dem Livesystem.
Agiles Testing und Prozess-Know-how für Ihr Team:
Egal ob Agentur, Industrieunternehmen oder ein eigenständiges Entwicklerteam: Wenn Sie agile Testing-Prozesse etablieren oder weiterentwickeln wollen, unterstützen wir Sie mit unserem Know-how – sei es durch praxisorientierte Workshops oder durch direkte, projektbezogene Mitarbeit. Wir begleiten Sie von der Einführung agiler Testmethoden über die Optimierung bestehender Abläufe bis hin zur Entwicklung und Umsetzung individueller Testing-Strategien.
Sprechen Sie uns gerne an, um gemeinsam Ihre Qualitätssicherung und Entwicklungsprozesse auf ein neues Level zu heben!
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Artikelserie Test: Unit, Functional, Coverage
Im ersten Teil der Serie ging es darum, dass geprüft wird, dass unser Code immer den selben Stil hat, sauber verwendet wird und Fremdlibraries aktuell sind. Nun wollen wir prüfen, dass der Code auch wirklich die Funktion erfüllt, die er soll.
Unit-Tests – klein aber fein
Der erste Schritt dazu sind Unit-Tests, welche wir insbesondere im Backend für den PHP-Code schreiben. Die Tests selbst werden mit dem Tool phpUnit umgesetzt.
Die Idee davon ist, dass Code schreibt, welcher von einer Klasse, welche man Testen möchte, einzelne Methoden aufruft und prüft, dass bei entsprechend befüllten Argumenten immer das korrekte Ergebnis ausgegeben wird.
Ein kleiner Beispieltest für einen einfachen Validator:
Für Unittests gibt es ein paar kleine Ideen:
- Man testet das „public Interface“ einer Klasse: Normalerweise will man nur die Methoden testen, die wirklich von außen aufgerufen werden, da diese im Endeffekt die Funktionalität widerspiegeln
- Dependencies – insbesondere Fremdcode – wird gemockt: Da man genau die eine Funktion testen möchte, und nicht einen großen Funktionen-Baum (mit Code, den man gar nicht unter Kontrolle hat), sagt man phpUnit „rufe nicht die Original-Dependency auf, sondern gib an der Stelle immer X zurück“
- AAA – Arrange, Act, Assert: Ein Test ist dann am einfachsten zu verstehen, wenn man zuerst alles vorbereitet (Arrange), dann alles ausführt (Act) und am Ende prüft, ob die Ergebnisse korrekt waren (Assert)
- Keine Logik in Tests: Die Logik, die man testet, ist innerhalb der getesteten Methoden. Wenn man zu viel Logik innerhalb eines Tests schreibt, dann braucht man einen Test für den Test, und damit hat man zu wenig Gewinn
Natürlich gibt es Ausnahmen zu diesen Ideen; Beispielsweise hatten wir im Team vor Jahren einen Test, der in einer Klasse genau eine protected Methode getestet hat, da diese das Kernstück der Klasse war und alle public Methoden nur diese protected aufgerufen hatten. Damit konnten wir uns Testaufwand sparen. Auch kann man zu viel Mocken und beispielsweise dafür sorgen, dass man nicht mehr echten Code testet, sondern nur noch die Mocks. Dies sind Fallstricke, die man immer wieder prüfen muss und die bei jedem Test wieder auf’s neue Relevant werden.
Mit Unit-Tests wissen wir nun, dass unsere Puzzelteile im Code korrekt funktionieren, nun müssen wir prüfen, dass diese auch korrekt zusammengesetzt werden.
Funktionale Tests – die Summe der kleinen Teile
In den Unit-Tests wird nur eine einzelne Codestelle aufgerufen. Wir wollen nun wissen, dass die Codestellen zusammen mit dem verwendten Backend-Framework (in unserem Fall TYPO3 Extbase) in der Anwendungslogik korrekt funktionieren. Zu diesem Zweck schreiben wir Funtional Tests nach der entsprechenden TYPO3-Doku.
