Europäische Hyperscaler und andere Alternativen
In meinem Artikel „Warum Infrastruktur Haltung ist“ habe ich beschrieben, warum ich europäische Infrastrukturlösungen für relevant halte. In diesem Beitrag geht es um den nächsten Schritt: Europäische Optionen sind nicht nur eine Vernunftentscheidung, sondern in vielen Fällen wirkliche Alternativen – je nach Anforderung auch ohne ideologische Scheuklappen.
1) Grundsatzfrage: Brauche ich wirklich Cloud?
Die Frage „Cloud oder eigenes Blech?“ hat sich seit Mitte der 2010er stark verändert. Virtualisierung ist leichter geworden, Hardware stabiler, und die Grenzen zwischen Cloud und On-Prem sind zunehmend fließend.
Das sehen wir auch bei unserem proServer-Produkt: Es läuft immer häufiger selbst in kleinen HA-Setups bereits ab 150 € / Monat.
Und ganz pragmatisch: In den letzten 12 Monaten waren Systeme in der Praxis öfter betroffen, weil Vorschalt-Dienste ausgefallen sind (z. B. CDN/WAF), als weil „ein Server einfach steht“. Hochverfügbarkeit ist wichtig – aber sie entsteht nicht nur durch „mehr Cloud“, sondern durch Architekturentscheidungen.
Trotzdem gibt es gute Gründe für Cloud:
- Skalierbarkeit (Lastspitzen, schnelles Wachstum)
- Resilienz (wenn richtig designt)
- und oft der wichtigste Punkt für IT-Entscheider: Services und Ökosystem Im Zweifel kauft man nicht „Server woanders“, sondern fertige Bausteine, die in die Tool-Landschaft passen (Identity, Logging, Monitoring, Data Services usw.).
Wenn ich also entschieden habe, dass ein Teil meiner IT in die Cloud soll, ist die nächste Frage: Welche Optionen gibt es – auch in Europa?
2) Hyperscaler vs. Cloud: Was ist der Unterschied?
Cloud ist der Oberbegriff für die Bereitstellung von IT-Ressourcen (Server, Speicher, Anwendungen) über das Internet. Sie kann öffentlich (Public Cloud), privat (Private Cloud) oder hybrid sein – und wird von Anbietern jeder Größe angeboten.
Private Cloud kann – je nach Schutzbedarf – auch als Air‑Gapped Cloud umgesetzt werden (physisch/logisch getrennt, ohne direkte Internet-Anbindung), z. B. für Verteidigungs-, Finanz- oder Gesundheitsanwendungen.
Hyperscaler sind eine spezielle Kategorie von Cloud-Anbietern mit globaler Infrastruktur, extremen Skaleneffekten und einem breiten, oft proprietären Service-Portfolio (z. B. AWS, Microsoft Azure, Google Cloud).
Der Kernunterschied
Cloud (allgemein)
Skalierung: flexibel, aber begrenzt
Infrastruktur: gemietet oder selbst betrieben
Ökosystem: je nach Anbieter
Anbieter: viele (klein bis groß)
Hyperscaler
Skalierung: global, sehr schnell, „nahtlos“
Infrastruktur: stark optimiert, häufig eigene Hardware/Software
Ökosystem: sehr breit (von IAM bis KI/Serverless)
Anbieter: wenige globale Player
Warum das wichtig ist: Für viele KMU reicht eine „klassische“ Cloud völlig aus. Hyperscaler spielen ihre Stärke aus, wenn globale Reichweite, extreme Skalierung oder sehr integrierte Plattformdienste wirklich benötigt werden.
3) Europäische Landschaft: viele Alternativen – aber nicht überall „Hyperscale“
Im Cloud-Markt gibt es in Europa viele gute Alternativen: z. B. Hetzner (oft unser Standard für Infrastruktur), Mittwald und weitere Anbieter. Das sind stabile, praxistaugliche Lösungen, die wir selbst gern einsetzen.
Wenn es jedoch um „echte Hyperscale“ (im Sinne von sehr breitem Plattform-Ökosystem und globaler Skalierung) geht, wird die Auswahl kleiner.
4) Gaia‑X: Souveränität durch Regeln statt durch einen „Super-Hyperscaler“
Ein sehr europäischer Ansatz war (und ist) Gaia‑X. Das Projekt ist kein klassischer Cloud-Anbieter, sondern ein föderiertes Modell: viele Anbieter, gemeinsame Prinzipien und Standards (Identität, Compliance, Transparenz, Datenhoheit), sodass sich das Ökosystem für Nutzer konsistenter anfühlt. Gaia-X setzt auf Interoperabilität statt Insellösungen und nachweisbare Regeln/Zertifizierungen statt „Trust me“ – weniger struktureller Lock-in, mehr Steuerbarkeit.
Aktuell kommt wieder Bewegung rein: 2026 sollen erste operative Datenräume live gehen, z. B. für Luftfahrt, Raumfahrt und Gesundheitswesen. Auch internationale Partner (Japan, Kanada) zeigen Interesse. Gaia-X ist damit kein „totes“ Projekt, sondern entwickelt sich weiter – auch wenn die Umsetzung komplex ist und Zeit braucht.
5) Die „neuen alten Player“: europäische Anbieter mit Ambition
Neben dem föderierten Ansatz gibt es auch Anbieter, die deutlich in Richtung „Hyperscale“ wachsen – mit Fokus auf DSGVO, Datensouveränität und planbare Betriebsmodelle.
6) Europäische Hyperscaler & Alternativen (Auswahl)
Europäische Cloud-Anbieter im Überblick
Deutsche Telekom (T Cloud Public)
Die Deutsche Telekom positioniert ihre T Cloud Public als europäische Alternative zu US-Hyperscalern, insbesondere für regulierte Branchen und den öffentlichen Sektor. Zentrale Argumente sind Datenstandort, regulatorische Kontrolle und Vertragsgestaltung nach europäischen Standards. Die Plattform basiert auf OpenStack und soll laut Telekom bis Ende 2026 die Lücke zu US-Anbietern bei zentralen Core-Features deutlich verkleinern. Bei Souveränitäts- und Standortfragen ist zu beachten, dass sich Aussagen je nach konkretem Angebot innerhalb des breiteren T-Cloud-Portfolios unterscheiden können.
STACKIT (Schwarz Gruppe)
STACKIT entwickelt sich zunehmend zu einer souveränen europäischen Cloud-Alternative mit klarem Fokus auf Datenschutz und regulatorische Anforderungen. Die Plattform betreibt eigene Rechenzentren in Deutschland und Österreich und erfüllt unter anderem Anforderungen wie BSI C5 sowie ISAE 3000 (SOC 2) und ISAE 3402. Parallel wird die Infrastruktur massiv ausgebaut, unter anderem mit einem neuen Großrechenzentrum in Lübbenau, das bis 2027 realisiert werden soll. Im Vergleich zu AWS, Azure und GCP besteht weiterhin ein deutlicher Abstand bei globaler Reichweite und Plattformbreite.
IONOS
IONOS ist ein etablierter europäischer Anbieter für Hosting- und Cloud-Lösungen, der insbesondere für kleine und mittelständische Unternehmen attraktiv ist. Das Unternehmen setzt auf transparente Preisstrukturen und europäische Datenschutzstandards. Zudem engagiert sich IONOS in Initiativen zur digitalen Souveränität in Europa, darunter Gaia-X.
OVHcloud
OVHcloud zählt zu den größten europäischen Cloud-Anbietern und bietet ein breites Portfolio von Public Cloud über Hosted Private Cloud bis hin zu Bare-Metal- und Dedicated-Servern. Das Unternehmen verfolgt konsequent ein „EU-first“-Narrativ mit Fokus auf Datensouveränität, offenen Standards wie OpenStack sowie eigenen Technologien für Kühlung und Energieeffizienz. OVHcloud betreibt mehrere Dutzend Rechenzentren weltweit.
