Warum ein Baukastensystem und keine eigene Website-Installation?

Gelegentlich werde ich gefragt, warum ich denn unbedingt ein System wie Squarespace benutze, wo doch „meine Daten dann nicht auf unserem eigenen Server liegen“.

Ich frage dann meistens nach: Wovor hast du genau Angst? Das frage ich, um zu unterscheiden, ob jemand ein Datenschutz-Thema hat (wo es also um die personenbezogenen Daten anderer Menschen geht – mehr dazu weiter unten), oder ob es jemandem um das selber Erarbeitete geht, also die eigenen Texte und Bilder auf der Seite.

Im zweiten Fall bekomme ich oft die Antwort: „Ich habe Angst, dass die Firma hopps geht und meine Seite dann nicht erreichbar ist.

Ich glaube, dass diese Angst oft aus einem Unternehmens-Umfeld kommt (und somit ein Problem von Theorie und Praxis ist): Du sprichst über deine Website-Pläne mit Menschen, die zum Beispiel in einem DAX-Unternehmen für die IT-Sicherheit zuständig sind. Und die übertragen natürlich ihre Erfahrungen mit Servern und Abhängigkeiten auf deine Situation, und empfehlen dir dann etwas, was in ihrer Welt komplett Sinn macht. 

So habe ich auch begonnen, denn ich wollte ja die sicherste und beste Lösung für meine Kundinnen.

Dann kamen aber über ein Jahrzehnt an praktischen Erfahrungen dazu – und diese Erfahrungen haben mir beigebracht, dass für Selbständige meist andere Themen wichtiger sind als ein DAX-Sicherheit-Standard. 

Die beiden Gefahren, die in der Realität der Website einer „normalen“ Selbständigen wirklich drohen, sind:

  1. Deine Seite wird gehackt.
  2. Deine Seite wird vernachlässigt.

Seiten werden oft gehackt, weil sie auf unsicheren Wordpress-Installationen oder auf komplizierten individuellen Lösungen aufgebaut und nicht fachgerecht aktualisiert werden. 

Seiten werden oft vernachlässigt, weil sie auf komplizierten individuellen Lösungen aufgesetzt werden, die ein Normalmensch nicht gut bedienen kann.

Da du vermutlich kein börsennotiertes Unternehmen bist, hast du vermutlich keine angestellte IT-Expertin, die sich laufend um Aktualität und Sicherheit deines Website-Systems kümmert. Aus dem gleichen Grund hast du vermutlich auch keine angestellte IT-Expertin, die laufend für dich dein Website-System bedient und Änderungen umsetzt.

Um diese beiden Gefahren zu umgehen, habe ich mich mit Squarespace für eine Kompromiss-Lösung entschieden, die zwar im klassischen IT-ler Sinn „weniger sicher“ ist, weil man sich abhängig von einer externen Firma macht – dafür macht man sich aber von einer Firma abhängig, die es seit 2004 gibt, einen Jahresumsatz von 300 Millionen Dollar macht, mehrere Millionen von Websites ohne Ausfälle betreut und mit 691 Mitarbeitern kontiniuerlich an der Sicherheit und leichteren Bedienbarkeit ihres Produktes arbeitet (siehe https://en.wikipedia.org/wiki/Squarespace).

Das klingt für mich inzwischen deutlich angenehmer als die Abhängigkeit von einer einzelnen Dienstleisterin (= ich früher), die sich parallel um zig Websites kümmern und sich außerdem laufend fortbilden muss, um technisch auf dem neuesten Stand zu bleiben.

Dazu ein paar genauere Erläuterungen: 

Wie ist das mit dem Hacken?

Schauen wir uns die vermeintlich sicherere Alternative genauer an: Meistens wird dann vorgeschlagen, individuell ein Website-System auf dem eigenen Server aufzusetzen. Klar, das geht im Prinzip, und so habe ich vor zehn Jahren auch begonnen mit dem Web-Design: Wir können eine Redaktionssystem-Software, zum Beispiel Wordpress, ModX oder Typo3, auf deinem (oder meinem) Server aufsetzen. 

Darin baue ich dir dann deine Website. Das dauert zwar deutlich länger als mit Squarespace oder Jimdo (also nichts mit am gleichen Abend noch online), aber sie liegt dafür komplett auf deinem Server – so weit, so gut.

