Open Source befindet sich 2025 in einem Zustand tiefgreifender Veränderung. Viele Selbstverständlichkeiten der vergangenen zwei Jahrzehnte – klare Lizenzmodelle, Community-getriebene Weiterentwicklung, ein schwarz-weißes Verständnis von „frei“ versus „proprietär“ – lösen sich auf oder werden neu definiert. Gleichzeitig steigt die Bedeutung digitaler Souveränität rapide an. 

Unternehmen, Behörden und öffentliche Institutionen müssen sich damit auseinandersetzen, wo ihre Daten liegen, wie unabhängig ihre Technologieentscheidungen wirklich sind und welche Rolle Open Source dabei spielt. Genau an dieser Schnittstelle bewegen wir uns als punkt.de seit vielen Jahren. Und selten war die Dynamik so spürbar wie 2025.

Vom Klassentreffen zur strategischen Bühne:
TYPO3 im Aufwind

Wer seit vielen Jahren in der TYPO3-Community unterwegs ist, erinnert sich noch gut an die Zeit vor 2015–2020: Die T3CON war ein Klassentreffen. Familiär, fachlich tief, aber klein. 2025 ist das Bild ein anderes. Auf der Konferenz waren Akteure zu sehen, die noch vor wenigen Jahren keinerlei Berührungspunkte mit TYPO3 hatten. Karim Marucchi, CEO von Crowd Favorite, tief in der WordPress-Welt verankert, sprach über digitale Souveränität und Open-Source-Governance. Dass sich Persönlichkeiten aus ganz anderen Ökosystemen plötzlich ernsthaft für TYPO3 interessieren, zeigt: Unser CMS ist nicht mehr nur Werkzeug – sondern Infrastruktur.

Das ITZBund, Materna und andere große Player waren ebenfalls an allen Tagen präsent. Das ist ein qualitativer Sprung. TYPO3 wird strategisch gedacht. Nicht als Alternative, sondern als Grundlage. Der Government Site Builder (GSB) setzt in seiner neuen Version auf TYPO3. Die Relevanz von Open Source „made in Germany“ wächst – und wir sind Teil eines Ökosystems, das 2025 erwachsener ist als je zuvor.

Der Government Site Builder 11 wird vom ITZBund offiziell als Standardlösung des Bundes geführt und basiert ab Version 11 auf dem Open-Source-CMS TYPO3 – ein klares Bekenntnis der Bundesverwaltung zu offener Infrastruktur. 

Wer das vertiefen möchte, findet im TYPO3-Umfeld und in unserer Zusammenarbeit mit anderen Agenturen rund um GSB und öffentliche Projekte weitere Einblicke, z. B. im Beitrag „1_Forge: Drei Agenturen, ein Schulterschluss – für starke TYPO3-Projekte auf Augenhöhe“.

Automatisierung wird souverän: Unser Weg mit n8n und CIB seven

2025 war für uns ein Jahr der konsequenten Automatisierung – allerdings mit einem klaren Anspruch: Wir automatisieren nur dort, wo wir die Datenhoheit behalten können. Damit unterscheiden wir uns bewusst vom aktuellen Trend, überall Make, Zapier oder andere SaaS-Integratoren einzusetzen. Nicht weil diese Tools schlecht wären – sie sind im Gegenteil oft großartig. Aber sie erfordern, dass Unternehmensprozesse, Zugangsdaten und interne Datensysteme in einer fremden Cloud liegen.

Als Kunden zunehmend Make nutzten, standen wir vor der Frage: Wie können wir dieselbe Flexibilität bieten, ohne Souveränität einzubüßen? Die Antwort war für uns eine Kombination aus Werkzeugen: n8n als zentrale Automatisierungsplattform und CIB seven als Möglichkeit, komplexere Prozesse auf einer souveränen Workflow-Engine abzubilden. Beide Tools hosten wir selbst – und das verändert das Spiel.

Ein Beispiel: Unsere Pressearbeit läuft inzwischen weitgehend automatisiert. Einmal pro Woche wird aus unseren internen Quellen ein aktueller Artikelbestand an Dienste wie die PresseBox übermittelt – fehlerfrei, nachvollziehbar und komplett auf unseren Servern verarbeitet. Klein, aber symbolträchtig: Wir sparen Zeit, gewinnen Qualität und behalten alle Daten im eigenen Haus.

Diese Haltung – Automatisierung ja, aber nur mit Datenhoheit – haben wir in unserem Blog einmal so zusammengefasst: „Automatisierung funktioniert nur dann nachhaltig, wenn die Hoheit über die Daten beim Unternehmen bleibt.“

Dabei mussten wir unser eigenes Verständnis von Open Source erweitern. Denn n8n ist eben nicht „klassisch Open Source“. Die Sustainable Use License beschränkt bestimmte Nutzungsarten – insbesondere das Betreiben als kommerziellen SaaS-Dienst. Anfangs war ich skeptisch. Open Source ist für mich mehr als ein Lizenztext. Doch das Modell von n8n hat mich überzeugt: Es schützt vor Ausbeutung durch Cloud-Giganten, lässt aber alle Freiheitsgrade, die man für echte Souveränität braucht. Dieses hybride Denken ist ein wichtiger Baustein für die Zukunft – und ein persönliches Learning von 2025.

Jan Oberhauser, der Gründer von n8n, bringt es im Kontext der Fair-Code-Bewegung so auf den Punkt: Man müsse Modelle finden, „in denen alle gewinnen – Nutzer, Community und Unternehmen“. Die Sustainable Use License ist genau so ein Versuch: Der Quellcode bleibt einsehbar und erweiterbar, aber die rein kommerzielle Weitervermarktung ohne Rückfluss an das Projekt wird begrenzt. 

Bewegung in den Communities: WordPress, Akeneo, Pimcore

Kaum ein Jahr hat so deutlich gezeigt, wie fragil Open-Source-Governance sein kann. Der Konflikt zwischen Matt Mullenweg (Automattic) und WP Engine hat viele Kunden zutiefst verunsichert. Der endgültige Bruch eskalierte Ende 2024, doch die Auswirkungen rollten 2025 durch den Markt: die Drohung, Markenrechte zu entziehen, das zeitweise Entfernen von WP-Engine-Kunden aus Update-Kanälen, der öffentliche Schlagabtausch. Egal wie man die Details bewertet – ein solches Machtgefälle wäre in vielen anderen Open-Source-Projekten schlicht nicht möglich. TYPO3 & Co. haben hier einen klaren Vorteil: Governance ist verteilt. Kein einzelner Akteur kann komplette Nutzergruppen aussperren.

