Website-Sicherheit klingt nach einem Thema für große Konzerne mit eigener IT-Abteilung. In Wirklichkeit trifft es kleine und mittlere Unternehmen mindestens genauso hart, oft sogar härter, weil hier selten jemand die Zeit hat, sich darum zu kümmern. Angriffe auf Websites laufen heute weitgehend automatisiert: Programme durchsuchen das Netz rund um die Uhr nach Seiten mit bekannten Schwachstellen und schlagen zu, sobald sie eine finden, ganz gleich ob dahinter ein Weltkonzern oder ein Handwerksbetrieb steht. Das Bundesamt für Sicherheit in der Informationstechnik zählte zuletzt rund 309.000 (BSI Lagebericht) neue Schadprogramm-Varianten pro Tag. Die gute Nachricht: Die wirksamsten Schutzmaßnahmen sind keine Geheimwissenschaft. Wer die Grundlagen kennt und konsequent umsetzt, senkt sein Risiko erheblich. Dieser Beitrag erklärt die fünf Grundpfeiler der Website-Sicherheit, zeigt die typischen Angriffe und fasst zusammen, was ein KMU praktisch tun sollte, ohne Fachchinesisch und ohne Panikmache.
Warum Website-Sicherheit auch KMU betrifft
Ein weit verbreiteter Irrtum lautet: Meine Website ist zu klein, um für Angreifer interessant zu sein. Dahinter steckt die Vorstellung, dass jemand gezielt entscheidet, eine bestimmte Seite anzugreifen. So funktioniert es aber meist nicht. Der Großteil der Angriffe ist automatisiert und ungezielt. Schadprogramme scannen breite Adressbereiche und prüfen, ob eine Seite eine bekannte Lücke hat, ein veraltetes System nutzt oder ein schwaches Passwort verwendet. Ob dahinter ein bekannter Name steckt, ist dabei zweitrangig. Für den Angreifer zählt nur, ob sich die Seite kapern lässt, um von dort aus Spam zu verschicken, weitere Rechner zu infizieren oder Besucher auf betrügerische Seiten umzuleiten.
Der Schaden trifft am Ende das Unternehmen. Eine gekaperte Website kann tagelang offline sein, Suchmaschinen können sie als unsicher markieren und aus den Ergebnissen verdrängen, Kundendaten können abfließen und der gute Ruf leidet. Für ein KMU, das über die Website Anfragen gewinnt oder verkauft, ist das kein Randproblem, sondern ein direkter Umsatzverlust. Hinzu kommt die Pflicht, mit personenbezogenen Daten sorgsam umzugehen. Wie das rechtlich sauber gelingt, vertieft unser Beitrag zur DSGVO-Website-Checkliste. Sicherheit und Datenschutz gehören dabei eng zusammen.
Warum gerade der Mensch die Schwachstelle ist
Die fünf Grundpfeiler der Website-Sicherheit
Die meisten erfolgreichen Angriffe auf Websites von KMU nutzen keine ausgefeilten Tricks, sondern schlicht vernachlässigte Grundlagen. Fünf Bausteine bilden zusammen ein solides Fundament: aktuelle Software, eine verschlüsselte Verbindung über HTTPS, funktionierende Backups, starke Zugänge und ein Vorfilter, der bekannte Angriffe abfängt. Keiner dieser Punkte ist für sich allein ausreichend, doch im Zusammenspiel senken sie das Risiko deutlich. Die folgenden Karten geben einen Überblick, bevor wir jeden Pfeiler einzeln durchgehen.
Updates
System, Themes und Erweiterungen aktuell halten. Die meisten Angriffe zielen auf längst bekannte und längst geschlossene Lücken.
HTTPS
Ein gültiges Zertifikat verschlüsselt die Verbindung. Ohne HTTPS warnen Browser sichtbar und das Vertrauen sinkt.
Backups
Regelmäßige, extern gespeicherte und getestete Sicherungen sind das Notfall-Netz, wenn doch einmal etwas schiefgeht.