Dadurch, dass wir die Tests innerhalb eines TYPO3-Contextes aufrufen, stellen wir sicher, dass das „Außenherum“ korrekt initialisiert ist. Anschließend können wir Tests schreiben, welche beispielsweise Zugriff auf eine (teilweise generierte) Datenbank haben – in unserem Fall testen wir beispielsweise einen Importer.
Wir bereiten eine CSV-Datei vor, rufen innerhalb des Tests die Import-Methode auf und können danach in der Datenbank verifizieren, dass die Zeilen genau den Stand haben, den wir erwarten – wieder sehen wir AAA (Arrange, Act, Assert). Importer sind hier nur ein Beispiel, man kann theoretisch auch Scheduler-Tasks, Controller-Actions, Middlewares und anderes aufrufen.
Wir wissen, was wir testen – aber was testen wir genau?
Ein Thema, welches bei uns im Team derzeit noch nicht dediziert umgesetzt wird, aber zukünftig eingeplant wird, ist das Erfassen der Code Coverage. Man kann in phpUnit konfigurieren, welche Quellcode-Dateien theoretisch Teil des Testumfeldes sind, und phpUnit erfasst dann für diese Dateien, welche Methoden, Codezeilen und ähnliches innerhalb der Tests wirklich aufgerufen werden.
Daraus kann man sich dann eine Liste erstellen, in der man sieht, ob man z.B. in einer komplexen Methode Pfade entwickelt hat, welche nicht getestet sind, oder ob es ungetestete Klassen gibt. Außerdem wird eine Statistik erstellt, welche prozentual angibt, wie hoch der Anteil des getesteten Codes wirklich ist.
Ausblick
Im ersten Artikel hatten wir auf die Qualität des Codes geschaut, in diesem Teil auf die Funktionen innerhalb der php-Klassen. Im nächsten Teil unserer Serie werden wir darauf schauen, wie wir Teile unserer eigentlichen Anwendung testen.
Agiles Testing und Prozess-Know-how für Ihr Team:
Egal ob Agentur, Industrieunternehmen oder ein eigenständiges Entwicklerteam: Wenn Sie agile Testing-Prozesse etablieren oder weiterentwickeln wollen, unterstützen wir Sie mit unserem Know-how – sei es durch praxisorientierte Workshops oder durch direkte, projektbezogene Mitarbeit. Wir begleiten Sie von der Einführung agiler Testmethoden über die Optimierung bestehender Abläufe bis hin zur Entwicklung und Umsetzung individueller Testing-Strategien. Sprechen Sie uns gerne an, um gemeinsam Ihre Qualitätssicherung und Entwicklungsprozesse auf ein neues Level zu heben!
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Sylius-Spezialist:innen gesucht? Wir haben sie.
Mit Sylius 2.1 zeigt das Framework einmal mehr, wie konsequent dieser Weg verfolgt wird: Auf den ersten Blick sticht die Barrierefreiheit nach WCAG-AA hervor – ein starkes Signal, dass moderne Plattformen für alle zugänglich sein müssen. An der technologischen Basis bringt das Release aber noch weit mehr: Unterstützung von PHP 8.4, Symfony 7.3, Doctrine 3 und API Platform 4.1. Damit ist Sylius technisch so aufgestellt, dass Unternehmen ihre Plattformen langfristig weiterentwickeln können, ohne in Sackgassen zu geraten.
Die Zukunft ist modular: Vom Monolithen zum Composable Commerce
Wir sprechen oft von der Modularität von Sylius. In der Fachwelt hat sich dafür ein Begriff etabliert, der den Nagel auf den Kopf trifft: Composable Commerce. Die Idee dahinter ist einfach, aber revolutionär: Statt ein starres All-in-One-System zu nutzen, das alles ein bisschen, aber nichts perfekt kann, stellt man sich seine E-Commerce-Plattform aus den besten am Markt verfügbaren Spezial-Tools zusammen („Best-of-Breed“).
Sylius agiert hier als das leistungsstarke Herzstück – der reine Commerce-Kern. Über APIs werden dann die besten Lösungen für ihre jeweilige Aufgabe angebunden:
- Content Management: Ein professionelles CMS wie TYPO3 oder Neos für reichhaltige Content-Welten.