Scaleway
Scaleway richtet sich stark an Entwicklerteams und bietet einen pragmatischen Einstieg in Cloud-Infrastrukturen ohne unmittelbare Bindung an US-Hyperscaler-Ökosysteme. Das Portfolio umfasst unter anderem ARM-basierte Instanzen, Serverless-Angebote und Managed Kubernetes. Die Services werden aus europäischen Regionen wie Paris, Amsterdam und Warschau bereitgestellt.
evroc
evroc ist ein vergleichsweise neuer europäischer Cloud-Anbieter mit Fokus auf Nachhaltigkeit und digitale Souveränität. Seit 2025 sind erste Cloud- und AI-Services verfügbar. Aufgrund des frühen Entwicklungsstadiums sollten Leistungsumfang, verfügbare Regionen und Service-Level je nach Anwendungsfall im Detail geprüft werden.
7) Fazit: Haltung + Flexibilität schließen sich nicht aus
Für uns heißt das: Wir wollen nicht dogmatisch sein. Wir wollen saubere Architekturentscheidungen treffen:
- Was muss wirklich Hyperscaler sein?
- Was kann europäisch, souverän und trotzdem wirtschaftlich laufen?
- Wie vermeiden wir Lock-in – technisch und vertraglich?
Wer heute Infrastruktur plant, sollte Optionen kennen. Wir beschäftigen uns bewusst mit dem Markt, behalten unsere Haltung zu Souveränität im Blick – und bleiben dort flexibel, wo es sinnvoll ist.
Quellen & Weiterführendes
- Gaia-X: Aktueller Stand und Perspektiven
- T Cloud Public: Europäische Hyperscaler-Alternative
- STACKIT: Souveräne Cloud für Unternehmen
- OVHcloud: Europäische Infrastruktur
- Scaleway: Entwicklerfokus & Nachhaltigkeit
- Grüne Rechenzentren: EU-Strategie
- Partnerschaft BWI/Google: „eigene Cloud“ (Air-Gapped/abgetrennte Cloud im Verteidigungsumfeld)
- Schwarz Digits Datacenter Lübbenau (11‑Mrd.-Investition)
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Die 5 Gründe, auf die Hannover Messe zu gehen
Damit ihr wisst, was euch dort erwartet, haben wir hier unseren persönlichen Blick auf die Messe zusammengefasst – basierend auf unseren Erfahrungen der letzten Jahre.
Grund 1:
Zukunft erleben
Wer auf der Hannover Messe unterwegs ist, erlebt ein außergewöhnlich breites Spektrum: von klassischer Industrie über Automatisierung bis hin zu neuen, teils sehr futuristischen Technologien.
Man bekommt ein gutes Gefühl dafür, was heute bereits möglich ist – und welche Entwicklungen in den kommenden Jahren relevant werden können.
Grund 2:
Networking und Überblick
Ich selbst bin seit über 15 Jahren in diesem Umfeld tätig und bin trotzdem jedes Jahr aufs Neue überrascht, welche Unternehmen dort vertreten sind und wie international die Messe aufgestellt ist.
Die Hannover Messe bringt Unternehmen, Expert:innen und Entscheider:innen aus zahlreichen Ländern zusammen und bietet damit einen einzigartigen Überblick über Märkte, Lösungen und Trends.
Grund 3:
Echter Know-how-Austausch
Neben klassischen Sales-Pitches trifft man auf der Hannover Messe immer wieder Menschen, die ihre Industrie wirklich tief verstehen.
Dieser fachliche Austausch auf Augenhöhe – oft spontan und ungeplant – ist einer der größten Mehrwerte der Messe und macht sie weit mehr als nur zu einer Produktausstellung.
Grund 4:
Innovationen verstehen
Wie in jedem Markt gilt auch hier: Nicht jeder Trend wird sich durchsetzen.
Auf der Hannover Messe kann man sich selbst ein Bild davon machen, welche Technologien Substanz haben, was möglicherweise nur ein kurzfristiger Hype ist und welche Nischen zwar klein, aber dennoch strategisch spannend sein können.
Grund 5:
Optimismus spüren
Die wirtschaftlichen und gesellschaftlichen Herausforderungen sind groß – das ist kein Geheimnis.
Und natürlich ist auch auf der Hannover Messe nicht alles eitel Sonnenschein. Aber die Vielzahl an innovativen Ideen, engagierten Unternehmen und kreativen Lösungsansätzen sorgt bei mir jedes Jahr dafür, die Messe optimistischer zu verlassen, als ich sie betreten habe.
Und was macht jetzt die punkt.de dort?
Seit über 30 Jahren digitalisieren wir den deutschen Mittelstand – konsequent Open Source, datensensibel und mit echter Datensouveränität. Dieses Jahr sind wir nicht nur als Besucher:innen auf der Hannover Messe, sondern erstmals auch aktiv vor Ort vertreten.
Als Teil des Gemeinschaftsstands Baden-Württemberg (THE LÄND) – der offiziellen Standortinitiative des Landes – sind wir auf der Messe präsent. Wir freuen uns darauf, mit vielen Unternehmen aus dem deutschen Mittelstand ins Gespräch zu kommen und gemeinsam an einem unabhängigen, digitalen Wirtschaftsstandort Deutschland zu arbeiten.
Wenn ihr noch Tickets für die Hannover Messe benötigt, meldet euch gerne bei uns.
Die punkt.de ist vom 20. bis 24. April auf der Hannovermesse.
Gemeinschaftsstand „THE LÄND“, Halle 14, Stand: J40
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Digital Consultant
Telefon: +49 (721) 91090
E-Mail: info@punkt.de
CI/CD als Kultur – wie wir durch automatisierte Qualität skalieren
Gerade weil CI/CD kein Trendthema mehr ist, halten wir es für umso wichtiger, darüber zu sprechen, wie man es im Projektalltag wirklich lebt. Technologien ändern sich, Anforderungen an Betrieb und Sicherheit steigen, Systeme werden komplexer. CI/CD ist deshalb kein einmal gelöstes Problem, sondern ein kontinuierlicher Prozess, der gepflegt, weiterentwickelt und immer wieder hinterfragt werden muss.
CI/CD als Kultur, nicht als Setup
Für uns ist CI/CD kein Toolset und kein Architektur-Baustein, den man am Projektanfang definiert und dann abhakt. CI/CD ist eine Grundentscheidung darüber, wie Software gebaut, ausgeliefert und betrieben wird. Es geht nicht darum, dass es eine Pipeline gibt, sondern darum, welche Verantwortung diese Pipeline übernimmt.
Wenn CI/CD richtig gelebt wird, sorgt es dafür, dass Qualität nicht von einzelnen Personen abhängt, sondern systemisch abgesichert ist. Automatisierung ist dabei kein Komfortgewinn, sondern die Grundlage für Verlässlichkeit.
Automatisierte Qualität als Voraussetzung für Skalierung
Qualität entsteht für uns nicht durch manuelle Abnahmen oder einzelne Quality Gates am Ende eines Prozesses. Qualität entsteht durch konsequente Automatisierung entlang des gesamten CI/CD-Flows. Automatisierte Qualität bedeutet, dass jede Änderung überprüfbar, reproduzierbar und bewertbar ist – ohne Sonderwege.
Wenn ein Change nicht automatisiert gebaut, getestet und ausgeliefert werden kann, ist er nicht fertig. Diese Konsequenz ist unbequem, besonders in frühen Projektphasen. Sie ist aber entscheidend, um Qualität mit wachsender Codebasis, mehr Beteiligten und höherem Änderungsdruck überhaupt skalieren zu können.