Starke Zugänge
Lange, einzigartige Passwörter, Zwei-Faktor-Authentifizierung und möglichst wenige Konten mit hohen Rechten.
WAF
Eine Web Application Firewall filtert typische Angriffsmuster heraus, bevor sie die eigentliche Anwendung erreichen.
Monitoring
Regelmäßige Kontrolle von Erreichbarkeit und Auffälligkeiten sorgt dafür, dass Probleme früh bemerkt werden.
Pfeiler 1: Updates konsequent einspielen
Updates sind der unterschätzteste und zugleich wirksamste Schutz. Software besteht aus vielen Bausteinen: dem Content-Management-System, dem Design-Theme, Erweiterungen und den Programmiersprachen im Hintergrund. In all diesen Teilen werden regelmäßig Sicherheitslücken entdeckt und von den Herstellern durch Aktualisierungen geschlossen. Das Problem ist, dass mit der Veröffentlichung eines Updates auch die Lücke öffentlich bekannt wird. Angreifer wissen dann genau, wo sie ansetzen müssen, und suchen gezielt nach Seiten, die das Update noch nicht eingespielt haben. Eine veraltete Erweiterung ist damit eine offene Tür mit Wegweiser.
In der Praxis scheitert es selten am Wissen, sondern am Alltag: Niemand fühlt sich zuständig, Aktualisierungen wirken lästig, und die Angst, dass ein Update etwas kaputt macht, führt zum Aufschieben. Genau hier hilft ein klarer Ablauf. Updates gehören eingeplant, idealerweise zuerst in einer Testumgebung geprüft und erst dann auf der Live-Seite eingespielt, immer mit einem frischen Backup davor. Wer diese laufende Pflege nicht selbst leisten kann oder will, gibt sie in gute Hände. Wie eine verlässliche Website-Betreuung aussieht, die genau diese Aufgaben übernimmt, beschreiben wir auf einer eigenen Seite.
Die goldene Regel für Updates
Pfeiler 2: HTTPS als Selbstverständlichkeit
HTTPS sorgt dafür, dass die Verbindung zwischen dem Browser des Besuchers und Ihrem Server verschlüsselt ist. Ohne diese Verschlüsselung könnten Daten wie ein Kontaktformular oder ein Login auf dem Weg mitgelesen oder verändert werden. Erkennbar ist HTTPS am Schloss-Symbol in der Adressleiste und am Präfix https. Inzwischen läuft über 95 Prozent (Google Transparency Report) des Browser-Traffics verschlüsselt, und Browser warnen bei unverschlüsselten Seiten sichtbar. Eine Seite ohne HTTPS wirkt heute nicht nur technisch veraltet, sondern schreckt Besucher aktiv ab und kann Anfragen kosten.
Die gute Nachricht: HTTPS einzurichten ist kein Kostenfaktor mehr. Über gemeinnützige Zertifizierungsstellen lassen sich kostenlose Zertifikate ausstellen und automatisch erneuern, was bei einem ordentlichen Webhosting meist bereits eingerichtet ist. Wichtig ist, dass wirklich alle Seiten über HTTPS ausgeliefert werden, dass Aufrufe der unverschlüsselten Adresse automatisch umgeleitet werden und dass keine einzelnen Inhalte wie Bilder oder Schriften noch unverschlüsselt nachgeladen werden. Solche gemischten Inhalte lösen sonst Warnungen aus und untergraben die Verschlüsselung.
