Sicherung Ihrer Dolibarr-Installation: Bewährte Vorgehensweisen

Cybersicherheit · Open-Source-ERP-System •

Seien wir ehrlich: Sicherheit gehört selten zu den Themen, die uns morgens begeistern. Wir erstellen lieber Angebote, bearbeiten Rechnungen und kümmern uns um Kundenanfragen. Doch wenn etwas schiefgeht – ein gehacktes Konto, verschwundene Daten, Ransomware, die alles verschlüsselt –, bereuen wir bitter, uns nicht etwas mehr Zeit dafür genommen zu haben.

Das Problem mit Software wie Dolibarr ist, dass sie wirklich alles zentralisiert, was für Ihr Unternehmen wichtig ist: Ihre Kundendaten, Ihre Rechnungen, Ihre Buchhaltung, manchmal sogar Ihre Personaldaten. Es ist der digitale Tresor Ihres Unternehmens. Nur ist dieser Tresor standardmäßig nicht doppelt gesichert. Sie müssen ihn selbst sichern.

Die gute Nachricht? Sie müssen kein Cybersicherheitsexperte sein. Die meisten wirklich wirksamen Maßnahmen erfordern nur wenige, naheliegende Anpassungen, die ich Ihnen Schritt für Schritt erläutern werde. Am Ende dieses Artikels verfügen Sie über einen klaren Leitfaden zur Absicherung Ihrer Dolibarr-Installation, egal ob Sie diese auf Shared Hosting, einem VPS oder Ihrem eigenen Server betreiben.

Macht es euch bequem, los geht's.

Warum Sie die Sicherheit Ihres ERP-Systems niemals vernachlässigen sollten

Bevor wir ins Detail gehen, sollten wir uns dreißig Sekunden Zeit nehmen, um die Tragweite der Situation vollständig zu erfassen. Denn solange wir die Risiken nicht verstehen, neigen wir dazu, Dinge aufzuschieben.

Ein Website-Hack ist ärgerlich. Ein ERP-Hack ist etwas ganz anderes. Denken Sie nur an all die Daten in Ihrem Dolibarr-System: Kundendaten und -historie, Rechnungsbeträge, Margen, Lieferantenkonditionen und vielleicht sogar Mitarbeiterdaten. Kurz gesagt: persönliche und strategische Daten , die in den falschen Händen teuer zu stehen kommen können – finanziell, aber auch in Bezug auf Reputation und DSGVO-Konformität.

Und anders als Sie vielleicht denken, zielen diese Angriffe fast nie persönlich auf Sie ab. Es handelt sich um Bots, die das Internet den ganzen Tag lang nach der kleinsten Sicherheitslücke durchsuchen: einer ungeschützten Anmeldeseite, veralteter Software oder einer leicht zugänglichen Konfigurationsdatei. Weist Ihr System eine dieser Schwachstellen auf, ist es nur eine Frage der Zeit, bis sie entdeckt wird.

Alles beginnt mit dem Server.

Man neigt dazu, Dolibarr vorschnell zu konfigurieren. Das ist ein Fehler. Wenn der Rechner, auf dem Ihr ERP-System läuft, Sicherheitslücken aufweist, sind alle Ihre Bemühungen um die Anwendung vergebens. Es ist, als würde man eine verstärkte Tür an einem Haus mit weit geöffneten Fenstern anbringen.

Die richtige Unterkunft auswählen

Ihr Handlungsspielraum hängt maßgeblich davon ab, wo Dolibarr gehostet wird. Beim Shared Hosting delegieren Sie einen Großteil der Wartung an Ihren Anbieter, haben aber wenig Einfluss auf die Feinabstimmung. Auf einem VPS oder dedizierten Server ist es genau umgekehrt: volle Kontrolle, aber auch volle Verantwortung. Unabhängig von Ihrer Wahl sollten Sie einen seriösen Hosting-Anbieter bevorzugen, der kostenlose SSL-Zertifikate, automatische Backups und idealerweise eine Anwendungsfirewall anbietet.

Halten Sie alles gewissenhaft auf dem neuesten Stand.

Ich kann es nicht genug betonen: Die meisten Hacks nutzen Sicherheitslücken aus, die bereits behoben wurden , auf Servern, die niemand aktualisiert hat. Betriebssystem, Webserver, PHP, Datenbank: Alles muss auf dem neuesten Stand sein. Auf einem Debian- oder Ubuntu-Linux-Server genügt dafür die regelmäßige Ausführung eines einzigen Befehls.