CI/CD erzeugt Geschwindigkeit – wenn Qualität automatisiert ist
CI/CD wird oft mit Geschwindigkeit gleichgesetzt. Für uns ist Geschwindigkeit ein Ergebnis, kein Ziel. Sie entsteht dann, wenn automatisierte Qualität Vertrauen schafft. Vertrauen darin, dass Änderungen klein bleiben, dass Fehler früh sichtbar werden und dass Deployments keine Überraschungen enthalten.
Wenn ein Deployment Angst macht, ist das kein Teamproblem, sondern ein CI/CD-Problem. In solchen Fällen fehlt fast immer automatisierte Qualität – sei es in Tests, in der Infrastruktur oder im Monitoring.
CI/CD endet nicht bei der Pipeline
CI/CD funktioniert nur dann nachhaltig, wenn Infrastruktur Teil des Systems ist. Deployment-Logik, Laufzeitumgebung, Observability sowie Backup- und Recovery-Strategien sind integraler Bestandteil automatisierter Qualität. Eine Anwendung, die zwar getestet ist, deren Betrieb aber nicht automatisiert und beobachtbar ist, bleibt ein Risiko.
CI/CD ist deshalb immer auch ein Infrastruktur- und Betriebsthema. Und weil sich Technologien, Plattformen und Anforderungen ändern, muss auch CI/CD kontinuierlich weiterentwickelt werden.
Warum CI/CD ohne Konsequenz nicht funktioniert
Viele Teams haben CI/CD. Wenige Teams verlassen sich wirklich darauf. Der Unterschied liegt nicht im Tooling, sondern im Anspruch. Wird die CI/CD-Pipeline umgangen, wenn sie nervt? Gibt es manuelle Ausnahmen für „wichtige“ Releases? Oder ist automatisierte Qualität so fest verankert, dass Abkürzungen unnötig werden?
Unser Ziel ist immer Letzteres. CI/CD soll Verantwortung aus einzelnen Köpfen in Systeme überführen – nicht zusätzliche Abhängigkeiten schaffen.
CI/CD für technische Entscheider:innen
Für technische Entscheider:innen ist CI/CD vor allem ein Mittel zur Risikominimierung. Automatisierte Qualität sorgt dafür, dass Projekte nicht an einzelnen Personen hängen, dass Betrieb von Anfang an mitgedacht wird und dass Anwendungen auch nach dem Go-live stabil weiterentwickelt werden können.
CI/CD ist in diesem Kontext keine technische Spielerei, sondern eine Investition in Planbarkeit und Zukunftsfähigkeit.
CI/CD und automatisierte Qualität für bestehende Entwicklungsteams
Gleichzeitig richten wir uns an technische Anwendungsverantwortliche, die bereits Entwicklungsteams haben, aber Unterstützung beim Aufbau und Betrieb von CI/CD-Strukturen benötigen. Wir integrieren uns in bestehende Setups und schaffen CI/CD-Prozesse, die automatisierte Qualität und verlässlichen Betrieb ermöglichen – unabhängig davon, wo entwickelt wird.
Fazit
CI/CD ist kein Setup, kein Sprint-Ziel und keine Tool-Entscheidung. CI/CD ist eine kulturelle Entscheidung. Eine Entscheidung dafür, Qualität nicht zu verhandeln, sondern durch Automatisierung abzusichern. Automatisierte Qualität ist dabei der Schlüssel, um Softwareprojekte auch bei wachsender Komplexität beherrschbar zu halten.
Gerade weil CI/CD kein Hype mehr ist, bleibt es relevant. Wer kontinuierlich daran arbeitet, bleibt handlungsfähig. Wer stehen bleibt, merkt es meist erst, wenn es weh tut.
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Hannovermesse 2026 / THE LÄND – Wir sind dabei!
Wir freuen uns sehr, dieses Jahr Teil der Initiative „THE LÄND“ des Landes Baden-Württemberg zu sein und unser Bundesland im Ausstellungsbereich „Industrie-Software“ in Sachen Digitalisierung zu vertreten.
Wir bringen unsere Expertise aus den letzten 30 Jahren in den Bereichen Entwicklung und Hosting aus Karlsruhe nach Hannover, um vor Ort mit der produzierenden Industrie über sinnvolle Digitalisierung mit Open Source zu sprechen.
Wenn dich oder dein Unternehmen folgende Themen beschäftigen:
- Digitale Souveränität
- Anwendungsentwicklung mit Open Source
- Sicheres Hosting & Managed Services
- Digitalisierung mit Open Source
Dann kontaktiere uns oder komm uns besuchen am "THE LÄND" -Stand:
Gemeinschaftsstand "THE LÄND"
Halle 14
Stand: J40
In den kommenden Wochen werden wir weitere Informationen auf unserem Blog sowie auf unseren Social-Media-Kanälen bereitstellen!
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Unsere Open Source Learnings 2025
Open Source befindet sich 2025 in einem Zustand tiefgreifender Veränderung. Viele Selbstverständlichkeiten der vergangenen zwei Jahrzehnte – klare Lizenzmodelle, Community-getriebene Weiterentwicklung, ein schwarz-weißes Verständnis von „frei“ versus „proprietär“ – lösen sich auf oder werden neu definiert. Gleichzeitig steigt die Bedeutung digitaler Souveränität rapide an.
Unternehmen, Behörden und öffentliche Institutionen müssen sich damit auseinandersetzen, wo ihre Daten liegen, wie unabhängig ihre Technologieentscheidungen wirklich sind und welche Rolle Open Source dabei spielt. Genau an dieser Schnittstelle bewegen wir uns als punkt.de seit vielen Jahren. Und selten war die Dynamik so spürbar wie 2025.
Vom Klassentreffen zur strategischen Bühne:
TYPO3 im Aufwind
Wer seit vielen Jahren in der TYPO3-Community unterwegs ist, erinnert sich noch gut an die Zeit vor 2015–2020: Die T3CON war ein Klassentreffen. Familiär, fachlich tief, aber klein. 2025 ist das Bild ein anderes. Auf der Konferenz waren Akteure zu sehen, die noch vor wenigen Jahren keinerlei Berührungspunkte mit TYPO3 hatten. Karim Marucchi, CEO von Crowd Favorite, tief in der WordPress-Welt verankert, sprach über digitale Souveränität und Open-Source-Governance. Dass sich Persönlichkeiten aus ganz anderen Ökosystemen plötzlich ernsthaft für TYPO3 interessieren, zeigt: Unser CMS ist nicht mehr nur Werkzeug – sondern Infrastruktur.
Das ITZBund, Materna und andere große Player waren ebenfalls an allen Tagen präsent. Das ist ein qualitativer Sprung. TYPO3 wird strategisch gedacht. Nicht als Alternative, sondern als Grundlage. Der Government Site Builder (GSB) setzt in seiner neuen Version auf TYPO3. Die Relevanz von Open Source „made in Germany“ wächst – und wir sind Teil eines Ökosystems, das 2025 erwachsener ist als je zuvor.
Der Government Site Builder 11 wird vom ITZBund offiziell als Standardlösung des Bundes geführt und basiert ab Version 11 auf dem Open-Source-CMS TYPO3 – ein klares Bekenntnis der Bundesverwaltung zu offener Infrastruktur.
Wer das vertiefen möchte, findet im TYPO3-Umfeld und in unserer Zusammenarbeit mit anderen Agenturen rund um GSB und öffentliche Projekte weitere Einblicke, z. B. im Beitrag „1_Forge: Drei Agenturen, ein Schulterschluss – für starke TYPO3-Projekte auf Augenhöhe“.