Praxis-Tipp: Zertifikat im Blick behalten
Pfeiler 3: Backups als Notfall-Netz
Kein Schutz ist lückenlos, und genau deshalb sind Backups so wichtig. Ein Backup ist eine vollständige Sicherung Ihrer Website, mit der sich ein früherer Zustand wiederherstellen lässt. Es hilft nicht nur nach einem Angriff, sondern auch, wenn ein Update schiefgeht, eine Datei versehentlich gelöscht wird oder der Server ausfällt. Entscheidend sind dabei drei Eigenschaften, die oft vergessen werden. Ein Backup muss regelmäßig entstehen, es muss an einem anderen Ort als die Website selbst liegen, und es muss sich nachweislich wiederherstellen lassen. Ein Backup, das nur auf demselben Server liegt, ist bei einem ernsten Vorfall oft genauso betroffen wie die Seite.
- Automatisch und regelmäßig, nicht nur einmal von Hand angelegt
- Extern gespeichert, getrennt vom Webserver der Seite
- Mehrere Zeitstände, damit man auf einen sauberen Punkt zurück kann
- Getestet, also mindestens einmal probeweise wiederhergestellt
- Auch die Datenbank umfassend, nicht nur die Dateien
- Dokumentiert, damit im Ernstfall klar ist, wer was tut
Der häufigste Fehler ist, sich auf ein Backup zu verlassen, das noch nie getestet wurde. Erst im Ernstfall stellt sich dann heraus, dass die Sicherung unvollständig ist oder sich nicht einspielen lässt. Ein Backup ist nur so viel wert wie die Gewissheit, dass es funktioniert. Deshalb gehört ein gelegentlicher Testlauf fest dazu. Wer eine Seite überarbeiten oder umziehen lässt, sollte Backups ohnehin von Anfang an mitdenken, wie wir im Beitrag zum Website-Relaunch zeigen.
Pfeiler 4: Starke Zugänge schaffen
Viele Übernahmen von Websites beginnen nicht mit einer technischen Lücke, sondern mit einem erratenen oder gestohlenen Passwort. Automatisierte Programme probieren in kurzer Zeit tausende gängige Kombinationen durch oder nutzen Zugangsdaten, die bei früheren Datenlecks abgeflossen sind. Ein kurzes oder mehrfach verwendetes Passwort ist damit eine der größten Schwachstellen überhaupt. Abhilfe schaffen lange, einzigartige Passwörter, die nirgendwo sonst zum Einsatz kommen, am besten verwaltet in einem Passwortspeicher, damit man sie sich nicht merken muss.
Den größten zusätzlichen Schutz bietet die Zwei-Faktor-Authentifizierung. Dabei genügt das Passwort allein nicht mehr, sondern es wird ein zweiter Faktor abgefragt, etwa ein Einmalcode aus einer App. Selbst wenn ein Passwort in falsche Hände gerät, bleibt der Zugang so verschlossen. Genauso wichtig ist, die Zahl der Konten mit weitreichenden Rechten klein zu halten. Nicht jeder, der Inhalte pflegt, braucht die volle Verwaltungsberechtigung. Weniger Konten mit hohen Rechten bedeuten weniger Angriffsfläche.
Häufig übersehen: alte Konten und Standardzugänge
Pfeiler 5: WAF als Vorfilter
Eine Web Application Firewall, kurz WAF, ist eine Schutzschicht, die zwischen den Besuchern und Ihrer Website sitzt. Sie prüft eingehende Anfragen und filtert bekannte Angriffsmuster heraus, bevor sie die eigentliche Anwendung erreichen. Man kann sie sich wie einen Türsteher vorstellen, der offensichtlich schädliche Anfragen abweist, während normale Besucher ungehindert durchkommen. Eine WAF fängt viele automatisierte Angriffe ab, etwa Versuche, Schadcode einzuschleusen oder massenhaft Login-Kombinationen durchzuprobieren, und reduziert damit die Last, die überhaupt bis zur Website vordringt.
Wichtig ist die richtige Einordnung: Eine WAF ersetzt die anderen Pfeiler nicht, sondern ergänzt sie. Sie ist kein Grund, Updates zu vernachlässigen, denn sie kann nur Muster erkennen, die ihr bekannt sind. Als zusätzliche Schicht ist sie jedoch sehr wertvoll, gerade weil sie einen Großteil des automatisierten Grundrauschens abfängt, dem jede Website im Netz ausgesetzt ist. Ob eine WAF sinnvoll ist und in welcher Form, hängt vom Hosting und vom Schutzbedarf ab und lässt sich gut im Rahmen einer laufenden Betreuung einrichten und pflegen.