Prüfen Sie außerdem, ob Sie eine PHP-Version verwenden, die noch unterstützt wird. Ältere Versionen erhalten keine Patches mehr und können Sie unter Umständen sogar daran hindern, Dolibarr zu aktualisieren – ironisch, nicht wahr?

Ein paar PHP-Einstellungen, die alles verändern

Noch ein letzter Hinweis zur Serverseite: Denken Sie daran, die Fehleranzeige im Produktivbetrieb zu deaktivieren. Eine PHP-Fehlermeldung auf dem Bildschirm ist für Angreifer eine wahre Fundgrube an Informationen. Die grundlegenden Einstellungen in Ihrer php.ini- Datei sehen folgendermaßen aus:

Sie protokollieren Fehler, um sie zu diagnostizieren, ohne sie jemals öffentlich preiszugeben. Und dabei verbergen Sie auch die PHP-Version.

Dolibarr absperren: Wichtige Schritte, die Sie beachten sollten

Läuft der Server einwandfrei? Perfekt, dann kümmern wir uns jetzt um die Anwendung selbst. Ein paar Dolibarr-spezifische Anpassungen machen einen großen Unterschied und dauern nur wenige Minuten.

Schützen Sie die Konfigurationsdatei

Die Datei conf.php im Verzeichnis htdocs/conf/ enthält die Zugangsdaten für Ihre Datenbank. Sie ist wohl die sensibelste Datei der gesamten Installation. Sie darf ausschließlich vom Benutzer, der den Webserver betreibt, gelesen werden.

Lassen Sie das Installationsskript niemals zugänglich.

Das ist ein häufiger Fehler. Nach der Installation (oder einem Update) muss der Installationsordner gesperrt werden. Andernfalls könnte jeder den Installationsassistenten erneut starten und wieder Zugriff auf Ihr Dolibarr-System erhalten. Glücklicherweise verfügt die Software über eine Sicherheitsvorkehrung: eine einfache Sperrdatei.

Solange diese Datei existiert, ist der Zugriff auf das Installationsprogramm blockiert. Überprüfen Sie daher nach jedem Update, ob diese Datei vorhanden ist. Vorsichtige Benutzer löschen den Installationsordner nach Abschluss der Installation einfach.

Bewahren Sie die Dokumente außer Sichtweite auf.

Dolibarr speichert Ihre Anhänge und generierten Dateien in einem Datenverzeichnis. Idealerweise sollte sich dieses Verzeichnis außerhalb des Web-Root-Verzeichnisses befinden , sodass es nicht durch Erraten einer URL im Browser aufgerufen werden kann. Überprüfen Sie den Parameter `$dolibarr_main_data_root` in Ihrer Konfiguration: Er sollte auf einen nicht-öffentlichen Speicherort verweisen.

HTTPS: heute das absolute Minimum

Wir schreiben das Jahr 2026, und es gibt schlichtweg keine Entschuldigung mehr dafür, Passwörter unverschlüsselt über das Netzwerk zu übertragen. Ohne HTTPS kann jeder im selben WLAN-Netzwerk wie Ihr Kollege dessen Anmeldedaten abfangen. So einfach – und so gravierend – ist das.

Dank Let's Encrypt ist die Installation eines Zertifikats jetzt kostenlos und nahezu automatisch . Auf den meisten Servern installiert und erneuert das Certbot-Tool das Zertifikat automatisch, ohne dass Sie sich darum kümmern müssen.

Aber Vorsicht: Die Installation eines Zertifikats allein genügt nicht. Sie müssen zusätzlich alle Verbindungen auf HTTPS umstellen ; andernfalls wird ein Teil des Datenverkehrs unverschlüsselt übertragen. Konfigurieren Sie dazu eine automatische Weiterleitung von HTTP zu HTTPS. Dolibarr bietet mit MAIN_FORCE_HTTPS sogar eine interne Einstellung , die die Verschlüsselung auf Anwendungsebene erzwingt. Aktivieren Sie diese zusammen mit sicheren Cookies.

Starke Passwörter und Authentifizierung

Die Anmeldeseite ist der wichtigste Einstiegspunkt. Hier konzentrieren sich die meisten automatisierten Angriffe. Ihre Absicherung ist wahrscheinlich die effektivste Maßnahme, die in diesem Artikel behandelt wird.

Schwache Passwörter gehören der Vergangenheit an.