Automatisierung wird souverän: Unser Weg mit n8n und CIB seven
2025 war für uns ein Jahr der konsequenten Automatisierung – allerdings mit einem klaren Anspruch: Wir automatisieren nur dort, wo wir die Datenhoheit behalten können. Damit unterscheiden wir uns bewusst vom aktuellen Trend, überall Make, Zapier oder andere SaaS-Integratoren einzusetzen. Nicht weil diese Tools schlecht wären – sie sind im Gegenteil oft großartig. Aber sie erfordern, dass Unternehmensprozesse, Zugangsdaten und interne Datensysteme in einer fremden Cloud liegen.
Als Kunden zunehmend Make nutzten, standen wir vor der Frage: Wie können wir dieselbe Flexibilität bieten, ohne Souveränität einzubüßen? Die Antwort war für uns eine Kombination aus Werkzeugen: n8n als zentrale Automatisierungsplattform und CIB seven als Möglichkeit, komplexere Prozesse auf einer souveränen Workflow-Engine abzubilden. Beide Tools hosten wir selbst – und das verändert das Spiel.
Ein Beispiel: Unsere Pressearbeit läuft inzwischen weitgehend automatisiert. Einmal pro Woche wird aus unseren internen Quellen ein aktueller Artikelbestand an Dienste wie die PresseBox übermittelt – fehlerfrei, nachvollziehbar und komplett auf unseren Servern verarbeitet. Klein, aber symbolträchtig: Wir sparen Zeit, gewinnen Qualität und behalten alle Daten im eigenen Haus.
Diese Haltung – Automatisierung ja, aber nur mit Datenhoheit – haben wir in unserem Blog einmal so zusammengefasst: „Automatisierung funktioniert nur dann nachhaltig, wenn die Hoheit über die Daten beim Unternehmen bleibt.“
Dabei mussten wir unser eigenes Verständnis von Open Source erweitern. Denn n8n ist eben nicht „klassisch Open Source“. Die Sustainable Use License beschränkt bestimmte Nutzungsarten – insbesondere das Betreiben als kommerziellen SaaS-Dienst. Anfangs war ich skeptisch. Open Source ist für mich mehr als ein Lizenztext. Doch das Modell von n8n hat mich überzeugt: Es schützt vor Ausbeutung durch Cloud-Giganten, lässt aber alle Freiheitsgrade, die man für echte Souveränität braucht. Dieses hybride Denken ist ein wichtiger Baustein für die Zukunft – und ein persönliches Learning von 2025.
Jan Oberhauser, der Gründer von n8n, bringt es im Kontext der Fair-Code-Bewegung so auf den Punkt: Man müsse Modelle finden, „in denen alle gewinnen – Nutzer, Community und Unternehmen“. Die Sustainable Use License ist genau so ein Versuch: Der Quellcode bleibt einsehbar und erweiterbar, aber die rein kommerzielle Weitervermarktung ohne Rückfluss an das Projekt wird begrenzt.
Bewegung in den Communities: WordPress, Akeneo, Pimcore
Kaum ein Jahr hat so deutlich gezeigt, wie fragil Open-Source-Governance sein kann. Der Konflikt zwischen Matt Mullenweg (Automattic) und WP Engine hat viele Kunden zutiefst verunsichert. Der endgültige Bruch eskalierte Ende 2024, doch die Auswirkungen rollten 2025 durch den Markt: die Drohung, Markenrechte zu entziehen, das zeitweise Entfernen von WP-Engine-Kunden aus Update-Kanälen, der öffentliche Schlagabtausch. Egal wie man die Details bewertet – ein solches Machtgefälle wäre in vielen anderen Open-Source-Projekten schlicht nicht möglich. TYPO3 & Co. haben hier einen klaren Vorteil: Governance ist verteilt. Kein einzelner Akteur kann komplette Nutzergruppen aussperren.
Doch WordPress ist nur ein Beispiel. Akeneo hat seine Community Edition de facto eingefroren und konzentriert sich zunehmend auf sein SaaS- und Enterprise-Modell. In der Praxis bedeutet das: Neue Features landen zuerst (oder ausschließlich) in den gehosteten Varianten und in der Enterprise-Edition, während die Community Edition in weiten Teilen im Wartungsmodus verharrt und der Fokus klar auf den „Serenity“-SaaS-Ansatz wandert.
Pimcore hat in diesem Jahr auf die eigene POCL-Lizenz umgestellt – ein Move, der für viele nach einem Abschied von echtem Open Source klingt, aber gleichzeitig die rechtlichen Risiken klassischer Copyleft-Lizenzen minimieren soll. Ab Version 2025.1 steht die Community Edition nicht mehr unter GPLv3, sondern unter der Pimcore Open Core License (POCL), die zwar vollständige Quellcode-Einsicht und Anpassbarkeit verspricht, aber klar zwischen Community-Nutzung und kommerzieller Nutzung unterscheidet.
Und jetzt kommt der unbequeme Teil:
Es wäre zu einfach, diese Projekte zu kritisieren. Fakt ist: Die Anforderungen an moderne digitale Produkte sind enorm gestiegen. Architektur, Security, Skalierbarkeit, Compliance – das alles kostet Geld. Und ehrlicherweise: Die Open-Source-Community trägt nur selten ausreichend dazu bei, dass große Projekte finanziell solide weiterentwickelt werden können.
Wer jetzt protestiert, sollte sich fragen, ob er in den letzten Jahren genügend beigetragen hat, um Kommerzialisierung zu verhindern. Ich selbst schaue mit Stolz auf TYPO3 und die Gründung der TYPO3 GmbH im Jahr 2016. Das war Weitblick. Es war die Antwort der Community auf die Frage:
Wie sichern wir die Zukunft unseres Projekts, ohne uns zu verkaufen?
Diese Governance-Strukturen tragen heute – und andere Systeme werden nachziehen müssen.
Für 2026 wünsche ich mir klare Preisstrukturen und transparente Onboarding-Modelle. Wir verstehen, dass Systeme Kosten verursachen müssen, aber die Willkommenskultur der „alten Open-Source“-Welt muss erhalten bleiben. In diesem Jahr haben wir versucht, mit einigen langjährigen Open-Source-Systemen, wie Sylius, Elastic und n8n, in die Enterprise-Welt einzusteigen.
Es war ein absoluter Tarif-Dschungel. Nach fünf Telefonaten, Gesprächen und Unterlagen hatten wir immer noch keinen Preis und kein Gefühl der Willkommenskultur – nur Unsicherheit.
Gerade Agenturen brauchen die Möglichkeit, neue Tools auszuprobieren, ohne sofort im Enterprise-Lock-in zu landen. Andernfalls wird Europa diese Tools nicht breit adaptieren.
Ein Beispiel, dass es auch anders geht, sieht man im TYPO3-Ökosystem: Durch die Mischung aus Association, GmbH und einem breiten Agentur-Netzwerk ist klar, wer wofür bezahlt – und trotzdem bleibt der Kern des Systems offen und Community-getrieben.
Europa reguliert – und das ist gut so
Regulierung ist in der Tech-Branche ein Reizwort. Viele Unternehmen sehen in NIS2, CRA, dem Barrierefreiheitsgesetz oder DSGVO-Nachschärfungen vor allem Aufwand. Wir erleben das täglich: Die ersten Reaktionen auf EU-Gesetze klingen oft nach Überforderung oder „Brüssel-Bürokratismus“. Doch je tiefer ich mich professionell mit diesen Themen beschäftige, desto klarer sehe ich: Europa hat hier einen strategischen Vorteil, den wir viel selbstbewusster kommunizieren sollten.
Ich habe in diesem Jahr einige Gespräche mit amerikanischen Expert:innen geführt. Das Bild ist eindeutig: Die USA beneiden uns um die europäische Regulierung. Nicht weil sie bequem wäre – sondern weil sie Schutz, Klarheit und Souveränität schafft. Während in den USA Datenhandel, Profiling und Plattformmacht weitgehend unreguliert sind, bietet Europa verlässliche Leitplanken, die Vertrauen schaffen.