Doch WordPress ist nur ein Beispiel. Akeneo hat seine Community Edition de facto eingefroren und konzentriert sich zunehmend auf sein SaaS- und Enterprise-Modell. In der Praxis bedeutet das: Neue Features landen zuerst (oder ausschließlich) in den gehosteten Varianten und in der Enterprise-Edition, während die Community Edition in weiten Teilen im Wartungsmodus verharrt und der Fokus klar auf den „Serenity“-SaaS-Ansatz wandert. 

Pimcore hat in diesem Jahr auf die eigene POCL-Lizenz umgestellt – ein Move, der für viele nach einem Abschied von echtem Open Source klingt, aber gleichzeitig die rechtlichen Risiken klassischer Copyleft-Lizenzen minimieren soll. Ab Version 2025.1 steht die Community Edition nicht mehr unter GPLv3, sondern unter der Pimcore Open Core License (POCL), die zwar vollständige Quellcode-Einsicht und Anpassbarkeit verspricht, aber klar zwischen Community-Nutzung und kommerzieller Nutzung unterscheidet. 

Und jetzt kommt der unbequeme Teil:

Es wäre zu einfach, diese Projekte zu kritisieren. Fakt ist: Die Anforderungen an moderne digitale Produkte sind enorm gestiegen. Architektur, Security, Skalierbarkeit, Compliance – das alles kostet Geld. Und ehrlicherweise: Die Open-Source-Community trägt nur selten ausreichend dazu bei, dass große Projekte finanziell solide weiterentwickelt werden können.

Wer jetzt protestiert, sollte sich fragen, ob er in den letzten Jahren genügend beigetragen hat, um Kommerzialisierung zu verhindern. Ich selbst schaue mit Stolz auf TYPO3 und die Gründung der TYPO3 GmbH im Jahr 2016. Das war Weitblick. Es war die Antwort der Community auf die Frage:

Wie sichern wir die Zukunft unseres Projekts, ohne uns zu verkaufen?

Diese Governance-Strukturen tragen heute – und andere Systeme werden nachziehen müssen.

Für 2026 wünsche ich mir klare Preisstrukturen und transparente Onboarding-Modelle. Wir verstehen, dass Systeme Kosten verursachen müssen, aber die Willkommenskultur der „alten Open-Source“-Welt muss erhalten bleiben. In diesem Jahr haben wir versucht, mit einigen langjährigen Open-Source-Systemen, wie Sylius, Elastic und n8n, in die Enterprise-Welt einzusteigen.

Es war ein absoluter Tarif-Dschungel. Nach fünf Telefonaten, Gesprächen und Unterlagen hatten wir immer noch keinen Preis und kein Gefühl der Willkommenskultur – nur Unsicherheit.

Gerade Agenturen brauchen die Möglichkeit, neue Tools auszuprobieren, ohne sofort im Enterprise-Lock-in zu landen. Andernfalls wird Europa diese Tools nicht breit adaptieren.

Ein Beispiel, dass es auch anders geht, sieht man im TYPO3-Ökosystem: Durch die Mischung aus Association, GmbH und einem breiten Agentur-Netzwerk ist klar, wer wofür bezahlt – und trotzdem bleibt der Kern des Systems offen und Community-getrieben.

Europa reguliert – und das ist gut so

Regulierung ist in der Tech-Branche ein Reizwort. Viele Unternehmen sehen in NIS2, CRA, dem Barrierefreiheitsgesetz oder DSGVO-Nachschärfungen vor allem Aufwand. Wir erleben das täglich: Die ersten Reaktionen auf EU-Gesetze klingen oft nach Überforderung oder „Brüssel-Bürokratismus“. Doch je tiefer ich mich professionell mit diesen Themen beschäftige, desto klarer sehe ich: Europa hat hier einen strategischen Vorteil, den wir viel selbstbewusster kommunizieren sollten.

Ich habe in diesem Jahr einige Gespräche mit amerikanischen Expert:innen geführt. Das Bild ist eindeutig: Die USA beneiden uns um die europäische Regulierung. Nicht weil sie bequem wäre – sondern weil sie Schutz, Klarheit und Souveränität schafft. Während in den USA Datenhandel, Profiling und Plattformmacht weitgehend unreguliert sind, bietet Europa verlässliche Leitplanken, die Vertrauen schaffen.

NIS2 zwingt Unternehmen, sich ernsthaft mit ihrer eigenen IT-Sicherheit auseinanderzusetzen. Die Richtlinie schafft einen einheitlichen Rahmen für Cybersecurity in zahlreichen kritischen Sektoren und erweitert den Geltungsbereich deutlich – auch auf viele mittelständische Unternehmen. Der Cyber Resilience Act sorgt dafür, dass Software – egal ob Open Source oder proprietär – endlich Mindeststandards erfüllen muss, etwa Security-by-Design, regelmäßige Updates und klare Verantwortlichkeiten. Der Accessibility Act hebt Barrierefreiheit aus dem „Nice-to-have“ in den Status eines Qualitätsmerkmals. Und über allem steht das europäische Selbstverständnis, digitale Souveränität als Standortfaktor zu begreifen.

Viele betrachten das als Belastung. Ich sehe es als Chance.

Auch, weil wir uns als punkt.de auf den Weg gemacht haben, selbst die ISO 27001 zu erfüllen. Nicht, weil ein Kunde es verlangt hätte, sondern weil wir zeigen wollen: Wir meinen Sicherheit und Souveränität ernst. Für uns ist das Regulierungsthema kein Klotz am Bein – es ist ein Zukunftstreiber.

Wer sich tiefer einlesen möchte, findet in unserem Blog regelmäßig Einordnungen zu Regulierung, Souveränität und Praxisbeispielen – vom Mittelstand bis zur öffentlichen Hand. 

Eine ausführlichere Einordnung, warum wir digitale Souveränität nicht als Verzicht, sondern als bewusste Entscheidung verstehen, habe ich in unserem Blogartikel „Digitale Souveränität: bewusste Entscheidungen statt Dogma“ festgehalten.

