Zum Inhalt springen
Website, Shop & Sichtbarkeit aus einer Hand
Sicherheit

Website-Sicherheit: Grundlagen für KMU

Website-Sicherheit für KMU verständlich erklärt: Updates, HTTPS, Backups, starke Zugänge und WAF, typische Angriffe und was Sie praktisch tun sollten.

12 Min. Lesezeit Website-SicherheitHTTPSBackupsUpdatesKMU

Website-Sicherheit klingt nach einem Thema für große Konzerne mit eigener IT-Abteilung. In Wirklichkeit trifft es kleine und mittlere Unternehmen mindestens genauso hart, oft sogar härter, weil hier selten jemand die Zeit hat, sich darum zu kümmern. Angriffe auf Websites laufen heute weitgehend automatisiert: Programme durchsuchen das Netz rund um die Uhr nach Seiten mit bekannten Schwachstellen und schlagen zu, sobald sie eine finden, ganz gleich ob dahinter ein Weltkonzern oder ein Handwerksbetrieb steht. Das Bundesamt für Sicherheit in der Informationstechnik zählte zuletzt rund 309.000 (BSI Lagebericht) neue Schadprogramm-Varianten pro Tag. Die gute Nachricht: Die wirksamsten Schutzmaßnahmen sind keine Geheimwissenschaft. Wer die Grundlagen kennt und konsequent umsetzt, senkt sein Risiko erheblich. Dieser Beitrag erklärt die fünf Grundpfeiler der Website-Sicherheit, zeigt die typischen Angriffe und fasst zusammen, was ein KMU praktisch tun sollte, ohne Fachchinesisch und ohne Panikmache.

Website-Sicherheit: die fünf GrundpfeilerAngriffsfläche verkleinern, bevor ein Angriff Schaden anrichtet1UpdatesAktuell haltenSystem, Themes undPlugins zeitnaheinspielenLücken schließen2HTTPSVerschlüsseltGültiges Zertifikat,sichere Verbindungfür jede SeiteVertrauen zeigen3BackupsWiederherstellbarRegelmäßig, externgespeichert undgetestetNotfall-Netz4ZugängeTüren sichernStarke Passwörter,Zwei-Faktor, wenigeKontenZugriff begrenzen5WAFVorfilterAngriffe abwehren,bevor sie die SeiteerreichenAngriffe filternSicherheit ist kein Produkt, sondern ein laufender ProzessUpdates, HTTPS, Backups, starke Zugänge und ein Vorfilter greifen zusammen

Warum Website-Sicherheit auch KMU betrifft

Ein weit verbreiteter Irrtum lautet: Meine Website ist zu klein, um für Angreifer interessant zu sein. Dahinter steckt die Vorstellung, dass jemand gezielt entscheidet, eine bestimmte Seite anzugreifen. So funktioniert es aber meist nicht. Der Großteil der Angriffe ist automatisiert und ungezielt. Schadprogramme scannen breite Adressbereiche und prüfen, ob eine Seite eine bekannte Lücke hat, ein veraltetes System nutzt oder ein schwaches Passwort verwendet. Ob dahinter ein bekannter Name steckt, ist dabei zweitrangig. Für den Angreifer zählt nur, ob sich die Seite kapern lässt, um von dort aus Spam zu verschicken, weitere Rechner zu infizieren oder Besucher auf betrügerische Seiten umzuleiten.

Der Schaden trifft am Ende das Unternehmen. Eine gekaperte Website kann tagelang offline sein, Suchmaschinen können sie als unsicher markieren und aus den Ergebnissen verdrängen, Kundendaten können abfließen und der gute Ruf leidet. Für ein KMU, das über die Website Anfragen gewinnt oder verkauft, ist das kein Randproblem, sondern ein direkter Umsatzverlust. Hinzu kommt die Pflicht, mit personenbezogenen Daten sorgsam umzugehen. Wie das rechtlich sauber gelingt, vertieft unser Beitrag zur DSGVO-Website-Checkliste. Sicherheit und Datenschutz gehören dabei eng zusammen.

Warum gerade der Mensch die Schwachstelle ist

Laut dem Verizon Data Breach Investigations Report war bei rund 68 Prozent (Verizon DBIR) der untersuchten Sicherheitsvorfälle eine menschliche Komponente beteiligt, etwa ein schwaches Passwort, ein unbedachter Klick oder eine übersehene Aktualisierung. Technik allein reicht also nicht. Es geht ebenso um klare Abläufe und gute Gewohnheiten im Alltag.

Die fünf Grundpfeiler der Website-Sicherheit

Die meisten erfolgreichen Angriffe auf Websites von KMU nutzen keine ausgefeilten Tricks, sondern schlicht vernachlässigte Grundlagen. Fünf Bausteine bilden zusammen ein solides Fundament: aktuelle Software, eine verschlüsselte Verbindung über HTTPS, funktionierende Backups, starke Zugänge und ein Vorfilter, der bekannte Angriffe abfängt. Keiner dieser Punkte ist für sich allein ausreichend, doch im Zusammenspiel senken sie das Risiko deutlich. Die folgenden Karten geben einen Überblick, bevor wir jeden Pfeiler einzeln durchgehen.

Updates

System, Themes und Erweiterungen aktuell halten. Die meisten Angriffe zielen auf längst bekannte und längst geschlossene Lücken.

HTTPS

Ein gültiges Zertifikat verschlüsselt die Verbindung. Ohne HTTPS warnen Browser sichtbar und das Vertrauen sinkt.

Backups

Regelmäßige, extern gespeicherte und getestete Sicherungen sind das Notfall-Netz, wenn doch einmal etwas schiefgeht.