NIS2 zwingt Unternehmen, sich ernsthaft mit ihrer eigenen IT-Sicherheit auseinanderzusetzen. Die Richtlinie schafft einen einheitlichen Rahmen für Cybersecurity in zahlreichen kritischen Sektoren und erweitert den Geltungsbereich deutlich – auch auf viele mittelständische Unternehmen. Der Cyber Resilience Act sorgt dafür, dass Software – egal ob Open Source oder proprietär – endlich Mindeststandards erfüllen muss, etwa Security-by-Design, regelmäßige Updates und klare Verantwortlichkeiten. Der Accessibility Act hebt Barrierefreiheit aus dem „Nice-to-have“ in den Status eines Qualitätsmerkmals. Und über allem steht das europäische Selbstverständnis, digitale Souveränität als Standortfaktor zu begreifen.
Viele betrachten das als Belastung. Ich sehe es als Chance.
Auch, weil wir uns als punkt.de auf den Weg gemacht haben, selbst die ISO 27001 zu erfüllen. Nicht, weil ein Kunde es verlangt hätte, sondern weil wir zeigen wollen: Wir meinen Sicherheit und Souveränität ernst. Für uns ist das Regulierungsthema kein Klotz am Bein – es ist ein Zukunftstreiber.
Wer sich tiefer einlesen möchte, findet in unserem Blog regelmäßig Einordnungen zu Regulierung, Souveränität und Praxisbeispielen – vom Mittelstand bis zur öffentlichen Hand.
Eine ausführlichere Einordnung, warum wir digitale Souveränität nicht als Verzicht, sondern als bewusste Entscheidung verstehen, habe ich in unserem Blogartikel „Digitale Souveränität: bewusste Entscheidungen statt Dogma“ festgehalten.
Mein Ausblick: 2026 wird ein Jahr der Klarheit
2025 war ein Jahr des Wandels. 2026 wird ein Jahr der Klarheit. Wir werden im nächsten Jahr deutlich klarer sehen, welche Open-Source-Projekte ihre Governance im Griff haben – und welche nicht. Wir werden sehen, welche Lizenzmodelle funktionieren und welche die Community entfremden. Wir werden erkennen, welche EU-Regulierungen echte Innovation auslösen – und wo nachjustiert werden muss.
Ich persönlich freue mich darauf, diese Diskussionen aktiv mitzugestalten. Open Source bedeutet für mich: Optionen behalten. Verantwortung übernehmen. Und souverän bleiben – technisch, strategisch und rechtlich.
Als punkt.de werden wir auch 2026 unseren Weg konsequent gehen:
Open Source als Default.
Europäische Technologie als Fundament.
Souveränität als Haltung.
Es ist ein guter Zeitpunkt, über Technologie neu nachzudenken. Und es ist ein großartiger Zeitpunkt, Verantwortung zu übernehmen.
Autor: Fabian Stein
Fabian beschäftigt sich mit der Digitalisierung in Deutschland und der Entwicklung des Open Source Marktes als CEO von punkt.de
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Matomo statt Google – Tracking gehört Ihnen
Viele Unternehmen stehen derzeit vor der Frage, wie sie ihr Web-Tracking und ihre Analyse datenschutzkonform und zukunftssicher gestalten können. Google Analytics – insbesondere die aktuelle Version GA4 – ist zwar weit verbreitet, bewegt sich aber weiterhin in einer juristischen und technischen Unsicherheitszone. Mehrere Datenschutzbehörden in Europa haben bestätigt, dass GA4 in seiner Standardkonfiguration nicht DSGVO-konform betrieben werden kann. Das schafft Risiken, die langfristig schwer kalkulierbar sind.
Gleichzeitig wünschen sich Teams ein Tracking-System, das professionelle Analyse-Funktionen bietet und dennoch die volle Kontrolle über die eigenen Daten ermöglicht. Genau hier setzt Matomo an. Die Open-Source-Plattform wird weltweit eingesetzt, ist technisch ausgereift und erlaubt Unternehmen, Webanalyse unter eigener Kontrolle zu betreiben – ohne Abhängigkeit von US-Anbietern.
Datenschutz und Datensouveränität als klare Vorteile
Der grundlegende Unterschied zwischen Matomo und GA4 liegt weniger in der Oberfläche als im Umgang mit Daten. Während die Datenströme von Google Analytics automatisch in ein US-basiertes Ökosystem fließen, lässt sich Matomo so betreiben, dass Datensouveränität vollständig gewährleistet ist:
- Daten können auf eigenen Servern gespeichert werden
- Hosting in deutschen oder europäischen Rechenzentren ist problemlos möglich
- Es findet kein Transfer personenbezogener Daten an Dritte statt
- Der Zugriff ist vollständig kontrollierbar
Diese Form der Datensouveränität wird für Unternehmen immer wichtiger – nicht nur aus juristischen Gründen, sondern auch für die interne Risikoabwägung. Matomo unterstützt diesen Ansatz durch integrierte Datenschutzfunktionen wie IP-Anonymisierung, „Do Not Track“-Unterstützung oder Datenlöschung auf Anfrage. Unter bestimmten Bedingungen ist Matomo sogar ohne Einwilligungsbanner nutzbar, weil das Tracking ohne Cookies möglich ist.
Damit wird Matomo zu einer Analyse-Plattform, die Datenschutz nicht als Einschränkung, sondern als Grundprinzip versteht.
Warum Matomo auch fachlich überzeugt
Die Entscheidung für eine Analyse-Plattform sollte nicht nur rechtliche Aspekte berücksichtigen, sondern auch die Qualität des eigenen Trackings. Hier zeigt sich, dass Matomo in einigen Punkten strukturelle Vorteile gegenüber GA4 hat.
Anders als Google Analytics arbeitet Matomo ohne Sampling. Die Analyse basiert immer auf vollständigen Daten – unabhängig vom Traffic-Volumen. Das erleichtert sowohl strategische Auswertungen als auch detaillierte Fragestellungen, etwa bei Conversion-Optimierung oder Kampagnenanalysen.
Hinzu kommt die Offenheit des Systems: In Matomo stehen – insbesondere bei Self-Hosting – die Rohdaten zur Verfügung. Unternehmen können eigene Auswertungen fahren oder Daten mit BI-Tools verbinden. Ein weiterer Vorteil liegt darin, dass Matomo neue Ziele oder Segmente nicht nur für die Zukunft berechnen kann, sondern auch rückwirkend. Bei GA4 dagegen verhindert die begrenzte Datenspeicherung oft, dass historische Auswertungen vollständig möglich sind.
Auch wenn die Oberfläche von Matomo weniger verspielt wirkt als die von GA4, erfüllt sie die Erwartungen moderner Tracking-Prozesse. Matomo bietet E-Commerce-Tracking, Event-Tracking, Kampagnenanalyse, Funnel-Berichte und erweiterte Funktionen wie Heatmaps oder A/B-Tests.
Für viele Anwendungsfälle ist Matomo damit nicht nur eine datenschutzfreundliche Alternative, sondern auch eine funktional stabile und nachvollziehbare Analyse-Plattform.
Unabhängigkeit und Planungssicherheit
Ein Punkt, der bei der Wahl eines Tracking-Systems oft unterschätzt wird, ist die langfristige Planbarkeit. GA4 hat gezeigt, wie abrupt Google grundlegende Änderungen vornehmen kann – sei es technisch, strukturell oder im Hinblick auf Datenhaltungsfristen. Die Abschaltung von Universal Analytics hat viele Unternehmen gezwungen, Daten zu migrieren oder sogar ganz aufzugeben.
Matomo entwickelt sich in einem anderen Rhythmus: transparent, nachvollziehbar und ohne externe Abhängigkeiten. Für Unternehmen bedeutet das langfristige Stabilität. Auch Migrationen – etwa von Piwik PRO oder Google Analytics – sind möglich und verlieren durch Matomos offene Struktur ihren Schrecken.