Mein Ausblick: 2026 wird ein Jahr der Klarheit

2025 war ein Jahr des Wandels. 2026 wird ein Jahr der Klarheit. Wir werden im nächsten Jahr deutlich klarer sehen, welche Open-Source-Projekte ihre Governance im Griff haben – und welche nicht. Wir werden sehen, welche Lizenzmodelle funktionieren und welche die Community entfremden. Wir werden erkennen, welche EU-Regulierungen echte Innovation auslösen – und wo nachjustiert werden muss.

Ich persönlich freue mich darauf, diese Diskussionen aktiv mitzugestalten. Open Source bedeutet für mich: Optionen behalten. Verantwortung übernehmen. Und souverän bleiben – technisch, strategisch und rechtlich.

Als punkt.de werden wir auch 2026 unseren Weg konsequent gehen:

Open Source als Default.

Europäische Technologie als Fundament.

Souveränität als Haltung.

Es ist ein guter Zeitpunkt, über Technologie neu nachzudenken. Und es ist ein großartiger Zeitpunkt, Verantwortung zu übernehmen.

Autor: Fabian Stein
Fabian beschäftigt sich mit der Digitalisierung in Deutschland und der Entwicklung des Open Source Marktes als CEO von punkt.de

Viele Unternehmen stehen derzeit vor der Frage, wie sie ihr Web-Tracking und ihre Analyse datenschutzkonform und zukunftssicher gestalten können. Google Analytics – insbesondere die aktuelle Version GA4 – ist zwar weit verbreitet, bewegt sich aber weiterhin in einer juristischen und technischen Unsicherheitszone. Mehrere Datenschutzbehörden in Europa haben bestätigt, dass GA4 in seiner Standardkonfiguration nicht DSGVO-konform betrieben werden kann. Das schafft Risiken, die langfristig schwer kalkulierbar sind.

Gleichzeitig wünschen sich Teams ein Tracking-System, das professionelle Analyse-Funktionen bietet und dennoch die volle Kontrolle über die eigenen Daten ermöglicht. Genau hier setzt Matomo an. Die Open-Source-Plattform wird weltweit eingesetzt, ist technisch ausgereift und erlaubt Unternehmen, Webanalyse unter eigener Kontrolle zu betreiben – ohne Abhängigkeit von US-Anbietern.

Datenschutz und Datensouveränität als klare Vorteile

Der grundlegende Unterschied zwischen Matomo und GA4 liegt weniger in der Oberfläche als im Umgang mit Daten. Während die Datenströme von Google Analytics automatisch in ein US-basiertes Ökosystem fließen, lässt sich Matomo so betreiben, dass Datensouveränität vollständig gewährleistet ist:

• Daten können auf eigenen Servern gespeichert werden
• Hosting in deutschen oder europäischen Rechenzentren ist problemlos möglich
• Es findet kein Transfer personenbezogener Daten an Dritte statt
• Der Zugriff ist vollständig kontrollierbar

Diese Form der Datensouveränität wird für Unternehmen immer wichtiger – nicht nur aus juristischen Gründen, sondern auch für die interne Risikoabwägung. Matomo unterstützt diesen Ansatz durch integrierte Datenschutzfunktionen wie IP-Anonymisierung, „Do Not Track“-Unterstützung oder Datenlöschung auf Anfrage. Unter bestimmten Bedingungen ist Matomo sogar ohne Einwilligungsbanner nutzbar, weil das Tracking ohne Cookies möglich ist.

Damit wird Matomo zu einer Analyse-Plattform, die Datenschutz nicht als Einschränkung, sondern als Grundprinzip versteht.

Warum Matomo auch fachlich überzeugt

Die Entscheidung für eine Analyse-Plattform sollte nicht nur rechtliche Aspekte berücksichtigen, sondern auch die Qualität des eigenen Trackings. Hier zeigt sich, dass Matomo in einigen Punkten strukturelle Vorteile gegenüber GA4 hat.

Anders als Google Analytics arbeitet Matomo ohne Sampling. Die Analyse basiert immer auf vollständigen Daten – unabhängig vom Traffic-Volumen. Das erleichtert sowohl strategische Auswertungen als auch detaillierte Fragestellungen, etwa bei Conversion-Optimierung oder Kampagnenanalysen.

Hinzu kommt die Offenheit des Systems: In Matomo stehen – insbesondere bei Self-Hosting – die Rohdaten zur Verfügung. Unternehmen können eigene Auswertungen fahren oder Daten mit BI-Tools verbinden. Ein weiterer Vorteil liegt darin, dass Matomo neue Ziele oder Segmente nicht nur für die Zukunft berechnen kann, sondern auch rückwirkend. Bei GA4 dagegen verhindert die begrenzte Datenspeicherung oft, dass historische Auswertungen vollständig möglich sind.

Auch wenn die Oberfläche von Matomo weniger verspielt wirkt als die von GA4, erfüllt sie die Erwartungen moderner Tracking-Prozesse. Matomo bietet E-Commerce-Tracking, Event-Tracking, Kampagnenanalyse, Funnel-Berichte und erweiterte Funktionen wie Heatmaps oder A/B-Tests.

Für viele Anwendungsfälle ist Matomo damit nicht nur eine datenschutzfreundliche Alternative, sondern auch eine funktional stabile und nachvollziehbare Analyse-Plattform.

Unabhängigkeit und Planungssicherheit

Ein Punkt, der bei der Wahl eines Tracking-Systems oft unterschätzt wird, ist die langfristige Planbarkeit. GA4 hat gezeigt, wie abrupt Google grundlegende Änderungen vornehmen kann – sei es technisch, strukturell oder im Hinblick auf Datenhaltungsfristen. Die Abschaltung von Universal Analytics hat viele Unternehmen gezwungen, Daten zu migrieren oder sogar ganz aufzugeben.

Matomo entwickelt sich in einem anderen Rhythmus: transparent, nachvollziehbar und ohne externe Abhängigkeiten. Für Unternehmen bedeutet das langfristige Stabilität. Auch Migrationen – etwa von Piwik PRO oder Google Analytics – sind möglich und verlieren durch Matomos offene Struktur ihren Schrecken.