- Produktdaten: Ein zentrales PIM-System als „Single Source of Truth“.
- Suche: Hochperformante Suchlösungen wie Elasticsearch.
- Bezahlung: Flexible Payment-Provider wie Klarna oder Stripe.
Dieser Ansatz gibt Unternehmen die Freiheit, ihre Infrastruktur exakt nach ihren Bedürfnissen zu gestalten und einzelne Komponenten auszutauschen oder zu modernisieren, ohne das gesamte System neu bauen zu müssen.
Vom Buzzword zur Praxis: Was KI und Headless wirklich bedeuten
Die Sylius-Roadmap blickt klar in die Zukunft, insbesondere bei den Themen KI und Headless. Doch was bedeutet das konkret für Ihr Geschäft?
KI-gestützte Kundenerlebnisse, die verkaufen
Künstliche Intelligenz ist mehr als nur ein Schlagwort. Integriert in eine flexible Plattform wie Sylius, wird sie zum entscheidenden Wettbewerbsvorteil. Statt simpler „Kunden kauften auch“-Logik ermöglichen moderne KI-Integrationen echte, personalisierte Erlebnisse:
- Intelligente, semantische Suche: Ihr Shop versteht, was Nutzer wollen, auch wenn sie es ungenau formulieren. Eine Suche nach „warme jacke für den winter ohne kapuze“ liefert exakte Treffer, weil die KI die Intention hinter den Worten versteht.
- Hyper-Personalisierung: Produktempfehlungen, die sich in Echtzeit an das Klick- und Kaufverhalten des Nutzers anpassen und so die Conversion Rate nachweislich steigern.
- Automatisierte Inhalte: KI kann auf Basis von Produktdaten aus dem PIM automatisch überzeugende Produktbeschreibungen oder SEO-relevante Kategorie-Texte erstellen.
Headless Commerce: Ein Backend, unzählige Kanäle
Der Begriff „Headless“ beschreibt eine Architektur, bei der das Backend (der „Körper“, der die Daten und Logik enthält) vom Frontend (dem „Kopf“, also der Benutzeroberfläche) entkoppelt ist. Für Ihr Unternehmen bedeutet das vor allem eines: absolute Freiheit in mehreren Kanälen.
Mit Sylius als zentralem „Gehirn“ können Sie eine unbegrenzte Anzahl von Frontends bespielen:
- Einen hochperformanten, modernen Webshop auf Basis von z.B. React oder Vue.js.
- Eine native App für iOS und Android.
- Ein Kundenportal für B2B-Kunden mit individuellen Katalogen.
- Ein Terminal im Ladengeschäft (Point of Sale).
- Sogar Anbindungen an Sprachassistenten oder IoT-Geräte.
Alle Kanäle greifen auf dieselbe zentrale Logik für Produkte, Bestellungen und Kundendaten zu. Das ist die Definition einer echten Omnichannel-Strategie.
Unser Ansatz bei punkt.de: Ihr Sparringspartner für nachhaltigen Erfolg
Darum verstehen wir unsere Rolle nicht nur als Entwickler:innen, die Code liefern, sondern als Sparringspartner in jeder Phase. Oft beginnt das schon vor einem Projekt: Wir unterstützen Unternehmen bei den ersten Evaluationen von Sylius, zeigen, wie sich das Framework ins eigene Geschäftsmodell einfügt, und helfen, die richtigen Entscheidungen für die Zukunft zu treffen.
Mein Fazit
Am Ende geht es uns nicht darum, Technologie um ihrer selbst willen einzusetzen. Sondern darum, mit Sylius ein Fundament zu schaffen, das Unternehmen in einer dynamischen Welt trägt – stabil, modular und zukunftssicher.
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Product Owner
Telefon: +49 (721) 9109-144
E-Mail: keller@punkt.de
Linting, Stan, phpCS, Audit
First things first – Automatisierung
Unsere Tests werden nach jedem Commit und nächtlich (auf dem Main-Branch) von GitLab CI ausgeführt.