Vor allem Organisationen, die Tracking im Kontext von Compliance, Governance oder IT-Sicherheit betrachten, schätzen diese Form der Datensouveränität.
Fazit: Matomo schafft eine Balance aus Datenschutz, Kontrolle und professioneller Analyse
Für Unternehmen, die Wert auf rechtssicheres Tracking und gleichzeitig auf qualitativ hochwertige Analyse legen, ist Matomo heute oft die bessere Wahl. Die Plattform kombiniert:
- Datensouveränität durch volle Kontrolle über Speicherorte und Datenzugriff
- Datenschutz durch integrierte Schutzmechanismen
- Professionelle Tracking-Funktionen, die den Vergleich mit GA4 nicht scheuen müssen
- Transparenz und Offenheit, die langfristige Planung erleichtern
Matomo ist vielleicht nicht in jeder Nutzerinteraktion so poliert wie GA4 – dafür ist es klar strukturiert, nachvollziehbar und bietet Unternehmen die Freiheit, ihre Webanalyse selbstbestimmt zu gestalten.
Wer Web-Tracking nachhaltig, rechtssicher und zukunftsfähig betreiben möchte, kommt an Matomo kaum vorbei.
Die punkt.de GmbH ist eine Open-Source Software Agentur. Was uns auszeichnet sind mehr als 25 Jahre Erfahrung und der Anspruch unsere Kunden nachhaltig weiterzubringen. Erfrischend direkt, ehrlich und bodenständig.
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Arbeiten bei der punkt.de – Einstieg und die ersten Monate
Das war auch ideales Timing, denn am nächsten Tag ging es schon zusammen mit meinem ganzen Team zu den Teamtagen nach Bad Dürkheim. Die Teamtage finden jedes Jahr statt und sind eine Art KickOff bzw. Teamevent. Es war echt perfektes Timing für meinen Arbeitsbeginn, ich kann mir wenig bessere Startbedingungen vorstellen, als sein Team über mehrere Tage bei vielen interessanten Workshops und natürlich auch viel gemeinsamer Freizeit, kennenzulernen.
Ankommen und direkt mitten drin
In meiner ersten „richtigen“ Arbeitswoche nach dem Onboarding und den Teamtagen habe ich mich zuerst ein paar Tage lang mit dem Lernen und Einarbeiten in die aktuellen Projekte beschäftigt. Neben meinem „Lernticket“ hatte ich aber gleichzeitig auch schon in der Woche mein erstes „richtiges“ Ticket und konnte so von Anfang an in realen Projekten mitarbeiten. Neben meinem eigentlich Frontend Schwerpunkt habe ich auch einige andere Bereiche kennenlernen dürfen, wie zum Beispiel den Sylius Webshop und TYPO3.
Apropos TYPO3, ein besonderes Erlebnis waren die TYPO3 Developer Days. Da die punkt.de jedes Jahr als Sponsor dabei ist und auch bei der Organisation mithilft, war ein großer Teil unserer Mitarbeiter mit auf der Konferenz. Neben mehreren spannenden Vorträgen meiner Kollegen haben die meisten von uns als Helping Hands mitgeholfen. Es war interessant zu sehen, mit wie viel Engagement die Community dieses Event zusammen auf die Beine gestellt hat.
Am Tag vor den Developer Days fand der Just Do It Day statt. An diesem Tag, der zweimal im Jahr organisiert wird, trifft sich die gesamte Firma im Karlsruher Büro und es werden unterschiedliche, von den Mitarbeitern selbst vorgeschlagene Themen und Projekte angegangen. Dabei kann jeder mitmachen, wo man Lust hat. Mittags wurde zusammen Pizza bestellt und am Ende des Tages haben alle ihre Projekte und Ergebnisse vorgestellt. Es war auf jeden Fall ein sehr spannender Tag.
Ein Einstieg voller Abwechslung: Arbeit, Konferenz und JustDoIt-Day
Insgesamt ist die Arbeit bei der punkt.de ein idealer Mix aus interessant, abwechslungsreich, herausfordernd und von einem guten Miteinander geprägt. Man hat viel mit seinen Kollegen zu tun, die Atmosphäre im Team ist sehr gut und bei Fragen findet sich immer schnell jemand, der einem hilft. Im ersten halben Jahr hat man auch monatlich Mentorengespräche, welche Raum bieten für Feedback und persönliche Fragen in vertraulicher Atmosphäre. Hybrides Arbeiten macht es möglich, konzentriert von zu Hause aus arbeiten zu können und trotzdem regelmäßig sein Team vor Ort zu sehen.
Fazit: Vielfalt, Atmosphäre und und ein gelungener Start
So weit mein Eindruck nach den ersten Monaten bei der punkt.de: Die Arbeit ist abwechslungsreich und die Atmosphäre stimmt, was mir den Einstieg auf jeden Fall erleichtert hat. Ich bin froh, hier gelandet zu sein, freue mich auf die kommenden Monate und bin gespannt, welche neuen Herausforderungen auf mich warten.
Die punkt.de GmbH ist eine Open-Source Software Agentur. Was uns auszeichnet sind mehr als 25 Jahre Erfahrung und der Anspruch unsere Kunden nachhaltig weiterzubringen. Erfrischend direkt, ehrlich und bodenständig.
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Duales Studium bei punkt.de
Erste Schritte und Erfahrungen
Schon in der ersten Praxisphase konnte ich spannende Einblicke in die Praxis gewinnen. Zunächst durfte ich ein kleines TYPO3-Projekt umsetzen, um das System kennenzulernen und anwenden zu können. Dann durfte ich direkt an Kundenprojekten mitarbeiten und sammelte meine ersten Erfahrungen im Testing der Web-Anwendung. In meinem ersten Jahr bei der Firma beschäftigte ich mich im Rahmen meiner Projektarbeit mit einer Lösung der Bereitstellung von Daten für Tests bei einer Web-Anwendung. Das Beste daran war, dass ich direkt meine erste praktische Erfahrung im Backend-Entwicklung sammeln konnte, das war spannend, es zu verstehen und beschreiben zu können, und am Ende wird diese Lösung aktiv bis jetzt beim Testing angewendet.
Im zweitem Studienjahr wollte ich meinen Fokus auf Frontend-Entwicklung ausrichten, aber dabei Backend aus den Augen nicht verlieren. Ich arbeitete an der Mehrsprachigkeit in TYPO3 sowie an kleineren Frontend- und Backend-Tickets. Besonders prägend war meine zweite Projektarbeit über die Implementierung von Storybook in ein Kundeprojekt, die unsere Frontend-Entwicklung im Unternehmen nachhaltig optimiert und die Zusammenarbeit mit unserer Partneragentur made in erleichtert. Auch dieses Projekt ist aktuell in unsere Teamarbeit integriert, was sehr cool ist, ein Gefühl zu haben, was Nützliches gemacht zu haben, was aktiv verwendet wird und nicht einfach liegen bleibt.
Theorie liefert die Ideen, Praxis bringt sie zum Laufen.
Das Besondere an dualem Studium ist für mich, wie praktische und theoretische Phasen einander gegenseitig ergänzen. In den Theoriephasen an der DHBW Mosbach bekomme ich ständig neue Impulse und vertiefe mein theoretisches Wissen, sei es aus den Bereichen Projektmanagement, Entwicklung oder Internet-Psychologie, die ich direkt bei punkt.de einbringen kann. Gleichzeitig helfen mir die praktischen Erfahrungen aus den Projekten im Unternehmen, die Inhalte aus dem Studium besser zu verstehen und einzuordnen. Es ist mir auch immer wichtig, dass die Projektarbeiten, die ich beim Unternehmen schreibe, aktiv im Team und Unternehmen verwendet werden und die Forschung dabei an den Themen einen Mehrwert bietet.