Vor allem Organisationen, die Tracking im Kontext von Compliance, Governance oder IT-Sicherheit betrachten, schätzen diese Form der Datensouveränität.

Fazit: Matomo schafft eine Balance aus Datenschutz, Kontrolle und professioneller Analyse

Für Unternehmen, die Wert auf rechtssicheres Tracking und gleichzeitig auf qualitativ hochwertige Analyse legen, ist Matomo heute oft die bessere Wahl. Die Plattform kombiniert:

• Datensouveränität durch volle Kontrolle über Speicherorte und Datenzugriff
• Datenschutz durch integrierte Schutzmechanismen
• Professionelle Tracking-Funktionen, die den Vergleich mit GA4 nicht scheuen müssen
• Transparenz und Offenheit, die langfristige Planung erleichtern

Matomo ist vielleicht nicht in jeder Nutzerinteraktion so poliert wie GA4 – dafür ist es klar strukturiert, nachvollziehbar und bietet Unternehmen die Freiheit, ihre Webanalyse selbstbestimmt zu gestalten.

Wer Web-Tracking nachhaltig, rechtssicher und zukunftsfähig betreiben möchte, kommt an Matomo kaum vorbei.

In den ersten beiden Tests haben wir den Code geprüft und getestet. In diesem Teil wollen wir jetzt testen, welche Daten wirklich fließen und was Benutzer tatsächlich sehen.

• Zu Artikel 1: Linting, Stan, phpCS, Audit
• Zu Artikel 2: Unit, Functional, Coverage

Was Gurken mit Tests zu tun haben

Für alle folgenden Tests verwenden wir den gleichen Test-Code-Stack – wir verwenden Codeception als Testrunner und darin das Konzept von Behaviour Driven Testing, für welches die Sprache Gherkin (zu Deutsch Gurke) verwendet wird.

Wie man sehen kann, steht in dieser Syntax die Benutzerinteraktion im Vordergrund – es wird sehr selten mit CSS-Selektoren gerarbeitet, normalerweise wird ein Vorgang immer auf eine Art beschrieben, wie ein Benutzer die Anwendung verwenden würde.

Durch die eher einfach gehaltenen Schritte und den Fokus auf den tatsächlichen Inhalt der Website kann man sehr komplexe Abläufe abbilden – und wie bei den anderen Tests wird keine Logik versteckt. Man erkennt auch wieder AAA, wobei Act und Assert mehrmals in beliebiger Reihenfolge durchgeführt wird.

Acceptance für die Funktionen

Was wird dabei aber wirklich getestet? Im Beispiel-Code wird ein Acceptance-Test gezeigt. Dieser steuert einen Browser – wahlweise ein normaler Chrome-Browser mit allen Features oder ein Headless Chrome innerhalb eines Docker-Containers in der Entwicklungs- und CI-Umgebung – und klickt sich durch die fertige Anwendung. 

Acceptance-Tests sind bei uns so definiert, dass vor dem Testlauf ein definierter, in git abgelegter Datenbankstand importiert wird, der pro Test optional ergänzt werden kann, und anschließend wird der Test durchgeführt. Am Ende jedes Tests wird die Datenbank wieder auf den definierten Stand zurückgesetzt. Dadurch kann man beliebige Vorgänge beliebig häufig testen – beispielsweise eine Benutzer-Anlage. Wenn der Datenstand nicht immer gleich wäre, könnte der Test nur einmal durchgeführt werden, da ein User mit einem Benutzernamen nur einmal angelegt werden darf, und hätte man einen zweiten Test um den User zu löschen müsste man diese Tests immer nacheinander ausführen, damit man keine Inkonsistenzen verursacht.

Diese Tests testen immer den kompletten Anwendungsstack – Webserver-Config, Backend- und Frontend-Code, CSS (beispielsweise display: none hat Auswirkungen auf Testaufrufe wie „I should see“), Datenbank und Inhalte, der Inhalt des Dateisystems – you name it, you test it. Dabei muss man natürlich beachten, dass Tests, welche immer die Website oder -App rendern und mehrmals Klicken und Formulare ausfüllen und absenden entsprechend lange laufen können, weswegen man diese Tests normalerweise nicht als Hauptsache, sondern als Ergänzung zu anderen, schnelleren Tests verwendet. 

API-Testing in schneller

Unser größtes Projekt derzeit ist eine React-Anwendung mit einem TYPO3-Backend. Uns haben die Tests zu lange gedauert (selbst mit Parallelisierung und ähnlichem), vor allem wenn wir für verschiedene Berechtigungen und für nicht eingeloggte User die korrekte Daten-Sichtbarkeit prüfen wollten. Für diesen Zweck verwenden wir darum API-Tests, welche ebenfalls in Gherkin mit Codeception geschrieben werden, aber intern Guzzle verwenden. 

Diese Tests haben leicht andere Steps (Beispiel: „Given that the API is logged in as ‚user’“), wodurch Codeception so gesteuert wird, dass eben Guzzle die Befehle ausführt, und wir testen dann direkt die API-URLs, die Requests und Responses mit JSON-Aufrufen und die Datenbank-Inhalte. Der Vorteil – während einfache Acceptance-Tests wie Login mit Prüfung auf den Inhalt der Startseite 4 Sekunden benötigen, benötigt die API-Only-Stage für einen ähnlichen Test ein paar Millisekunden.

Unser Ablauf besteht häufig darin, dass die API die verschiedenen Fälle und Daten prüft (ohne Login, verschiedene Berechtigungen, gültige Daten, ungültige Daten, Daten aus der Vergangenheit/von Heute/aus der Zukunft usw.) und die FullStack-Tests dann prüfen, dass die Anwendung sich in einem Erfolgsfall und in einem Fehlerfall korrekt verhält. Außerdem testen wir im FullStack auch FE-eigene Funktionen wie z.B. dass Formularfelder sich unterschiedlich verhalten, je nachdem, was ein User ausfüllt.

Wir wollen Fehler sehen, bevor sie für den Kunden relevant werden

Außerdem verwenden wir Codeception und Gherking für eine dritte Testing-Suite. Die FullStack- und API-Tests werden immer auf jeden Commit und den Main-git-Stand ausgeführt, wenn Änderungen passieren, aber damit immer nur für den Stand auf der Entwicklungs-Umgebung. Mit der dritten Suite testen wir Funktionen direkt auf dem Livesystem des Kunden.