Ein sauberer, standardisierter Code ist leichter wartbar
Die erste Stufe für uns ist, dass alle Entwickler des Teams den Code auf die selbe Weise schreiben. Hierfür nutzen wir je nach Programmiersprache diverse Tools:
- phpcs (php)
- yamllint (YAML)
- eslint (TypeScript und JavaScript)
- stylelint (CSS und SCSS)
Jedes dieser Tools funktioniert auf die gleiche Art – es prüft den geschriebenen Code auf die Form, die in einer entsprechenden Configdatei vermerkt ist, und stellt sicher, dass kein Entwickler davon abweicht. Wie strikt oder offen die Dateien sind, kann natürlich je nach Team unterschiedlich sein – abgesehen von phpcs, dieses nutzt den per PSR definierten Codestyle von php selbst und kann sogar je nach Version andere Varianten prüfen. Das Besondere bei diesen Tests ist, dass sie bereits im git-Workflow vor einem Commit ausgeführt werden, und damit kein Entwickler unbewusst Code mit inkorrektem Codestyle in das zentrale Repository übertragen kann – wenn es um Work in Progress geht, kann man den Schritt temporär überspringen, was dann aber ein sehr bewusst durchgeführter Schritt ist.
Zukünftige Fehler verstecken sich in Details
Der nächste Schritt ist phpStan. Dieses Tool prüft, ob der Code so geschrieben ist, dass Datentypen eingehalten bleiben und konsistent sind. Beispielsweise reicht es nicht, ein Array als Array zu definieren – Stan zwingt uns dazu, dass wir definieren, dass es beispielsweise ein Array aus Zahlen ist, welches Strings als Keys besitzt. Stan lässt sich dabei in 9 (zukünftig 10) Levels konfigurieren, jeder Level ist strikter als der Level zuvor. In unserem größten Projekt im Team verwenden wir derzeit Level 8 – Level 9 würde uns dazu zwingen, dass wir mit mixed als Datentyp genauer umgehen, was in einem Umfeld wie TYPO3 mit stellenweise ziemlich flexiblen Collections und Arrays größeren Definitionsaufwand bedeuten würde.
Durch die Prüfungen wird erreicht, dass selbst durch mehrere Schichten Programmiercode und auch durch Fremdcode Datentypen sauber sind, und Funktionen nicht inkorrekt verwendet werden können, was bei neuen Entwicklungen zu besserer Konsistenz verhilft.
Die Ausführung von Stan dauert verglichen mit den Linting-Tests vergleichsweise lang, weswegen wir uns entschieden haben, diese nur im Rahmen der Pipelines auszuführen und nicht direkt innerhalb des git-Workflows.
Sicherheitslücken so früh wie möglich sehen
Im Team haben wir die Entscheidung getroffen, dass wir so weit wie möglich keine Fremdlibraries und -pakete mit bekannten Sicherheitslücken auf Kundenserver zu deployen. Zu diesem Zweck führen wir die Befehle npm audit –omit=dev und composer audit aus, welche die über den entsprechenden Paketmanager installierten Pakete gegen zentrale CVE-Datenbanken prüfen, und betroffene installierte Versionen anmerken. Bei npm ignorieren wir die Dev-Pakete, da diese bei Deployments ausgenommen sind und damit ohnehin nicht auf Kundenservern ausgeführt werden.
Dieser Schritt war uns wichtig genug, dass wir ihn im Rahmen des git-Workflows bei jedem Push ausführen, und wie bei den Linting-Schritten kann ein Entwickler bewusst den Test überspringen – dies ist zum Beispiel dann im Ablauf notwendig, dass man nicht mehrfach Paketupdates in mehreren Branches durchführen möchte. Wir können die betroffenen Versionen in Branches pushen, im main-Branch das Update durchführen und anschließend die anderen Branches rebasen.
Uns ist auch bewusst, dass Sicherheitslücken auch bekannt werden können, wenn wir gerade nicht pushen müssen oder viele Pipelines durchgeführt werden. Daher haben wir weitere Abläufe, um bestehenden Code und Releases zu untersuchen, was aber ein Thema für einen weiteren Blogbeitrag ist.