Studium und Arbeitsumfeld
Der Studiengang Onlinemedien an der DHBW Mosbach bietet mir immer mal wieder spannende Einblicke in viele verschiedene Themen rund um Online-Medien, Design und Software-Entwicklung. Besonders gefällt mir daran, dass wir viele Gruppenarbeiten haben, wobei wir Zusammenarbeit im Team üben können und viele praxisnahe Aufgaben und Projekte erledigen sollen, die man auch in eigene Portfolios einfügen kann.
Auch das Arbeitsumfeld finde ich persönlich sehr cool. Als ich angefangen habe, bei punkt.de zu arbeiten, habe ich mich sofort angenommen gefühlt und dieses Gefühl bleibt erhalten. Ich wurde sehr schnell in Kundenprojekte integriert und durfte schon Verantwortung bei den Kundentickets übernehmen. Ich habe regelmäßige Feedbackgespräche, um meine Arbeit zu analysieren, neue Ziele ständig zu setzen, um mich weiterzuentwickeln. Die offene und freundliche Atmosphäre im Büro ist eine schöne Ergänzung zu den spannenden Aufgaben im Arbeitsalltag.
Fazit
Nach zwei Jahren ziehe ich ein sehr positives Zwischenfazit: Ich konnte viel lernen, spannende Projekte umsetzen und meine Arbeit findet aktiv im Unternehmen Anwendung. Wer Lust auf praxisnahes Lernen und echte Mitgestaltung hat, für den ist ein duales Studium definitiv eine spannende Option.
Autor:Anastasiia Zaieva
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Artikelserie Test: Codeception (FE/Acceptance, API, Monitoring)
In den ersten beiden Tests haben wir den Code geprüft und getestet. In diesem Teil wollen wir jetzt testen, welche Daten wirklich fließen und was Benutzer tatsächlich sehen.
Was Gurken mit Tests zu tun haben
Für alle folgenden Tests verwenden wir den gleichen Test-Code-Stack – wir verwenden Codeception als Testrunner und darin das Konzept von Behaviour Driven Testing, für welches die Sprache Gherkin (zu Deutsch Gurke) verwendet wird.
Wie man sehen kann, steht in dieser Syntax die Benutzerinteraktion im Vordergrund – es wird sehr selten mit CSS-Selektoren gerarbeitet, normalerweise wird ein Vorgang immer auf eine Art beschrieben, wie ein Benutzer die Anwendung verwenden würde.
Durch die eher einfach gehaltenen Schritte und den Fokus auf den tatsächlichen Inhalt der Website kann man sehr komplexe Abläufe abbilden – und wie bei den anderen Tests wird keine Logik versteckt. Man erkennt auch wieder AAA, wobei Act und Assert mehrmals in beliebiger Reihenfolge durchgeführt wird.
Acceptance für die Funktionen
Was wird dabei aber wirklich getestet? Im Beispiel-Code wird ein Acceptance-Test gezeigt. Dieser steuert einen Browser – wahlweise ein normaler Chrome-Browser mit allen Features oder ein Headless Chrome innerhalb eines Docker-Containers in der Entwicklungs- und CI-Umgebung – und klickt sich durch die fertige Anwendung.
Acceptance-Tests sind bei uns so definiert, dass vor dem Testlauf ein definierter, in git abgelegter Datenbankstand importiert wird, der pro Test optional ergänzt werden kann, und anschließend wird der Test durchgeführt. Am Ende jedes Tests wird die Datenbank wieder auf den definierten Stand zurückgesetzt. Dadurch kann man beliebige Vorgänge beliebig häufig testen – beispielsweise eine Benutzer-Anlage. Wenn der Datenstand nicht immer gleich wäre, könnte der Test nur einmal durchgeführt werden, da ein User mit einem Benutzernamen nur einmal angelegt werden darf, und hätte man einen zweiten Test um den User zu löschen müsste man diese Tests immer nacheinander ausführen, damit man keine Inkonsistenzen verursacht.
Diese Tests testen immer den kompletten Anwendungsstack – Webserver-Config, Backend- und Frontend-Code, CSS (beispielsweise display: none hat Auswirkungen auf Testaufrufe wie „I should see“), Datenbank und Inhalte, der Inhalt des Dateisystems – you name it, you test it. Dabei muss man natürlich beachten, dass Tests, welche immer die Website oder -App rendern und mehrmals Klicken und Formulare ausfüllen und absenden entsprechend lange laufen können, weswegen man diese Tests normalerweise nicht als Hauptsache, sondern als Ergänzung zu anderen, schnelleren Tests verwendet.
API-Testing in schneller
Unser größtes Projekt derzeit ist eine React-Anwendung mit einem TYPO3-Backend. Uns haben die Tests zu lange gedauert (selbst mit Parallelisierung und ähnlichem), vor allem wenn wir für verschiedene Berechtigungen und für nicht eingeloggte User die korrekte Daten-Sichtbarkeit prüfen wollten. Für diesen Zweck verwenden wir darum API-Tests, welche ebenfalls in Gherkin mit Codeception geschrieben werden, aber intern Guzzle verwenden.
Diese Tests haben leicht andere Steps (Beispiel: „Given that the API is logged in as ‚user’“), wodurch Codeception so gesteuert wird, dass eben Guzzle die Befehle ausführt, und wir testen dann direkt die API-URLs, die Requests und Responses mit JSON-Aufrufen und die Datenbank-Inhalte. Der Vorteil – während einfache Acceptance-Tests wie Login mit Prüfung auf den Inhalt der Startseite 4 Sekunden benötigen, benötigt die API-Only-Stage für einen ähnlichen Test ein paar Millisekunden.
Unser Ablauf besteht häufig darin, dass die API die verschiedenen Fälle und Daten prüft (ohne Login, verschiedene Berechtigungen, gültige Daten, ungültige Daten, Daten aus der Vergangenheit/von Heute/aus der Zukunft usw.) und die FullStack-Tests dann prüfen, dass die Anwendung sich in einem Erfolgsfall und in einem Fehlerfall korrekt verhält. Außerdem testen wir im FullStack auch FE-eigene Funktionen wie z.B. dass Formularfelder sich unterschiedlich verhalten, je nachdem, was ein User ausfüllt.
Wir wollen Fehler sehen, bevor sie für den Kunden relevant werden
Außerdem verwenden wir Codeception und Gherking für eine dritte Testing-Suite. Die FullStack- und API-Tests werden immer auf jeden Commit und den Main-git-Stand ausgeführt, wenn Änderungen passieren, aber damit immer nur für den Stand auf der Entwicklungs-Umgebung. Mit der dritten Suite testen wir Funktionen direkt auf dem Livesystem des Kunden.
Auch hier verwenden wir den Browser und User-ähnliche Schritte, wir achten aber darauf, dass wir innerhalb der Tests keine Daten verändern, und dass wir nicht auf veränderbare Daten prüfen – beispielsweise Testen wir beim Aufruf einer Aktivität (wie oben im Beispielcode) nicht auf ein genaues Datum oder einen genauen Vor- und Nachnamen, sondern wir testen darauf, dass ein beliebiges Datum und ein beliebiger Name angezeigt werden – diese Info reicht uns, um zu wissen, dass unser Live-System den Inhalt korrekt rendert.
Das Ziel dieser Tests besteht darin, dass wir nach Deployments oder nach nächtlichen Importern und ähnlichem wissen wollen, dass das Produktivsystem weiterhin funktioniert, und wenn nicht wollen wir die Info bekommen, bevor es Auswirkungen für tatsächliche Website-Benutzer gibt. In einem älteren Projekt gab es tatsächlich den Fall, dass wir durch Tests morgens gegen 8:00 Uhr wussten, dass es einen Fehler gibt – diesen konnten wir innerhalb von ein paar Minuten beheben, und als die Benutzer um 8:30 bis 9:00 Uhr angefangen haben, die Anwendung zu verwenden, konnten diese fehlerfrei arbeiten.
