18. März 2026 · 6 min
In Bayern nutzen viele Kommunen, Landkreise und öffentliche Einrichtungen Drupal für ihre Website. Was bei der Wartung anders ist als bei privaten Unternehmen - und worauf es wirklich ankommt.
Im öffentlichen Sektor ist Drupal weltweit verbreitet - von der EU-Kommission bis zu deutschen Landesbehörden. Die Gründe dafür sind klar: Drupal ist Open Source, bietet eine ausgereifte Rechteverwaltung, unterstützt Mehrsprachigkeit und kann an komplexe redaktionelle Anforderungen angepasst werden.
In Bayern nutzen viele Kommunen und Landkreise Drupal für ihre offiziellen Websites. Dies bringt jedoch Verantwortung mit sich - denn öffentliche Stellen sind besonders attraktive Ziele für Angreifer und müssen strengen Datenschutz- und Barrierefreiheitsanforderungen genügen.
Private Unternehmen können Wartungsfenster flexibel wählen. Bei Behörden gibt es oft strikte Vorgaben: Updates müssen dokumentiert werden, Änderungen brauchen Freigaben, und der Betrieb muss auch während Personalwechseln gesichert sein.
Dokumentationspflicht
Jeder Eingriff am System muss nachvollziehbar protokolliert werden. Wer hat wann was geändert?
BSI-Grundschutz
Öffentliche Stellen orientieren sich am BSI IT-Grundschutz. Sicherheitsupdates müssen zeitnah eingespielt werden.
DSGVO und Datenschutz
Verarbeitungsverzeichnisse, Auftragsverarbeitungsverträge und datenschutzkonforme Hosting-Lösungen sind Pflicht.
Barrierefreiheit BITV 2.0
Öffentliche Websites müssen barrierefrei sein. Drupal unterstützt das technisch gut, aber Updates können bestehende Anpassungen brechen.
Das Drupal Security Team veröffentlicht regelmäßig Sicherheitspatches. Bei kritischen Lücken gibt es koordinierte Releases mit vorab festgelegtem Datum. Alle wissen wann der Patch kommt, auch potenzielle Angreifer.
Das bedeutet: Nach einem Security Release bleibt oft nur ein kurzes Zeitfenster bevor aktive Angriffe auf ungepatchte Systeme starten. Für Behörden die wochenlang auf interne Freigaben warten, ist das ein ernstes Risiko.
Eine gute Wartungsstruktur sieht vor, dass Security Releases innerhalb von 24-48 Stunden eingespielt werden. Mit Backup und mit Dokumentation des Eingriffs.
Drupal 9 hat sein End-of-Life im November 2023 erreicht und erhält keine Sicherheitsupdates mehr. Wer noch auf Drupal 9 läuft, betreibt ein ungepatchtes System. Das ist für öffentliche Stellen nicht akzeptabel.
Drupal 10 ist der aktuelle Standard, Drupal 11 ist seit 2024 verfügbar. In den meisten Fällen ist eine Migration von Drupal 9 auf 10 möglich, aber es erfordert eine gründliche Analyse der verwendeten Module und individuellen Anpassungen.
Für öffentliche Stellen empfiehlt sich ein Wartungspartner der folgendes bietet:
Als Drupal-Spezialist aus Grassau im Landkreis Traunstein habe ich kommunale Websites in der Umgebung bereits aufgebaut und betreut - darunter Projekte für öffentliche Einrichtungen im Landkreis Traunstein. Die Zusammenarbeit erfolgt komplett remote - es sind keine Vor-Ort-Termine nötig, alle Eingriffe werden vollständig dokumentiert.
Für öffentliche Stellen erstelle ich auf Wunsch einen AVV und arbeite nach klaren Prozessen, die eine Weitergabe an interne IT-Verantwortliche ermöglichen.
Öffentliche Einrichtung oder Behörde? Schreib mir kurz welches System du betreibst - ich melde mich mit einer ersten Einschätzung.
Direkt Kontakt aufnehmenVerwandte Themen: Drupal Wartung · Drupal Sicherheitslücken · Drupal Support Traunstein · Drupal Migration