Dolibarr bietet eine Passwortrichtlinie, die Sie im Administrationsbereich konfigurieren können: Mindestlänge, Großbuchstaben, Zahlen und Sonderzeichen. Aktivieren Sie diese Funktion unbedingt. Ein sicheres Passwort ist mindestens zwölf Zeichen lang und enthält keine leicht zu erratenden Informationen wie Geburtsdatum oder Firmenname.

•      Vermeiden Sie die Verwendung von Standardpasswörtern und Passwörtern, die bereits bei anderen Diensten verwendet wurden.

•      Ermutigen Sie Ihre Benutzer, einen Passwortmanager zu verwenden – eine Änderung der Gewohnheit löst 90 % des Problems.

•      Ändern Sie das Administratorpasswort sofort nach der Installation, ohne Ausnahme.

Benennen Sie das Konto in „admin“ um.

Bots, die versuchen, sich unerlaubt anzumelden, priorisieren die häufigsten Benutzernamen, und „admin“ steht ganz oben auf der Liste. Indem Sie Ihrem Administratorkonto einen eindeutigen Namen geben, erschweren Sie ihnen die Arbeit erheblich. Eine einfache, aber bemerkenswert wirksame Maßnahme.

Aktivieren Sie die Zwei-Faktor-Authentifizierung.

Wenn Sie sich nur eine wichtige Maßnahme merken sollten, dann diese: Zwei-Faktor-Authentifizierung (2FA) bedeutet, dass selbst bei einem Passwortleck der Angreifer ausgesperrt bleibt, da ihm der zweite, auf Ihrem Smartphone generierte Code fehlt. Dolibarr unterstützt dies durch Module, die mit gängigen Authentifizierungsanwendungen kompatibel sind. Aktivieren Sie 2FA mindestens für alle Administratorkonten.

Brutale Gewaltangriffe unterbrechen

Begrenzen Sie die Anzahl fehlgeschlagener Anmeldeversuche vor einer temporären Sperrung. Auf Serverebene überwacht ein Tool wie Fail2ban Protokolle und sperrt automatisch persistente IP-Adressen. Wenn Ihre Verwaltungsoberfläche nur von wenigen bekannten Adressen aus erreichbar sein muss, beschränken Sie den Zugriff darauf: Das ist noch effektiver.

Jedem seine gebührenden Rechte einräumen, nicht mehr und nicht weniger.

Sobald die Eingangstür verschlossen ist, gilt es, die Abläufe im Inneren zu regeln. Das Prinzip ist einfach und heißt: minimale Berechtigungen . Jeder Benutzer sollte nur Zugriff auf die Ressourcen haben, die er für seine Arbeit unbedingt benötigt.

In der Praxis hat Ihr Vertriebsmitarbeiter keinen Grund, auf das Buchhaltungssystem zuzugreifen, und Ihr Buchhalter sollte die Modulkonfiguration nicht verändern. Je mehr Rechte ein Konto hat, desto gefährlicher ist ein Missbrauch – deshalb vergeben wir Administratorrechte nicht leichtfertig.

Um die Sache zu vereinfachen, verwenden Sie Benutzergruppen . Anstatt Berechtigungen für jede Person einzeln festzulegen, definieren Sie Rollen (Vertrieb, Buchhaltung, Support usw.) und ordnen jeden Benutzer der richtigen Gruppe zu. Das ist konsistenter und deutlich weniger fehleranfällig.

Schutz des Reaktorkerns: die Datenbank

Alles in Dolibarr ist in der Datenbank gespeichert. Fällt die Datenbank aus, fällt alles aus. Allerdings genügen einige wenige Vorsichtsmaßnahmen, um die Sicherheit weitgehend zu gewährleisten:

•      Verwenden Sie ein Datenbankkonto, das ausschließlich für Dolibarr bestimmt ist und dessen Rechte sich ausschließlich auf die zugehörige Datenbank beschränken. Verwenden Sie unter keinen Umständen das „root“-Konto.

•      Wählen Sie für dieses Konto ein langes, zufälliges Passwort, das sich von allen Ihren anderen Konten unterscheidet.

•      Wenn sich Datenbank und Anwendung auf demselben Rechner befinden, sollten nur lokale Verbindungen zugelassen werden.

•      Wenn sich die Datenbank an einem entfernten Standort befindet, verschlüsseln Sie die Verbindung und beschränken Sie die IP-Adressen, die sich damit verbinden dürfen.