Verwendete Tools
Für die Übersetzung der Gherkin-Syntax in Codeception-Aufrufe gibt es im Codeception-Umfeld Methoden, die man selbst programmieren kann. Wir haben Standard-Steps, welche immer wieder verwendet werden, in diverse Composer-Pakete aufgeteilt und auf Github und Packagist veröffentlicht. Diese Repository befinden sich im Account/Vendor der punkt.de, inklusive einem kleinen Demo-Projekt, in welchem man die Verwendung nachlesen kann.
Abschluss
Dies war der letzte Teil unserer Test-Reihe. Damit können nun Anwendungen getestet werden – von der Codequalität bis zur korrekten Funktionsweise auf dem Livesystem.
Agiles Testing und Prozess-Know-how für Ihr Team:
Egal ob Agentur, Industrieunternehmen oder ein eigenständiges Entwicklerteam: Wenn Sie agile Testing-Prozesse etablieren oder weiterentwickeln wollen, unterstützen wir Sie mit unserem Know-how – sei es durch praxisorientierte Workshops oder durch direkte, projektbezogene Mitarbeit. Wir begleiten Sie von der Einführung agiler Testmethoden über die Optimierung bestehender Abläufe bis hin zur Entwicklung und Umsetzung individueller Testing-Strategien.
Sprechen Sie uns gerne an, um gemeinsam Ihre Qualitätssicherung und Entwicklungsprozesse auf ein neues Level zu heben!
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
Artikelserie Test: Unit, Functional, Coverage
Im ersten Teil der Serie ging es darum, dass geprüft wird, dass unser Code immer den selben Stil hat, sauber verwendet wird und Fremdlibraries aktuell sind. Nun wollen wir prüfen, dass der Code auch wirklich die Funktion erfüllt, die er soll.
Unit-Tests – klein aber fein
Der erste Schritt dazu sind Unit-Tests, welche wir insbesondere im Backend für den PHP-Code schreiben. Die Tests selbst werden mit dem Tool phpUnit umgesetzt.
Die Idee davon ist, dass Code schreibt, welcher von einer Klasse, welche man Testen möchte, einzelne Methoden aufruft und prüft, dass bei entsprechend befüllten Argumenten immer das korrekte Ergebnis ausgegeben wird.
Ein kleiner Beispieltest für einen einfachen Validator:
Für Unittests gibt es ein paar kleine Ideen:
- Man testet das „public Interface“ einer Klasse: Normalerweise will man nur die Methoden testen, die wirklich von außen aufgerufen werden, da diese im Endeffekt die Funktionalität widerspiegeln
- Dependencies – insbesondere Fremdcode – wird gemockt: Da man genau die eine Funktion testen möchte, und nicht einen großen Funktionen-Baum (mit Code, den man gar nicht unter Kontrolle hat), sagt man phpUnit „rufe nicht die Original-Dependency auf, sondern gib an der Stelle immer X zurück“
- AAA – Arrange, Act, Assert: Ein Test ist dann am einfachsten zu verstehen, wenn man zuerst alles vorbereitet (Arrange), dann alles ausführt (Act) und am Ende prüft, ob die Ergebnisse korrekt waren (Assert)
- Keine Logik in Tests: Die Logik, die man testet, ist innerhalb der getesteten Methoden. Wenn man zu viel Logik innerhalb eines Tests schreibt, dann braucht man einen Test für den Test, und damit hat man zu wenig Gewinn
Natürlich gibt es Ausnahmen zu diesen Ideen; Beispielsweise hatten wir im Team vor Jahren einen Test, der in einer Klasse genau eine protected Methode getestet hat, da diese das Kernstück der Klasse war und alle public Methoden nur diese protected aufgerufen hatten. Damit konnten wir uns Testaufwand sparen. Auch kann man zu viel Mocken und beispielsweise dafür sorgen, dass man nicht mehr echten Code testet, sondern nur noch die Mocks. Dies sind Fallstricke, die man immer wieder prüfen muss und die bei jedem Test wieder auf’s neue Relevant werden.
Mit Unit-Tests wissen wir nun, dass unsere Puzzelteile im Code korrekt funktionieren, nun müssen wir prüfen, dass diese auch korrekt zusammengesetzt werden.
Funktionale Tests – die Summe der kleinen Teile
In den Unit-Tests wird nur eine einzelne Codestelle aufgerufen. Wir wollen nun wissen, dass die Codestellen zusammen mit dem verwendten Backend-Framework (in unserem Fall TYPO3 Extbase) in der Anwendungslogik korrekt funktionieren. Zu diesem Zweck schreiben wir Funtional Tests nach der entsprechenden TYPO3-Doku.
Dadurch, dass wir die Tests innerhalb eines TYPO3-Contextes aufrufen, stellen wir sicher, dass das „Außenherum“ korrekt initialisiert ist. Anschließend können wir Tests schreiben, welche beispielsweise Zugriff auf eine (teilweise generierte) Datenbank haben – in unserem Fall testen wir beispielsweise einen Importer.
Wir bereiten eine CSV-Datei vor, rufen innerhalb des Tests die Import-Methode auf und können danach in der Datenbank verifizieren, dass die Zeilen genau den Stand haben, den wir erwarten – wieder sehen wir AAA (Arrange, Act, Assert). Importer sind hier nur ein Beispiel, man kann theoretisch auch Scheduler-Tasks, Controller-Actions, Middlewares und anderes aufrufen.
Wir wissen, was wir testen – aber was testen wir genau?
Ein Thema, welches bei uns im Team derzeit noch nicht dediziert umgesetzt wird, aber zukünftig eingeplant wird, ist das Erfassen der Code Coverage. Man kann in phpUnit konfigurieren, welche Quellcode-Dateien theoretisch Teil des Testumfeldes sind, und phpUnit erfasst dann für diese Dateien, welche Methoden, Codezeilen und ähnliches innerhalb der Tests wirklich aufgerufen werden.
Daraus kann man sich dann eine Liste erstellen, in der man sieht, ob man z.B. in einer komplexen Methode Pfade entwickelt hat, welche nicht getestet sind, oder ob es ungetestete Klassen gibt. Außerdem wird eine Statistik erstellt, welche prozentual angibt, wie hoch der Anteil des getesteten Codes wirklich ist.
Ausblick
Im ersten Artikel hatten wir auf die Qualität des Codes geschaut, in diesem Teil auf die Funktionen innerhalb der php-Klassen. Im nächsten Teil unserer Serie werden wir darauf schauen, wie wir Teile unserer eigentlichen Anwendung testen.
Agiles Testing und Prozess-Know-how für Ihr Team:
Egal ob Agentur, Industrieunternehmen oder ein eigenständiges Entwicklerteam: Wenn Sie agile Testing-Prozesse etablieren oder weiterentwickeln wollen, unterstützen wir Sie mit unserem Know-how – sei es durch praxisorientierte Workshops oder durch direkte, projektbezogene Mitarbeit. Wir begleiten Sie von der Einführung agiler Testmethoden über die Optimierung bestehender Abläufe bis hin zur Entwicklung und Umsetzung individueller Testing-Strategien. Sprechen Sie uns gerne an, um gemeinsam Ihre Qualitätssicherung und Entwicklungsprozesse auf ein neues Level zu heben!
punkt.de GmbH
Sophienstr. 187
76185 Karlsruhe
Telefon: +49 (721) 9109-0
Telefax: +49 (721) 9109-100
https://www.punkt.de
Geschäftsführer
Telefon: +49 (721) 9109-124
E-Mail: stein@punkt.de