Ausblick
Dies war der erste von 3 Artikeln zu unseren Tests. Freut euch auf Teil 2 über unseren Umgang mit Unittests und anderen Tests mit phpUnit, und auf Teil 3 für API- und Browsertesting.
Agiles Testing und Prozess-Know-how für Ihr Team:
Egal ob Agentur, Industrieunternehmen oder ein eigenständiges Entwicklerteam: Wenn Sie agile Testing-Prozesse etablieren oder weiterentwickeln wollen, unterstützen wir Sie mit unserem Know-how – sei es durch praxisorientierte Workshops oder durch direkte, projektbezogene Mitarbeit. Wir begleiten Sie von der Einführung agiler Testmethoden über die Optimierung bestehender Abläufe bis hin zur Entwicklung und Umsetzung individueller Testing-Strategien. Sprechen Sie uns gerne an, um gemeinsam Ihre Qualitätssicherung und Entwicklungsprozesse auf ein neues Level zu heben!
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
1_Forge: Drei Agenturen, ein Schulterschluss – für starke TYPO3-Projekte auf Augenhöhe
Genau das ist 1_Forge.
Ein Zusammenschluss von drei Agenturen, die seit vielen Jahren fest im TYPO3-Kosmos verankert sind: dkd aus Frankfurt, sitegeist aus Hamburg – und wir, punkt.de aus Karlsruhe.
Was uns eint, ist kein Finanzinvestor, sondern ein gemeinsames Verständnis davon, wie gute digitale Projekte entstehen: mit technischer Tiefe, offener Kommunikation, Vertrauen – und einer Community, die wir nicht nur kennen, sondern mitgestalten.
TYPO3 und Open Source Lösungen sind unsere DNA – nicht nur unser Geschäftsmodell
In den letzten Jahren haben wir beobachtet, wie sich der TYPO3-Markt verändert. Große Projekte wandern zunehmend zu Agenturen, die nicht unbedingt tief in der Community verwurzelt sind, dafür aber durch Größe, Buzzwords und Prozesse beeindrucken.
Mit 1_Forge zeigen wir: Es geht auch anders.
Wir bringen zusammen, was zusammengehört: langjährige Projekterfahrung, zertifiziertes TYPO3-Wissen, agile Methoden, eine enge Verbindung zur Open-Source-Community – und die Fähigkeit, auch größere Projekte zuverlässig zu stemmen.
Und das Beste: Wir arbeiten nicht nebeneinanderher, sondern wirklich gemeinsam. Als eingespieltes Team, das sich aufeinander verlassen kann.
Wer ist 1_Forge? Drei Agenturen mit Substanz
dkd Internet Service GmbH (Frankfurt)
Seit über 20 Jahren als Digitalagentur am Markt, rund 60 Spezialist:innen aus Entwicklung, UX, SEO und Beratung. dkd ist TYPO3 durch und durch – mit den weltweit meisten TYPO3-Zertifizierungen, sieben TYPO3-Awards, eigenen Solr-Workshops und großem Engagement in der Community.
Ihr Geschäftsführer Olivier Dobberkau ist nicht nur Unternehmer, sondern auch Präsident der TYPO3 Association – Community-Nähe ist hier keine Floskel, sondern gelebter Alltag.
sitegeist media solutions GmbH (Hamburg)
Inhabergeführt, rund 70 Mitarbeitende, über 25 Jahre am Markt. sitegeist ist TYPO3-Platinum-Member und Solution Partner mit über 200 realisierten TYPO3-Projekten.
Sie gehören zu den aktivsten Contributor:innen im TYPO3-Universum und haben zahlreiche Open-Source-Extensions wie Fluid Components, Editor Widgets oder SMS Responsive Images initiiert und gepflegt.
