
In der heutigen digitalen Wirtschaft ist der Schutz von Unternehmensdaten entscheidend – insbesondere wenn es um Ihre ERP- und CRM-Plattform geht. Dolibarr, eine beliebte Open-Source-ERP/CRM-Lösung, wird von KMU, Freiberuflern und Vereinen aufgrund ihrer Benutzerfreundlichkeit, Modularität und geringen Kosten häufig eingesetzt. Diese Flexibilität bringt jedoch Verantwortung mit sich: Die Sicherung Ihrer Dolibarr-Installation ist nicht optional – sie ist unerlässlich.
Egal ob Sie Dolibarr selbst hosten oder eine Cloud-Instanz verwenden – eine falsche Konfiguration, veraltete Systeme oder das Fehlen von Sicherheitsrichtlinien können zu schwerwiegenden Schwachstellen führen. Cyberangriffe betreffen nicht nur Großunternehmen – kleine Organisationen werden oft gezielt angegriffen, da sie als weniger geschützt gelten.
Dieser umfassende Leitfaden stellt Best Practices für die sichere Verwaltung Ihrer Dolibarr-Umgebung im Jahr 2025 vor. Wir behandeln die Serversicherheit, Anwendungskonfiguration, Netzwerkschutz, Benutzerzugriffsverwaltung, Wartung und gesetzliche Anforderungen.
Warum Sicherheit bei Dolibarr entscheidend ist
Dolibarr verwaltet geschäftskritische Funktionen wie Kundendaten, Buchhaltung, Lagerverwaltung und Projektsteuerung. Ein Datenleck oder -verlust kann bedeuten:
-
Rechtliche Konsequenzen bei Verstoß gegen Datenschutzgesetze
-
Finanzielle Verluste und Betriebsunterbrechungen
-
Reputationsschäden
-
Bußgelder wegen Verstößen gegen DSGVO, HIPAA oder PCI-DSS
Ein proaktiver Sicherheitsansatz schützt vor diesen Risiken und stärkt das Vertrauen Ihrer Nutzer.
Das richtige Hosting-Umfeld wählen
1. Sicheren Hosting-Anbieter wählen
Wenn Sie Dolibarr nicht selbst hosten, nutzen Sie einen Anbieter, der Folgendes bietet:
-
VPS oder dedizierte Server (kein Shared Hosting)
-
Regelmäßige Backups
-
Server-Firewalls
-
DDoS-Schutz
-
Netzwerksicherheitsaudits
Anbieter wie AWS, OVH oder DigitalOcean sind empfehlenswert.
2. Serversicherheit erhöhen
Wenn Sie Ihren Server selbst verwalten:
-
Verwenden Sie eine sichere Linux-Distribution (z. B. Debian, Ubuntu LTS)
-
Aktualisieren Sie System und Pakete regelmäßig
-
Deaktivieren Sie nicht benötigte Dienste
-
Installieren Sie fail2ban zum Schutz vor Brute-Force-Angriffen
-
Verwenden Sie UFW oder iptables zur Portsteuerung
3. HTTPS aktivieren
Sichern Sie Ihre Dolibarr-Instanz mit SSL/TLS-Zertifikaten ab (z. B. von Let’s Encrypt).
Vorteile:
-
Verschlüsselung der Datenübertragung
-
Schutz vor Session-Hijacking
-
Verbesserte Vertrauenswürdigkeit und SEO
Die Dolibarr-Anwendung absichern
4. Dolibarr aktuell halten
Installieren Sie regelmäßig die neueste stabile Version. Achten Sie auch auf die Kompatibilität und Pflege von Dolistore-Modulen.
5. Standardpfade und Einstellungen ändern
Nach der Installation:
-
Entfernen oder schützen Sie das Verzeichnis /install/
-
Verwenden Sie keine Standard-Benutzernamen
-
Nutzen Sie starke, individuelle Passwörter
Richten Sie zusätzlich ein:
-
Sicheres SMTP (TLS/SSL)
-
Korrekte Zeitzone und Sprache für Logs
6. Datei- und Ordnerrechte korrekt setzen
-
PHP-Dateien: 644
-
Ordner: 755
-
Sensible Dateien (conf.php): 600 oder 640
Deaktivieren Sie das Directory Listing mit .htaccess
.
7. Protokollierung und Audit-Logs aktivieren
Aktivieren Sie die integrierten Logs für:
-
Benutzeranmeldungen
-
Moduländerungen
-
Benutzeraktivitäten
Speichern Sie Logs für eine festgelegte Dauer und nutzen Sie logrotate zur Verwaltung.
Zugriffskontrolle für Benutzer
8. Rollenbasierte Zugriffskontrolle (RBAC)
Weisen Sie Rechte nach Rolle zu (z. B. Vertrieb, Buchhaltung, Lager). Prinzip der minimalen Rechte beachten.