Auch hier verwenden wir den Browser und User-ähnliche Schritte, wir achten aber darauf, dass wir innerhalb der Tests keine Daten verändern, und dass wir nicht auf veränderbare Daten prüfen – beispielsweise Testen wir beim Aufruf einer Aktivität (wie oben im Beispielcode) nicht auf ein genaues Datum oder einen genauen Vor- und Nachnamen, sondern wir testen darauf, dass ein beliebiges Datum und ein beliebiger Name angezeigt werden – diese Info reicht uns, um zu wissen, dass unser Live-System den Inhalt korrekt rendert. 

Das Ziel dieser Tests besteht darin, dass wir nach Deployments oder nach nächtlichen Importern und ähnlichem wissen wollen, dass das Produktivsystem weiterhin funktioniert, und wenn nicht wollen wir die Info bekommen, bevor es Auswirkungen für tatsächliche Website-Benutzer gibt. In einem älteren Projekt gab es tatsächlich den Fall, dass wir durch Tests morgens gegen 8:00 Uhr wussten, dass es einen Fehler gibt – diesen konnten wir innerhalb von ein paar Minuten beheben, und als die Benutzer um 8:30 bis 9:00 Uhr angefangen haben, die Anwendung zu verwenden, konnten diese fehlerfrei arbeiten.

Verwendete Tools

Für die Übersetzung der Gherkin-Syntax in Codeception-Aufrufe gibt es im Codeception-Umfeld Methoden, die man selbst programmieren kann. Wir haben Standard-Steps, welche immer wieder verwendet werden, in diverse Composer-Pakete aufgeteilt und auf Github und Packagist veröffentlicht. Diese Repository befinden sich im Account/Vendor der punkt.de, inklusive einem kleinen Demo-Projekt, in welchem man die Verwendung nachlesen kann. 

Abschluss

Dies war der letzte Teil unserer Test-Reihe. Damit können nun Anwendungen getestet werden – von der Codequalität bis zur korrekten Funktionsweise auf dem Livesystem.

Agiles Testing und Prozess-Know-how für Ihr Team:

Egal ob Agentur, Industrieunternehmen oder ein eigenständiges Entwicklerteam: Wenn Sie agile Testing-Prozesse etablieren oder weiterentwickeln wollen, unterstützen wir Sie mit unserem Know-how – sei es durch praxisorientierte Workshops oder durch direkte, projektbezogene Mitarbeit. Wir begleiten Sie von der Einführung agiler Testmethoden über die Optimierung bestehender Abläufe bis hin zur Entwicklung und Umsetzung individueller Testing-Strategien. 

Sprechen Sie uns gerne an, um gemeinsam Ihre Qualitätssicherung und Entwicklungsprozesse auf ein neues Level zu heben!

Mit Sylius 2.1 zeigt das Framework einmal mehr, wie konsequent dieser Weg verfolgt wird: Auf den ersten Blick sticht die Barrierefreiheit nach WCAG-AA hervor – ein starkes Signal, dass moderne Plattformen für alle zugänglich sein müssen. An der technologischen Basis bringt das Release aber noch weit mehr: Unterstützung von PHP 8.4, Symfony 7.3, Doctrine 3 und API Platform 4.1. Damit ist Sylius technisch so aufgestellt, dass Unternehmen ihre Plattformen langfristig weiterentwickeln können, ohne in Sackgassen zu geraten.

Die Zukunft ist modular: Vom Monolithen zum Composable Commerce

Wir sprechen oft von der Modularität von Sylius. In der Fachwelt hat sich dafür ein Begriff etabliert, der den Nagel auf den Kopf trifft: Composable Commerce. Die Idee dahinter ist einfach, aber revolutionär: Statt ein starres All-in-One-System zu nutzen, das alles ein bisschen, aber nichts perfekt kann, stellt man sich seine E-Commerce-Plattform aus den besten am Markt verfügbaren Spezial-Tools zusammen („Best-of-Breed“).

Sylius agiert hier als das leistungsstarke Herzstück – der reine Commerce-Kern. Über APIs werden dann die besten Lösungen für ihre jeweilige Aufgabe angebunden:

• Content Management: Ein professionelles CMS wie TYPO3 oder Neos für reichhaltige Content-Welten.
• Produktdaten: Ein zentrales PIM-System als „Single Source of Truth“.
• Suche: Hochperformante Suchlösungen wie Elasticsearch.
• Bezahlung: Flexible Payment-Provider wie Klarna oder Stripe.

Dieser Ansatz gibt Unternehmen die Freiheit, ihre Infrastruktur exakt nach ihren Bedürfnissen zu gestalten und einzelne Komponenten auszutauschen oder zu modernisieren, ohne das gesamte System neu bauen zu müssen.

Vom Buzzword zur Praxis: Was KI und Headless wirklich bedeuten

Die Sylius-Roadmap blickt klar in die Zukunft, insbesondere bei den Themen KI und Headless. Doch was bedeutet das konkret für Ihr Geschäft?

KI-gestützte Kundenerlebnisse, die verkaufen

Künstliche Intelligenz ist mehr als nur ein Schlagwort. Integriert in eine flexible Plattform wie Sylius, wird sie zum entscheidenden Wettbewerbsvorteil. Statt simpler „Kunden kauften auch“-Logik ermöglichen moderne KI-Integrationen echte, personalisierte Erlebnisse:

• Intelligente, semantische Suche: Ihr Shop versteht, was Nutzer wollen, auch wenn sie es ungenau formulieren. Eine Suche nach „warme jacke für den winter ohne kapuze“ liefert exakte Treffer, weil die KI die Intention hinter den Worten versteht.
• Hyper-Personalisierung: Produktempfehlungen, die sich in Echtzeit an das Klick- und Kaufverhalten des Nutzers anpassen und so die Conversion Rate nachweislich steigern.
• Automatisierte Inhalte: KI kann auf Basis von Produktdaten aus dem PIM automatisch überzeugende Produktbeschreibungen oder SEO-relevante Kategorie-Texte erstellen.

Headless Commerce: Ein Backend, unzählige Kanäle

Der Begriff „Headless“ beschreibt eine Architektur, bei der das Backend (der „Körper“, der die Daten und Logik enthält) vom Frontend (dem „Kopf“, also der Benutzeroberfläche) entkoppelt ist. Für Ihr Unternehmen bedeutet das vor allem eines: absolute Freiheit in mehreren Kanälen.