Und was man oft vergisst: sitegeist ist auch methodisch stark. Mit einem eigenen agilen Framework namens RE.A.L. bringen sie Struktur, Geschwindigkeit und Klarheit in komplexe Projekte.
punkt.de GmbH (Karlsruhe)
Wir sind seit über 20 Jahren fester Bestandteil der TYPO3-Community und seit fast 30 Jahren am Markt – als Dienstleister, Event-Organisator:innen, Contributor:innen.
Wir entwickeln sichere, wartbare und skalierbare digitale Plattformen – von Identity Management über Single Sign-On bis zu Portalen mit tief integrierten Prozessen. Und wir glauben an Open Source: Wir gestalten mit, wir sponsern, wir zeigen Präsenz.
Unter anderem mit den TYPO3 Developer Days, die wir seit Jahren aktiv organisieren – weil wir daran glauben, dass gelebte Community echten Mehrwert schafft
Zusammen mehr als die Summe unserer Teile
Mit mehr als 160 Kolleg:innen, einem gemeinsamen Jahresumsatz von über 15 Mio. € und einer Projektkultur, die auf Vertrauen, Verantwortung und Qualität setzt, ist 1_Forge eine echte Alternative im Markt:
- Stark genug für große, komplexe Projekte
- Schnell genug für agile MVPs
- Eng genug verbunden, um als echtes Team aufzutreten
Und: Wir kennen unsere Stärken – und die unserer Partner.
Unsere Kunden profitieren davon, dass sie nicht drei Dienstleister managen müssen, sondern mit einem eingespielten Team arbeiten, das ihnen Lösungen bietet – abgestimmt, durchdacht, langfristig.
TYPO3 braucht Haltung – und Menschen, die Verantwortung übernehmen
Dass wir diesen Schritt gehen, ist kein Zufall. Es ist auch eine bewusste, wirtschaftlich fundierte Entscheidung: Wir glauben an TYPO3. Und an Open Source. Und wir glauben, dass wir damit langfristig bessere Projekte realisieren – für öffentliche Auftraggeber, für Unternehmen, für Organisationen mit Verantwortung.
Wir sind überzeugt: Die Zukunft gehört den Netzwerken, nicht den Einzelkämpfern. Und den Teams, die sich nicht nur kennen, sondern vertrauen.
Deshalb ist 1_Forge kein kurzfristiger Pitch-Verbund, sondern ein Commitment.
Lust, uns kennenzulernen?
Wir sind auf der T3CON mit einem gemeinsamen Stand vor Ort. Komm vorbei, sprich mit uns, lerne die Menschen hinter 1_Forge kennen.
Oder schau mal auf 1forge.de vorbei – da erfährst du mehr über uns, unsere Projekte, unser Miteinander.
Wenn du gerade auf der Suche nach einer Agentur bist, die nicht nur Buzzwords liefert, sondern Verantwortung übernimmt – dann lass uns reden.
Wir freuen uns auf den Austausch.
Das Karlsruher Unternehmen punkt.de entwickelt mit über 35 Mitarbeiter:innen kundenspezifische digitale Software-Lösungen im Enterprise-Bereich und bietet maßgeschneiderte Hosting-Infrastruktur-Lösungen für jene Anwendungen an. Hierdurch zählt sie zu den führenden Agenturen für Webprojekte mit TYPO3 und Neos in Deutschland. Zu den Kunden von punkt.de gehören namhafte Unternehmen wie die CompuGroup Medical, die BIKAR Metals GmbH oder die Karlsruher Hilfsorganisation nph deutschland e. V.
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Digitale Souveränität: bewusste Entscheidungen statt Dogma
Wenn ich an digitale Souveränität denke, dann denke ich oft zuerst daran, was ich nicht möchte: den reflexhaften Einsatz von Werkzeugen wie der Google Suite, die ich bei vielen Organisationen sehe. Für mich ist das ein Symbol dafür, wie schnell sich Unternehmen in Abhängigkeiten begeben, ohne sich die Konsequenzen klarzumachen.
Das zeigt zugleich ein typisches Missverständnis: Digitale Souveränität wird oft über Verzicht oder Dogma definiert. Manchmal wirkt es fast wie ein „digitales Vegan-Sein“ – viele wissen, dass es gesellschaftlich besser wäre, aber es erscheint unbequem, man muss sich rechtfertigen, und man hat das Gefühl, nicht mehr so einfach überall mitzumachen.