Nur, was passiert jetzt? Eine solche individuelle Installation muss auch individuell betreut werden. Es tauchen bei Redaktionssystemen immer wieder Sicherheitslücken auf, die von den Entwicklern erkannt, bekannt gegeben und angepasst werden. Dann musst du ein Update aufspielen, beziehungsweise ich müsste das für dich machen. Diese Updates können, je nach System, monatlich auftauchen.

Das würde bedeuten, dass ich im Zweifel monatlich zwischen 100 und 200 Websites updaten müsste. Unterliefe mir dabei ein Flüchtigkeitsfehler, oder hätte ich mal eine Grippe, oder ein Burn-Out, oder würde ich beschließen, jetzt doch lieber Yoga-Lehrerin auf Bali zu werden, bliebe deine Seite auf einem nicht aktuellen Stand stehen. Die Sicherheitslücken dieser Version sind aber bereits von den Entwicklern bekannt gegeben worden – das ist also ein leichtes Ziel für Hacker, zu filtern, welche Seiten noch auf der alten Version laufen und die dann gezielt anzugreifen.

In zehn Jahren Web-Design-Erfahrungen sind alle gehackten Seiten, die mir untergekommen sind, auf Individual-Installationen gelaufen.

Denn was in der Theorie sicherer klingt, ist in der Praxis oft nur mit einem laufenden hohen technischen Aufwand zu pflegen und umzusetzen – und ich glaube schon lange nicht mehr daran, dass Menschen immerzu fehlerfrei arbeiten. Auch nicht die hochmotivierten, auch nicht die supernetten, auch nicht die mit den vielen Fans auf Facebook. Also verteile ich das Risiko lieber auf eine Firma wie Squarespace, die ganze Abteilungen hat, die sich mit diesen Themen beschäftigen, als die komplette Verantwortung auf ein wackliges Paar Schultern zu legen.

Übrigens: Das ist jetzt nur die sicherheitstechnische Seite – mit dem Thema mobile Benutzbarkeit sieht es zum Beispiel ganz ähnlich aus. Auch hier müsste ich deine Individual-Lösung mindestens jährlich kritisch überprüfen, ob die nach wie vor auf allen neuen Endgeräten gleich gut benutzbar ist, und natürlich auch regelmäßig anpassen. Das sind jedes Mal a) potentielle Fehlerquellen, denn ich muss dafür den Code anpacken und b) Aufwände, die ich dir in Rechnung stellen würde. Die Entwickler*innen einer Firma wie Squarespace oder Jimdo haben auch diese Themen immer im Blick.

Wie ist das mit der Bedienbarkeit?

Das zweite realistische Risiko für eine Website schätze ich, ehrlich gesagt, sogar noch höher ein als das erste: Viel zu viele Websites von Einzelselbständigen verwaisen. Die sehen zwar vielleicht schick aus, werden aber wochenlang, zum Teil sogar monate- oder jahrelang nicht angerührt. Das liegt in fast allen Fällen daran, dass die Oberfläche, auf der die Änderungen vorzunehmen sind, entweder nicht vorhanden oder zu kompliziert zu bedienen ist.

So sieht diese Oberfläche zum Beispiel in ModX aus:

Backend ModX

So sieht sie in Typo3 aus:

Backend Typo3

Und so erholsam in Squarespace – das ist nämlich einer der wenigen Baukästen, in denen du die Website beim Bearbeiten auch tatsächlich so siehst, wie sie später für Besucher aussieht:

Backend Squarespace

Das ist aus meiner Sicht ein riesiger Punkt: Was nutzt es dir, wenn du eine höchst sichere, open source, unabhängig gesicherte und korrekt aufgesetzte Seite hast, die du nicht täglich mit Freude benutzt?

Änderungen an deiner Website vorzunehmen, muss ein müheloser, freudvoller Vorgang sein. Denn sonst hast du keinen Spaß daran, passt immer seltener etwas an und auf einmal ist auch deine Website das letzte Mal vor einem Jahr aktualisiert worden. Das merken potentielle Kundinnen, und das fühlt sich komisch für sie an – als würdest du sie vernachlässigen. Und so ist es ja dann auch ein bisschen: Du vernachlässigst eine wichtige Schnittstelle zu ihnen.

Deshalb ist meine dringende Empfehlung: Suche dir die Website-Lösung, die dich dauerhaft und langfristig dabei unterstützt, regelmäßig und flüssig Änderungen an deiner Seite vornehmen zu können und dabei möglichst wenig laufenden technischen Pflege-Aufwand hat.