Mit Sylius als zentralem „Gehirn“ können Sie eine unbegrenzte Anzahl von Frontends bespielen:

• Einen hochperformanten, modernen Webshop auf Basis von z.B. React oder Vue.js.
• Eine native App für iOS und Android.
• Ein Kundenportal für B2B-Kunden mit individuellen Katalogen.
• Ein Terminal im Ladengeschäft (Point of Sale).
• Sogar Anbindungen an Sprachassistenten oder IoT-Geräte.

Alle Kanäle greifen auf dieselbe zentrale Logik für Produkte, Bestellungen und Kundendaten zu. Das ist die Definition einer echten Omnichannel-Strategie.

Unser Ansatz bei punkt.de: Ihr Sparringspartner für nachhaltigen Erfolg

Darum verstehen wir unsere Rolle nicht nur als Entwickler:innen, die Code liefern, sondern als Sparringspartner in jeder Phase. Oft beginnt das schon vor einem Projekt: Wir unterstützen Unternehmen bei den ersten Evaluationen von Sylius, zeigen, wie sich das Framework ins eigene Geschäftsmodell einfügt, und helfen, die richtigen Entscheidungen für die Zukunft zu treffen.

Mein Fazit

Am Ende geht es uns nicht darum, Technologie um ihrer selbst willen einzusetzen. Sondern darum, mit Sylius ein Fundament zu schaffen, das Unternehmen in einer dynamischen Welt trägt – stabil, modular und zukunftssicher.

Genau das ist 1_Forge. 

Ein Zusammenschluss von drei Agenturen, die seit vielen Jahren fest im TYPO3-Kosmos verankert sind: dkd aus Frankfurt, sitegeist aus Hamburg – und wir, punkt.de aus Karlsruhe.

 Was uns eint, ist kein Finanzinvestor, sondern ein gemeinsames Verständnis davon, wie gute digitale Projekte entstehen: mit technischer Tiefe, offener Kommunikation, Vertrauen – und einer Community, die wir nicht nur kennen, sondern mitgestalten.

TYPO3 und Open Source Lösungen sind unsere DNA – nicht nur unser Geschäftsmodell

In den letzten Jahren haben wir beobachtet, wie sich der TYPO3-Markt verändert. Große Projekte wandern zunehmend zu Agenturen, die nicht unbedingt tief in der Community verwurzelt sind, dafür aber durch Größe, Buzzwords und Prozesse beeindrucken.

Mit 1_Forge zeigen wir: Es geht auch anders.

Wir bringen zusammen, was zusammengehört: langjährige Projekterfahrung, zertifiziertes TYPO3-Wissen, agile Methoden, eine enge Verbindung zur Open-Source-Community – und die Fähigkeit, auch größere Projekte zuverlässig zu stemmen.

Und das Beste: Wir arbeiten nicht nebeneinanderher, sondern wirklich gemeinsam. Als eingespieltes Team, das sich aufeinander verlassen kann.

Wer ist 1_Forge? Drei Agenturen mit Substanz

dkd Internet Service GmbH (Frankfurt)

Seit über 20 Jahren als Digitalagentur am Markt, rund 60 Spezialist:innen aus Entwicklung, UX, SEO und Beratung. dkd ist TYPO3 durch und durch – mit den weltweit meisten TYPO3-Zertifizierungen, sieben TYPO3-Awards, eigenen Solr-Workshops und großem Engagement in der Community. 

Ihr Geschäftsführer Olivier Dobberkau ist nicht nur Unternehmer, sondern auch Präsident der TYPO3 Association – Community-Nähe ist hier keine Floskel, sondern gelebter Alltag.

sitegeist media solutions GmbH (Hamburg)

Inhabergeführt, rund 70 Mitarbeitende, über 25 Jahre am Markt. sitegeist ist TYPO3-Platinum-Member und Solution Partner mit über 200 realisierten TYPO3-Projekten. 

Sie gehören zu den aktivsten Contributor:innen im TYPO3-Universum und haben zahlreiche Open-Source-Extensions wie Fluid Components, Editor Widgets oder SMS Responsive Images initiiert und gepflegt. 

Und was man oft vergisst: sitegeist ist auch methodisch stark. Mit einem eigenen agilen Framework namens RE.A.L. bringen sie Struktur, Geschwindigkeit und Klarheit in komplexe Projekte.

punkt.de GmbH (Karlsruhe)

Wir sind seit über 20 Jahren fester Bestandteil der TYPO3-Community und seit fast 30 Jahren am Markt – als Dienstleister, Event-Organisator:innen, Contributor:innen. 

Wir entwickeln sichere, wartbare und skalierbare digitale Plattformen – von Identity Management über Single Sign-On bis zu Portalen mit tief integrierten Prozessen. Und wir glauben an Open Source: Wir gestalten mit, wir sponsern, wir zeigen Präsenz. 

Unter anderem mit den TYPO3 Developer Days, die wir seit Jahren aktiv organisieren – weil wir daran glauben, dass gelebte Community echten Mehrwert schafft

Zusammen mehr als die Summe unserer Teile

Mit mehr als 160 Kolleg:innen, einem gemeinsamen Jahresumsatz von über 15 Mio. € und einer Projektkultur, die auf Vertrauen, Verantwortung und Qualität setzt, ist 1_Forge eine echte Alternative im Markt:

• Stark genug für große, komplexe Projekte
• Schnell genug für agile MVPs
• Eng genug verbunden, um als echtes Team aufzutreten

Und: Wir kennen unsere Stärken – und die unserer Partner. 

Unsere Kunden profitieren davon, dass sie nicht drei Dienstleister managen müssen, sondern mit einem eingespielten Team arbeiten, das ihnen Lösungen bietet – abgestimmt, durchdacht, langfristig.

TYPO3 braucht Haltung – und Menschen, die Verantwortung übernehmen

Dass wir diesen Schritt gehen, ist kein Zufall. Es ist auch eine bewusste, wirtschaftlich fundierte Entscheidung: Wir glauben an TYPO3. Und an Open Source. Und wir glauben, dass wir damit langfristig bessere Projekte realisieren – für öffentliche Auftraggeber, für Unternehmen, für Organisationen mit Verantwortung.