Durch diese Art der Zugriffsisolierung wird sichergestellt, dass eine potenzielle Kompromittierung der Anwendung nicht zu einer großflächigen Katastrophe eskaliert. Der Angreifer bleibt auf einen einzigen Raum beschränkt.

Halten Sie Dolibarr auf dem neuesten Stand, ohne es aufzuschieben

Dies ist zweifellos die wichtigste Maßnahme überhaupt … und gleichzeitig die, die am häufigsten übersehen wird. Jede neue Version von Dolibarr behebt Sicherheitslücken, die in früheren Versionen entdeckt wurden. Wer bei einer alten Version bleibt, lässt diese Sicherheitslücken ungeschützt.

Abonnieren Sie die offiziellen Sicherheitsmitteilungen des Projekts. Sobald eine Sicherheitslücke öffentlich wird, wird sie innerhalb weniger Tage in großem Umfang ausgenutzt: Schnelle Reaktionsfähigkeit ist daher entscheidend.

Eine Empfehlung noch: Testen Sie größere Updates vor der Produktivinstallation an einer Kopie Ihrer Systemumgebung. So vermeiden Sie unangenehme Überraschungen durch inkompatible Module. Und erstellen Sie natürlich unbedingt vorher ein vollständiges Backup – was uns zum nächsten Punkt bringt.

Abschließend sollten Sie Ihre Zusatzmodule berücksichtigen. Sie erweitern zwar die Funktionen von Dolibarr, stellen aber mit jedem zusätzlichen Modul auch eine Sicherheitslücke dar. Installieren Sie diese daher nur aus vertrauenswürdigen Quellen, halten Sie sie stets aktuell und deinstallieren Sie nicht mehr benötigte Module. Ein vom Entwickler nicht mehr weiterentwickeltes Modul wird zu einem stillen Risiko.

Backups: Ihre digitale Lebensversicherung

Eines ist klar: Kein Sicherheitssystem ist perfekt. Früher oder später kann etwas schiefgehen – ein Datenleck, Ransomware, ein Festplattenausfall oder einfach ein Fehler. In einem solchen Fall ist ein zuverlässiges Backup Ihre einzige Rettung.

Vorsicht vor der Falle: Ein vollständiges Dolibarr-Backup besteht aus zwei untrennbar miteinander verbundenen Elementen – dem Datenbankinhalt UND dem Dokumentenverzeichnis. Wird nur eines von beiden gesichert, führt dies zu einer fehlerhaften Wiederherstellung. Das Exportieren der Datenbank über die Kommandozeile ist denkbar einfach:

Beachten Sie die bekannte 3-2-1- Regel : Erstellen Sie drei Kopien Ihrer Daten auf zwei verschiedenen Speichermedien, wobei eine Kopie extern aufbewahrt werden sollte. So verlieren Sie selbst bei einem Brand oder einem Ransomware-Angriff, der Ihren Server verschlüsselt, nicht alles.

Behalten Sie im Auge, was passiert.

Die letzte, oft übersehene Ebene: die Überwachung. Denn ein Einbruch kann wochenlang unbemerkt bleiben, wenn niemand auf die richtigen Anzeichen achtet. Ohne Protokollierung tappen Sie im Dunkeln.

•      Aktivieren Sie die Protokollierung von Verbindungen und sensiblen Aktionen in Dolibarr.

•      Überwachen Sie Webserver- und Datenbankprotokolle, um verdächtige Zugriffsversuche zu erkennen.

•      Richten Sie Warnmeldungen ein, falls es zu einem sprunghaften Anstieg fehlgeschlagener Verbindungen oder Zugriffen von ungewöhnlichen Adressen kommt.

•      Diese Protokolle müssen lange genug aufbewahrt werden, um im Falle eines Vorfalls Ermittlungen durchführen zu können – unter Einhaltung der DSGVO.

Überwachungstools können all dies automatisieren und Sie in Echtzeit benachrichtigen. Sie müssen nicht mehr Ihre Tage mit dem Durchforsten von Protokollen verbringen: Sie richten das System einmal ein, und es benachrichtigt Sie, sobald ein Problem auftritt.

Ihre Dolibarr-Sicherheitscheckliste auf einen Blick

Wir haben schon viel besprochen. Damit Sie den Überblick behalten, können Sie Folgendes tun: Drucken Sie diese Liste aus, bewahren Sie sie griffbereit auf und haken Sie die erledigten Punkte ab.

✓    System, PHP, Webserver und Datenbank werden stets auf dem neuesten Stand gehalten.