Typische Angriffe und wie man sich schützt
Wer die häufigsten Angriffsarten kennt, versteht besser, warum die fünf Pfeiler so wirken. Die meisten Angriffe auf KMU-Websites lassen sich einigen wiederkehrenden Mustern zuordnen. Die folgende Übersicht erklärt jeweils kurz, wie ein Angriff abläuft und welche Grundlage am besten davor schützt. Sie ersetzt keine individuelle Prüfung, macht aber deutlich, dass die Basismaßnahmen keine Theorie sind, sondern gegen ganz konkrete Bedrohungen wirken.
| Angriff | So läuft er ab | Bester Schutz |
|---|---|---|
| Ausnutzen bekannter Lücken | Automatische Suche nach veralteter Software mit öffentlich bekannter Schwachstelle | Konsequente Updates von System und Erweiterungen |
| Passwort-Angriff | Massenhaftes Durchprobieren von Passwörtern oder Nutzung geleakter Zugangsdaten | Starke, einzigartige Passwörter und Zwei-Faktor |
| Schadcode einschleusen | Manipulierte Eingaben, um Datenbank oder Seite zu unterwandern | Aktuelle Software plus WAF als Vorfilter |
| Schadsoftware und Defacement | Veränderte Inhalte, Spam-Seiten oder Weiterleitungen auf der gekaperten Seite | Updates, starke Zugänge und regelmäßiges Monitoring |
| Überlastung durch Anfragen | Eine Flut automatisierter Anfragen legt die Seite lahm | Schutzschicht beim Hosting und WAF |
| Phishing über Ihre Marke | Betrüger nutzen Ihren Namen für gefälschte Seiten oder Mails | HTTPS, Aufklärung und wachsames Monitoring |
Was KMU praktisch tun sollten
Aus den Grundlagen lässt sich eine überschaubare Liste ableiten, die ein KMU ohne eigene IT-Abteilung umsetzen oder in Auftrag geben kann. Der Kern ist nicht, alles auf einmal perfekt zu machen, sondern die wichtigsten Punkte verlässlich und wiederkehrend zu erledigen. Sicherheit ist kein einmaliges Projekt, das man abhakt, sondern eine Gewohnheit, die im Betrieb verankert sein muss. Die folgende Reihenfolge hat sich in der Praxis bewährt (Projekterfahrung).
- HTTPS für die gesamte Seite sicherstellen und Weiterleitungen prüfen
- Automatische, externe Backups einrichten und einmal probeweise wiederherstellen
- Alle Zugänge auf starke, einzigartige Passwörter umstellen und Zwei-Faktor aktivieren
- Einen festen Rhythmus für Updates etablieren, immer mit Backup davor
- Nicht benötigte Konten, Erweiterungen und alte Daten entfernen
- Eine Schutzschicht oder WAF prüfen, passend zum Hosting
- Erreichbarkeit und Auffälligkeiten regelmäßig überwachen
- Zuständigkeit klären, damit im Ernstfall jemand handelt
Der wichtigste Gedanke
Für viele KMU ist der realistischste Weg, diese Aufgaben in eine laufende Betreuung zu geben, statt sie zwischen Tür und Angel selbst zu erledigen. So bleibt die Verantwortung klar, Updates und Backups passieren zuverlässig, und im Ernstfall gibt es einen Ansprechpartner, der schnell reagiert. Welche weiteren Bausteine zu einer verlässlichen Website gehören, zeigen unsere Leistungen im Überblick. Sicherheit ist am Ende kein Produkt, das man kauft, sondern ein Prozess, den man pflegt, und genau darin liegt die eigentliche Arbeit.