Wir sind überzeugt: Die Zukunft gehört den Netzwerken, nicht den Einzelkämpfern. Und den Teams, die sich nicht nur kennen, sondern vertrauen.

Deshalb ist 1_Forge kein kurzfristiger Pitch-Verbund, sondern ein Commitment.

Lust, uns kennenzulernen?

Wir sind auf der T3CON mit einem gemeinsamen Stand vor Ort. Komm vorbei, sprich mit uns, lerne die Menschen hinter 1_Forge kennen.

Oder schau mal auf 1forge.de vorbei – da erfährst du mehr über uns, unsere Projekte, unser Miteinander.

Wenn du gerade auf der Suche nach einer Agentur bist, die nicht nur Buzzwords liefert, sondern Verantwortung übernimmt – dann lass uns reden. 

Wir freuen uns auf den Austausch.

Zur 1_Forge Website

Wenn ich an digitale Souveränität denke, dann denke ich oft zuerst daran, was ich nicht möchte: den reflexhaften Einsatz von Werkzeugen wie der Google Suite, die ich bei vielen Organisationen sehe. Für mich ist das ein Symbol dafür, wie schnell sich Unternehmen in Abhängigkeiten begeben, ohne sich die Konsequenzen klarzumachen. 

Das zeigt zugleich ein typisches Missverständnis: Digitale Souveränität wird oft über Verzicht oder Dogma definiert. Manchmal wirkt es fast wie ein „digitales Vegan-Sein“ – viele wissen, dass es gesellschaftlich besser wäre, aber es erscheint unbequem, man muss sich rechtfertigen, und man hat das Gefühl, nicht mehr so einfach überall mitzumachen. 

Dabei geht es gar nicht darum, alles strikt Open Source zu betreiben oder jeden DNS-Record selbst in der Hand zu halten. Für mich und für uns bei punkt.de bedeutet digitale Souveränität etwas anderes: bewusst Entscheidungen zu treffen. Zu verstehen, welche Daten wie verarbeitet werden, welche man besonders schützen will – und wo es völlig ausreicht, auf Standards oder etablierte Systeme zu setzen.

Digitale Souveränität im Mittelstand: Risiko und Chance

Fehlende digitale Souveränität bedeutet für mittelständische Unternehmen vor allem eines: Abhängigkeit. Und diese zeigt sich oft erst dann, wenn es eigentlich schon zu spät ist.

Ein Beispiel aus unserem eigenen Alltag ist das Thema Jira und Confluence. Schon 2012 haben wir uns bei punkt.de entschieden, von Redmine auf Atlassian-Produkte zu wechseln. Wir waren damals begeistert von den Möglichkeiten – und nutzen sie bis heute intensiv. Doch inzwischen zwingt Atlassian seine Kunden in die Cloud. Das bedeutet: deutliche Preissteigerungen, keine Wahlfreiheit mehr und die Pflicht, sensible Daten in einer amerikanischen Cloud abzulegen.

Das Problem dabei ist nicht allein die Cloud. Das eigentliche Problem ist der Vendor Lock-in. Ein Wechsel zurück oder zu einem anderen System ist möglich, aber nur unter extrem hohen Aufwänden und mit hohen Kosten. Unsere Datensouveränität ist hier massiv eingeschränkt. 

Ganz anders verhält es sich in einem anderen Bereich: Mail und Kalender. Auch hier setzen wir auf Microsoft 365 – aber mit einem entscheidenden Unterschied. Mail und Kalender basieren auf langjährig erprobten offenen Standards (IMAP, CalDAV etc.). Das bedeutet: Sollten wir eines Tages entscheiden, dass Microsoft nicht mehr zu uns passt, können wir vergleichsweise einfach zurück zu Open-Source-Lösungen oder in andere Systeme wechseln. Unsere Daten sind portabel, die Hoheit bleibt bei uns.

Diese beiden Beispiele zeigen sehr deutlich, worum es bei digitaler Souveränität geht: nicht Dogma, sondern Handlungsfähigkeit.

Unser Ansatz bei punkt.de – ein anderer Default

Was uns bei punkt.de unterscheidet, ist die Haltung, mit der wir an Probleme herangehen. Unser Default sieht so aus:

1. Zuerst prüfen wir: Gibt es eine gute Open-Source-Lösung?
2. Dann prüfen wir: Gibt es eine starke europäische Lösung?
3. Erst dann greifen wir auf internationale Player zurück.

Das bedeutet nicht, dass wir dogmatisch jede Funktion oder jedes Projekt unter die Maxime der Datensouveränität stellen. Sondern dass wir bewusst abwägen: Welche Daten sind kritisch, wo brauchen wir maximale Hoheit – und wo genügt pragmatische Integration?

Begeisterung für Open Source

Unsere erste Liebe gehört nach wie vor Open Source. Warum? Weil Open Source Unabhängigkeit und Sicherheit bedeutet. Freiheit, Systeme zu verstehen, anzupassen und – wenn es hart auf hart kommt –selbst weiterzubetreiben. Für uns begann diese Geschichte früh: In den 2000ern stellte ein Hersteller das CMS ein, das wir damals einsetzten. Wir mussten für unsere Kunden kostenfreie Migrationen stemmen. Eine schmerzhafte Erfahrung – und der Beginn unserer Reise mit TYPO3.

TYPO3 war ein Augenöffner: Egal, was mit der Community passiert, wir behalten Zugriff auf die Daten. Wir können das System selbst betreiben, erweitern, anpassen. Diese Erfahrung prägt uns bis heute. Open Source ist für uns deshalb nicht nur ein Geschäftsmodell, sondern eine Überzeugung. Nicht, weil es „kostenlos“ ist oder weil man es ideologisch „muss“ – sondern weil es Unternehmen die Freiheit gibt, souveräne Entscheidungen zu treffen.

Und es begeistert uns immer wieder, wie leistungsfähig Open-Source-Produkte geworden sind. Ob Content-Management, Automatisierung oder Kollaboration: Für viele Probleme gibt es heute Open-Source-Lösungen, die es locker mit den großen internationalen Playern aufnehmen können.