„Dein Server“ ist vermutlich nicht „dein“ Server.

Die wenigsten von uns haben tatsächlich einen eigenen Server.

Die meisten von uns Web-Designern, die einen „eigenen“ Server haben, mieten einen Server in einem Server-Park. Da gibt es gute und weniger gute, sichere und weniger sichere. Auch hier müsstest du genau hinschauen und untersuchen, was für einen Server deine Web-Designerin mietet – und zum Beispiel nachfragen, ob sie einen Auftragsdatenverarbeitungs-Vertrag mit diesen Dienstleistern abgeschlossen hat. Auf jeden Fall müsstet du für die neue Datenschutzverordnung (DSGVO) mit einer Web-Designerin ebenfalls einen Auftragsdatenverarbeitungs-Vertrag abschließen – denn sie ist ja dann Drittanbieterin, weil sie für dich die Datenlogs mit den persönlich identifizierbaren Daten speichert.

Mit diesem Punkt will ich vor allem sagen: Wenn du eine Website hast, mietest du in den allermeisten Fällen über Umwege sowieso Platz auf einem externen Server. Das kann über einen Dienstleister wie Squarespace passieren (dann musst du mit denen aus Datenschutzgründen einen Auftragsdatenverarbeitungs-Vertrag abschließen). Das kann über eine Web-Designerin passieren (dann muss sie mit dir und mit der Hosting-Firma einen Auftragsdatenverarbeitungs-Vertrag abschließen). 

Wenn deine Web-Designerin deine Seite auf „ihrem“ Server hostet, wird es vermutlich ein Server in Deutschland oder zumindest Europa sein. Wenn du ein deutsches Baukastensystem wie Jimdo nutzt, wird es ebenfalls vermutlich ein europäischer Server sein, auf dem deine Website-Daten liegen. Wenn du ein amerikanisches System wie Squarespace nutzt, wird es vermutlich (aktuell noch) ein amerikanischer Server sein, auf dem die Daten liegen – allerdings ist Squarespace über das Privacy Shield Verfahren zertifiziert und damit sowieso verpflichtet, europäische Datenschutzrichtlinien einzuhalten.

Eine einzige Stelle gibt es, die ich vorteilhaft finde, wenn man eine Website auf einem eigenen Server hat: Dann kannst du nämlich auf Google Analytics verzichten und dir das sichere und weniger datenhungrige Analyse-Werkzeug „Matomo“ auf deinem Server installieren (lassen). So habe ich das inzwischen mit www.diegutewebsite.de gemacht. Aber auch hier gilt: Mit den richtigen Einstellungen kannst du auch Google Analytics problemlos datenschutzkonform einsetzen. (Falls du diese Detailtiefe an Statistiken überhaupt benötigst.)

Ein einfach bedienbares Baukastensystem ist für die meisten Einzelselbständigen das Sinnvollste – denn es erspart auf lange Sicht Kopfschmerzen.

Lass dir die Website-Pläne für deine Selbständigkeit nicht von jemandem diktieren, der in einem anderen Umfeld und unter anderen Bedingungen arbeitet als du selber. Such dir lieber eine Person, die ähnlich tickt wie du, was technische Geduld und das Hineinfuchsen in neue Dinge angeht, und die ähnliche Aufgaben wie du mit ihrer Website bewältigt. Und dann sprich mit dieser Person über die Anforderungen, die deine Website erfüllen sollte, und was sie vielleicht an ihrem eigenen System stört.

(Und falls du dir nicht sicher bist oder keine solche Person findest, schick mir eine Mail – ich spreche diese Themen gerne mit dir durch und überlege gemeinsam mit dir, was für deine Situation am besten passen könnte.)



Melde dich hier an für weitere Artikel, Briefe und besondere Angebote im (etwa) 2-Wochen-Takt:


Ich nutze für den Versand dieser Mails den Anbieter „ConvertKit“, der deine Daten auf Servern in den USA verarbeitet. Weitere Details dazu, sowie Hinweise zu der von der Einwilligung mitumfassten Erfolgsmessung, der Protokollierung der Anmeldung und deinen Widerrufsrechten kannst du hier in meinen Datenschutz-Hinweisen lesen. Abmelden kannst du dich jederzeit mit einem Klick.