-
Keine Adminrechte für Standardnutzer
-
Regelmäßige Rechteprüfung
-
Zugänge ehemaliger Nutzer sofort sperren
9. Sichere Passwortregeln durchsetzen
Dolibarr erlaubt Komplexitätsregeln:
-
Mindestens 12 Zeichen
-
Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen
-
Regelmäßiger Passwortwechsel (alle 90 Tage)
Zwei-Faktor-Authentifizierung (2FA) über Plugin oder Proxy empfehlen.
10. Login-Versuche begrenzen, Sessions überwachen
-
fail2ban gegen wiederholte Fehlversuche einsetzen
-
Session-Timeout nach 15 Min. Inaktivität
-
Inaktive Benutzer automatisch abmelden
Datenbank absichern
11. Sichere MySQL-/MariaDB-Konfiguration
-
Eigener DB-Nutzer mit eingeschränkten Rechten
-
Root-Remotezugriff deaktivieren
-
Nur localhost/Sockets nutzen
-
Starke Passwörter
12. Sensible Daten verschlüsseln
Dolibarr speichert einige Daten unverschlüsselt. Verschlüsseln Sie:
-
Backups
-
Mail-Logs
-
Konfigurationsdateien
Dateisysteme wie LUKS oder VeraCrypt nutzen.
13. Regelmäßige Backups und Wiederherstellungstests
Automatisieren Sie:
-
Tägliche SQL-Dumps
-
Wöchentliche Voll-Backups
-
Speicherung extern (S3, FTP, Cloud)
Testen Sie Wiederherstellungen regelmäßig.
Netzwerksicherheit
14. Firewall und Portbeschränkungen
Erlauben Sie nur benötigte Ports:
-
443 (HTTPS)
-
22 (SSH)
Blockieren Sie:
-
Unnötige Dienste
-
ICMP-Ping (optional)
-
Öffentliche Zugriffe auf interne Services
Nutzen Sie IDS wie Snort oder Suricata für mehr Kontrolle.
15. Web Application Firewall (WAF)
Schützen Sie sich vor:
-
SQL-Injection
-
XSS
-
Pfadmanipulation
Empfehlungen:
-
ModSecurity mit OWASP-Regeln
-
Cloudflare WAF
16. Reverse Proxy einsetzen
NGINX oder Apache als Reverse Proxy nutzen:
-
SSL-Handling auslagern
-
Anfragen filtern
-
Ratenbegrenzung aktivieren
Optional: Geo-Blocking konfigurieren.
Mail- und Kommunikationssicherheit
17. SMTP sicher konfigurieren
Vermeiden Sie PHP mail(). Nutzen Sie SMTP mit:
-
TLS/SSL-Verschlüsselung
-
Authentifizierung
-
SPF, DKIM, DMARC eingerichtet
18. Sicherheitswarnungen aktivieren
Integrieren Sie:
-
E-Mail-Benachrichtigungen
-
Slack oder Discord via Webhook
-
SMS für kritische Fehler
Datenschutz und Compliance
19. Einhaltung gesetzlicher Vorschriften
Dolibarr sollte DSGVO, CCPA, HIPAA entsprechen.
Maßnahmen:
-
Zustimmung zur Datennutzung
-
Datenminimierung
-
Löschrechte ermöglichen
20. Sicherheitsrichtlinie dokumentieren
Erstellen Sie ein fortlaufend gepflegtes Dokument:
-
Passwort- und Zugangsrichtlinien
-
Backup-Strategien
-
Notfallplan
Schulen Sie Ihre Mitarbeiter regelmäßig.
Wartung und Monitoring
21. Geplante Sicherheitsprüfungen
Regelmäßig durchführen:
-
Monatliche Updates
-
Vierteljährliche Schwachstellenscans
-
Jährliche Penetrationstests
22. Systemüberwachung
Tools:
-
Nagios, Zabbix, UptimeRobot
-
Logwatch
-
Cron-Fehlermeldungen
23. Staging-Umgebung nutzen
Updates und neue Module vorab testen – nie direkt in der Produktion.
Fazit
Die Absicherung von Dolibarr im Jahr 2025 geht über einfache Updates und starke Passwörter hinaus. Es erfordert ein ganzheitliches Konzept: Netzwerk, Konfiguration, Zugriffskontrolle, Datenschutz und Sensibilisierung.
Wenn Sie diese Best Practices befolgen, bleibt Ihre Dolibarr-Umgebung sicher, regelkonform und leistungsfähig – das Rückgrat Ihrer Unternehmensprozesse. Sicherheit ist kein einmaliger Akt – sondern ein kontinuierlicher Prozess zum Schutz Ihrer Daten und Ihrer Glaubwürdigkeit.