Dabei geht es gar nicht darum, alles strikt Open Source zu betreiben oder jeden DNS-Record selbst in der Hand zu halten. Für mich und für uns bei punkt.de bedeutet digitale Souveränität etwas anderes: bewusst Entscheidungen zu treffen. Zu verstehen, welche Daten wie verarbeitet werden, welche man besonders schützen will – und wo es völlig ausreicht, auf Standards oder etablierte Systeme zu setzen.
Digitale Souveränität im Mittelstand: Risiko und Chance
Fehlende digitale Souveränität bedeutet für mittelständische Unternehmen vor allem eines: Abhängigkeit. Und diese zeigt sich oft erst dann, wenn es eigentlich schon zu spät ist.
Ein Beispiel aus unserem eigenen Alltag ist das Thema Jira und Confluence. Schon 2012 haben wir uns bei punkt.de entschieden, von Redmine auf Atlassian-Produkte zu wechseln. Wir waren damals begeistert von den Möglichkeiten – und nutzen sie bis heute intensiv. Doch inzwischen zwingt Atlassian seine Kunden in die Cloud. Das bedeutet: deutliche Preissteigerungen, keine Wahlfreiheit mehr und die Pflicht, sensible Daten in einer amerikanischen Cloud abzulegen.
Das Problem dabei ist nicht allein die Cloud. Das eigentliche Problem ist der Vendor Lock-in. Ein Wechsel zurück oder zu einem anderen System ist möglich, aber nur unter extrem hohen Aufwänden und mit hohen Kosten. Unsere Datensouveränität ist hier massiv eingeschränkt.
Ganz anders verhält es sich in einem anderen Bereich: Mail und Kalender. Auch hier setzen wir auf Microsoft 365 – aber mit einem entscheidenden Unterschied. Mail und Kalender basieren auf langjährig erprobten offenen Standards (IMAP, CalDAV etc.). Das bedeutet: Sollten wir eines Tages entscheiden, dass Microsoft nicht mehr zu uns passt, können wir vergleichsweise einfach zurück zu Open-Source-Lösungen oder in andere Systeme wechseln. Unsere Daten sind portabel, die Hoheit bleibt bei uns.
Diese beiden Beispiele zeigen sehr deutlich, worum es bei digitaler Souveränität geht: nicht Dogma, sondern Handlungsfähigkeit.
Unser Ansatz bei punkt.de – ein anderer Default
Was uns bei punkt.de unterscheidet, ist die Haltung, mit der wir an Probleme herangehen. Unser Default sieht so aus:
- Zuerst prüfen wir: Gibt es eine gute Open-Source-Lösung?
- Dann prüfen wir: Gibt es eine starke europäische Lösung?
- Erst dann greifen wir auf internationale Player zurück.
Das bedeutet nicht, dass wir dogmatisch jede Funktion oder jedes Projekt unter die Maxime der Datensouveränität stellen. Sondern dass wir bewusst abwägen: Welche Daten sind kritisch, wo brauchen wir maximale Hoheit – und wo genügt pragmatische Integration?
Begeisterung für Open Source
Unsere erste Liebe gehört nach wie vor Open Source. Warum? Weil Open Source Unabhängigkeit und Sicherheit bedeutet. Freiheit, Systeme zu verstehen, anzupassen und – wenn es hart auf hart kommt –selbst weiterzubetreiben. Für uns begann diese Geschichte früh: In den 2000ern stellte ein Hersteller das CMS ein, das wir damals einsetzten. Wir mussten für unsere Kunden kostenfreie Migrationen stemmen. Eine schmerzhafte Erfahrung – und der Beginn unserer Reise mit TYPO3.