✓    Fehleranzeige deaktiviert und Softwareversionen ausgeblendet.

✓    Installationsordner gesperrt ( install.lock- Datei ).

✓    Datei conf.php ist geschützt, und das Dokumentenverzeichnis befindet sich außerhalb des Web-Root-Verzeichnisses.

✓    SSL-Zertifikat installiert und HTTPS überall aktiviert.

✓    Starke Passwörter, umbenanntes Administratorkonto und aktivierte Zwei-Faktor-Authentifizierung.

✓    Schutz vor Brute-Force-Angriffen (Versuchsbegrenzung, Fail2ban).

✓    Die Berechtigungen wurden eingeschränkt und nicht benötigte Konten deaktiviert.

✓    Dedizierter Datenbank-Account mit eingeschränkten Rechten.

✓    Regelmäßige Datensicherungen (Datenbank + Dokumente), getestet und gemäß der 3-2-1-Regel.

✓    Protokollierung und Warnmeldungen sind eingerichtet.

Fragen, die mir häufig gestellt werden

Ist Dolibarr standardmäßig sicher?

Jein. Dolibarr wird nach bewährten Verfahren entwickelt und erhält regelmäßig Updates, die Basis ist also solide. Eine Standardinstallation bietet jedoch keinen optimalen Schutz: Sie müssen das Installationsskript absichern, HTTPS erzwingen, Berechtigungen konfigurieren und den Zugriff verwalten. Die Sicherheit hängt primär von Ihrer Umgebungskonfiguration ab.

Wie oft sollte Dolibarr aktualisiert werden?

Installieren Sie Sicherheitspatches umgehend nach deren Veröffentlichung und planen Sie regelmäßige kleinere Versionsaktualisierungen. Testen Sie größere Versionen zunächst anhand einer Sicherungskopie. Wichtig ist, offizielle Ankündigungen zu verfolgen, um schnell auf kritische Sicherheitslücken reagieren zu können.

Gemeinsam genutzter oder dedizierter Server für Dolibarr?

Shared Hosting eignet sich für kleine Unternehmen und delegiert einen Teil der Wartung, schränkt aber Ihre Kontrolle ein. Ein VPS oder dedizierter Server bietet Ihnen volle Kontrolle, bringt aber auch mehr Verantwortung mit sich. Letztendlich hängt alles von Ihren technischen Kenntnissen und Anforderungen ab. Gerade für Einsteiger ist ein guter, spezialisierter Shared-Hosting-Anbieter nach wie vor eine sinnvolle Wahl.

Was soll ich tun, wenn mein Dolibarr gehackt wurde?

Trennen Sie umgehend die Netzwerkverbindung zum Server, ändern Sie alle Passwörter, analysieren Sie die Protokolle, um den Angriffsweg nachzuvollziehen, und stellen Sie anschließend ein sauberes Backup von vor dem Angriff wieder her. Installieren Sie danach alle Patches und beheben Sie alle identifizierten Sicherheitslücken. Vergessen Sie nicht Ihre gesetzlichen Pflichten, die Behörden im Falle einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen.

Zusammenfassend lässt sich sagen: Sicherheit ist eine Gewohnheit.

Wenn Sie sich nur eine Sache merken sollten, dann diese: Dolibarr abzusichern ist keine einmalige Angelegenheit, sondern eine kontinuierliche Aufgabe . Gehärtete Server, erzwungenes HTTPS, aktivierte Zwei-Faktor-Authentifizierung, gut verteilte Zugriffsrechte, getestete Backups und installierte Updates: Jede zusätzliche Sicherheitsebene erschwert Angreifern das Leben und gibt Ihnen die Möglichkeit zu reagieren.

Die beste Vorgehensweise? Versuchen Sie nicht, alles an einem Tag zu erledigen. Gehen Sie die obige Checkliste noch einmal durch, beginnen Sie mit den zwei oder drei wichtigsten Maßnahmen – Updates, HTTPS und Zwei-Faktor-Authentifizierung – und gehen Sie dann in Ihrem eigenen Tempo vor. Wenn Sie noch heute damit beginnen, schützen Sie Ihr Unternehmen, Ihre Daten und das Vertrauen Ihrer Kunden.

Und du, wo stehst du? Schau dir dieses Wochenende deine Einstellungen genauer an, Checkliste in der Hand. Du wirst überrascht sein, wie weit du in nur einer Sitzung schon gekommen bist – und erleichtert, die Lücken geschlossen zu haben, bevor sie jemand anderes entdeckt.