Wo wir abwägen: Praxisbeispiele

Die Realität ist nie schwarz-weiß. Zwei Beispiele aus unserer Arbeit verdeutlichen das:

• Fegime Extranet: Ein Extranet, in dem hochkritische Marktdaten zwischen verschiedenen Playern ausgetauscht werden. Ein SharePoint-Setup wäre technisch möglich gewesen – aber zu unflexibel, zu wenig souverän. Hier war ein individuelles Open-Source-Extranet die richtige Wahl.
• Marketing Automation: Ganz anders die Welt der Marketing-Automatisierung. Wenn ein Unternehmen bereits Salesforce einsetzt, ist die Marketing Cloud oft sinnvoller als Mautic – einfach, weil die Integration nahtlos ist. Mautic ist gut, aber in diesem Szenario nicht die optimale Wahl.

Das Entscheidende ist: Wir wägen ab. Wir schauen, welche Datenströme kritisch sind, welche Freiheitsgrade notwendig sind und wo Pragmatismus wichtiger ist als Ideologie.

Typische Missverständnisse im Mittelstand

In Gesprächen mit Entscheidern begegnen uns zwei Irrtümer besonders häufig:

1. Alles oder nichts: Entweder totale Kontrolle oder totale Abhängigkeit. Doch die Realität ist ein Kontinuum, und genau dort liegt die Chance.
2. Souveränität als Verhinderer: Viele denken, digitale Souveränität heißt Einschränkung – „das Tool dürfen wir nicht nutzen“. In Wahrheit ist es umgekehrt: Souveränität eröffnet neue Möglichkeiten, macht Datenströme flexibler und schafft mehr Handlungsspielraum.

Warum punkt.de der richtige Partner ist

Unsere Haltung zur digitalen Souveränität ist nicht aus der Mode geboren, sondern aus Erfahrung. Schon vor über 20 Jahren haben wir gelernt, was passiert, wenn man sich zu sehr auf proprietäre Anbieter verlässt.

Seitdem begleiten wir Unternehmen dabei, souverän mit ihren Daten zu bleiben – mit Open Source, mit europäischen Lösungen, aber auch mit internationalen Tools, wenn es die beste Entscheidung ist. Entscheidend ist nicht die Ideologie, sondern die Freiheit des Unternehmens, jederzeit handlungsfähig zu sein.

Blick in die Zukunft

Ich bin überzeugt: In den nächsten fünf bis zehn Jahren wird digitale Souveränität noch relevanter werden. Regulatorische Anforderungen werden steigen, Märkte werden strengere Vorgaben machen, und spätestens beim Einsatz von KI wird klar: Nur wer seine Daten souverän beherrscht, kann innovativ bleiben.

Für den Mittelstand bedeutet das: Digitale Souveränität ist kein Nischenthema. Sie ist eine strategische Aufgabe.

Fazit

Digitale Souveränität ist kein Dogma, kein Verzichtsprojekt und kein Trend. Sie ist die Fähigkeit, bewusst Entscheidungen zu treffen und Daten so zu behandeln, dass man heute und in Zukunft handlungsfähig bleibt.

Bei punkt.de leben wir diese Haltung seit über 20 Jahren. Wir denken zuerst in Open Source, dann europäisch, und wir greifen zu internationalen Lösungen, wenn es sinnvoll ist. Immer mit einem Ziel: unseren Kunden die Freiheit zu geben, ihre Daten im Griff zu behalten – und damit souverän in die digitale Zukunft zu gehen.

Es ist unschwer zu erkennen, dass die meisten Anbieter aus den USA stammen und in vielen Fällen auf die eigene Cloud-Infrastruktur setzen. Für jedes Unternehmen, dem seine Unabhängigkeit wichtig ist und das gerade bei sensiblen Daten wie Login- oder Passwortinformationen ungern auf amerikanische Unternehmen vertrauen möchte, können wir mit Keycloak eine echte Alternative bieten.

Keycloak ist Open Source und äußerst flexibel, was seine Funktionen und die Möglichkeiten der Integration betrifft. Als „Schweizer Taschenmesser” im IAM-Bereich nutzt Keycloak Standardprotokolle (OpenID Connect, OAuth 2.0, SAML 2.0) und unterstützt eine Federation mit gängigen Verzeichnisdiensten wie LDAP oder Active Directory (AD). Auch Social-Login-Optionen sind vorhanden.

Echte Souveränität als Unternehmen leben – Vendor-Lock-In verhindern!

Nicht nur die Verwaltung sensibler Daten ist bei US-Firmen oft nicht gut aufgehoben, auch das klassische Vendor-Lock-in-Problem wird von Unternehmen zunehmend als solches erkannt. Bei der Entscheidung für oder gegen eine proprietäre Lösung großer Anbieter sollte dies immer abgewogen werden. Denn nach einer tiefen Integration der entsprechenden IAM-Lösung ist es oft zu spät und man ist den Anbietern und ihrer Preispolitik ausgeliefert.

Keycloak geht hier einen anderen Weg: Die Entwicklung von Keycloak liegt mittlerweile bei der Cloud Native Computing Foundation (CNCF), die zur Linux Foundation gehört. Die CNCF ist auch durch Projekte wie Kubernetes bekannt. Auf diesem Weg wird garantiert, dass das Projekt Open Source bleibt und plattformagnostisch betrieben werden kann. (Siehe auch Charter, CNCF: https://github.com/cncf/foundation/blob/main/charter.md.) Wo Keycloak betrieben wird, wo Ihre Daten liegen und wer die Anwendung betreut, entscheiden Sie als Unternehmen.

Wir von der punkt.de haben ein eigenes Team aus Spezialistinnen und Spezialisten aufgebaut, das bereits zahlreiche IAM-Lösungen entwickelt hat und auch gerne für Sie betreibt. Ob in unserer oder der eigenen Infrastruktur ist dabei für uns egal. Wir beraten Sie gerne.

Unser Fazit für IAM Lösungen

Wenn Sie als Unternehmen einen Weg suchen, Souveränität in Bezug auf Ihre Daten und Anbieter von Softwarelösungen zu leben, dann sind Sie bei uns genau richtig. Mit Keycloak bieten wir Ihnen eine IAM-Lösung, die keine Wünsche offen lässt und Ihnen die Kontrolle gibt. Auch der von uns entwickelte Code gehört am Ende Ihnen.