TYPO3 war ein Augenöffner: Egal, was mit der Community passiert, wir behalten Zugriff auf die Daten. Wir können das System selbst betreiben, erweitern, anpassen. Diese Erfahrung prägt uns bis heute. Open Source ist für uns deshalb nicht nur ein Geschäftsmodell, sondern eine Überzeugung. Nicht, weil es „kostenlos“ ist oder weil man es ideologisch „muss“ – sondern weil es Unternehmen die Freiheit gibt, souveräne Entscheidungen zu treffen.
Und es begeistert uns immer wieder, wie leistungsfähig Open-Source-Produkte geworden sind. Ob Content-Management, Automatisierung oder Kollaboration: Für viele Probleme gibt es heute Open-Source-Lösungen, die es locker mit den großen internationalen Playern aufnehmen können.
Wo wir abwägen: Praxisbeispiele
Die Realität ist nie schwarz-weiß. Zwei Beispiele aus unserer Arbeit verdeutlichen das:
- Fegime Extranet: Ein Extranet, in dem hochkritische Marktdaten zwischen verschiedenen Playern ausgetauscht werden. Ein SharePoint-Setup wäre technisch möglich gewesen – aber zu unflexibel, zu wenig souverän. Hier war ein individuelles Open-Source-Extranet die richtige Wahl.
- Marketing Automation: Ganz anders die Welt der Marketing-Automatisierung. Wenn ein Unternehmen bereits Salesforce einsetzt, ist die Marketing Cloud oft sinnvoller als Mautic – einfach, weil die Integration nahtlos ist. Mautic ist gut, aber in diesem Szenario nicht die optimale Wahl.
Das Entscheidende ist: Wir wägen ab. Wir schauen, welche Datenströme kritisch sind, welche Freiheitsgrade notwendig sind und wo Pragmatismus wichtiger ist als Ideologie.
Typische Missverständnisse im Mittelstand
In Gesprächen mit Entscheidern begegnen uns zwei Irrtümer besonders häufig:
- Alles oder nichts: Entweder totale Kontrolle oder totale Abhängigkeit. Doch die Realität ist ein Kontinuum, und genau dort liegt die Chance.
- Souveränität als Verhinderer: Viele denken, digitale Souveränität heißt Einschränkung – „das Tool dürfen wir nicht nutzen“. In Wahrheit ist es umgekehrt: Souveränität eröffnet neue Möglichkeiten, macht Datenströme flexibler und schafft mehr Handlungsspielraum.
Warum punkt.de der richtige Partner ist
Unsere Haltung zur digitalen Souveränität ist nicht aus der Mode geboren, sondern aus Erfahrung. Schon vor über 20 Jahren haben wir gelernt, was passiert, wenn man sich zu sehr auf proprietäre Anbieter verlässt.
Seitdem begleiten wir Unternehmen dabei, souverän mit ihren Daten zu bleiben – mit Open Source, mit europäischen Lösungen, aber auch mit internationalen Tools, wenn es die beste Entscheidung ist. Entscheidend ist nicht die Ideologie, sondern die Freiheit des Unternehmens, jederzeit handlungsfähig zu sein.
Blick in die Zukunft
Ich bin überzeugt: In den nächsten fünf bis zehn Jahren wird digitale Souveränität noch relevanter werden. Regulatorische Anforderungen werden steigen, Märkte werden strengere Vorgaben machen, und spätestens beim Einsatz von KI wird klar: Nur wer seine Daten souverän beherrscht, kann innovativ bleiben.
Für den Mittelstand bedeutet das: Digitale Souveränität ist kein Nischenthema. Sie ist eine strategische Aufgabe.
Fazit
Digitale Souveränität ist kein Dogma, kein Verzichtsprojekt und kein Trend. Sie ist die Fähigkeit, bewusst Entscheidungen zu treffen und Daten so zu behandeln, dass man heute und in Zukunft handlungsfähig bleibt.
Bei punkt.de leben wir diese Haltung seit über 20 Jahren. Wir denken zuerst in Open Source, dann europäisch, und wir greifen zu internationalen Lösungen, wenn es sinnvoll ist. Immer mit einem Ziel: unseren Kunden die Freiheit zu geben, ihre Daten im Griff zu behalten – und damit souverän in die digitale Zukunft zu gehen.
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