Starke Zugänge

Lange, einzigartige Passwörter, Zwei-Faktor-Authentifizierung und möglichst wenige Konten mit hohen Rechten.

WAF

Eine Web Application Firewall filtert typische Angriffsmuster heraus, bevor sie die eigentliche Anwendung erreichen.

Monitoring

Regelmäßige Kontrolle von Erreichbarkeit und Auffälligkeiten sorgt dafür, dass Probleme früh bemerkt werden.

Pfeiler 1: Updates konsequent einspielen

Updates sind der unterschätzteste und zugleich wirksamste Schutz. Software besteht aus vielen Bausteinen: dem Content-Management-System, dem Design-Theme, Erweiterungen und den Programmiersprachen im Hintergrund. In all diesen Teilen werden regelmäßig Sicherheitslücken entdeckt und von den Herstellern durch Aktualisierungen geschlossen. Das Problem ist, dass mit der Veröffentlichung eines Updates auch die Lücke öffentlich bekannt wird. Angreifer wissen dann genau, wo sie ansetzen müssen, und suchen gezielt nach Seiten, die das Update noch nicht eingespielt haben. Eine veraltete Erweiterung ist damit eine offene Tür mit Wegweiser.

In der Praxis scheitert es selten am Wissen, sondern am Alltag: Niemand fühlt sich zuständig, Aktualisierungen wirken lästig, und die Angst, dass ein Update etwas kaputt macht, führt zum Aufschieben. Genau hier hilft ein klarer Ablauf. Updates gehören eingeplant, idealerweise zuerst in einer Testumgebung geprüft und erst dann auf der Live-Seite eingespielt, immer mit einem frischen Backup davor. Wer diese laufende Pflege nicht selbst leisten kann oder will, gibt sie in gute Hände. Wie eine verlässliche Website-Betreuung aussieht, die genau diese Aufgaben übernimmt, beschreiben wir auf einer eigenen Seite.

Die goldene Regel für Updates

Erst Backup, dann Update, dann kurz prüfen, ob alles funktioniert. Diese drei Schritte in fester Reihenfolge verhindern die häufigsten Pannen und sorgen dafür, dass ein Update im Zweifel jederzeit rückgängig gemacht werden kann.

Pfeiler 2: HTTPS als Selbstverständlichkeit

HTTPS sorgt dafür, dass die Verbindung zwischen dem Browser des Besuchers und Ihrem Server verschlüsselt ist. Ohne diese Verschlüsselung könnten Daten wie ein Kontaktformular oder ein Login auf dem Weg mitgelesen oder verändert werden. Erkennbar ist HTTPS am Schloss-Symbol in der Adressleiste und am Präfix https. Inzwischen läuft über 95 Prozent (Google Transparency Report) des Browser-Traffics verschlüsselt, und Browser warnen bei unverschlüsselten Seiten sichtbar. Eine Seite ohne HTTPS wirkt heute nicht nur technisch veraltet, sondern schreckt Besucher aktiv ab und kann Anfragen kosten.

Die gute Nachricht: HTTPS einzurichten ist kein Kostenfaktor mehr. Über gemeinnützige Zertifizierungsstellen lassen sich kostenlose Zertifikate ausstellen und automatisch erneuern, was bei einem ordentlichen Webhosting meist bereits eingerichtet ist. Wichtig ist, dass wirklich alle Seiten über HTTPS ausgeliefert werden, dass Aufrufe der unverschlüsselten Adresse automatisch umgeleitet werden und dass keine einzelnen Inhalte wie Bilder oder Schriften noch unverschlüsselt nachgeladen werden. Solche gemischten Inhalte lösen sonst Warnungen aus und untergraben die Verschlüsselung.

Praxis-Tipp: Zertifikat im Blick behalten

Ein Zertifikat hat ein Ablaufdatum. Läuft es aus, zeigt der Browser eine deutliche Warnung, die Besucher verschreckt. Automatische Erneuerung nimmt dieses Risiko, sollte aber trotzdem gelegentlich überprüft werden. Eine einfache Erinnerung oder eine Betreuung, die das überwacht, verhindert die unangenehme Überraschung.

Pfeiler 3: Backups als Notfall-Netz

Kein Schutz ist lückenlos, und genau deshalb sind Backups so wichtig. Ein Backup ist eine vollständige Sicherung Ihrer Website, mit der sich ein früherer Zustand wiederherstellen lässt. Es hilft nicht nur nach einem Angriff, sondern auch, wenn ein Update schiefgeht, eine Datei versehentlich gelöscht wird oder der Server ausfällt. Entscheidend sind dabei drei Eigenschaften, die oft vergessen werden. Ein Backup muss regelmäßig entstehen, es muss an einem anderen Ort als die Website selbst liegen, und es muss sich nachweislich wiederherstellen lassen. Ein Backup, das nur auf demselben Server liegt, ist bei einem ernsten Vorfall oft genauso betroffen wie die Seite.

  • Automatisch und regelmäßig, nicht nur einmal von Hand angelegt
  • Extern gespeichert, getrennt vom Webserver der Seite
  • Mehrere Zeitstände, damit man auf einen sauberen Punkt zurück kann
  • Getestet, also mindestens einmal probeweise wiederhergestellt
  • Auch die Datenbank umfassend, nicht nur die Dateien
  • Dokumentiert, damit im Ernstfall klar ist, wer was tut

Der häufigste Fehler ist, sich auf ein Backup zu verlassen, das noch nie getestet wurde. Erst im Ernstfall stellt sich dann heraus, dass die Sicherung unvollständig ist oder sich nicht einspielen lässt. Ein Backup ist nur so viel wert wie die Gewissheit, dass es funktioniert. Deshalb gehört ein gelegentlicher Testlauf fest dazu. Wer eine Seite überarbeiten oder umziehen lässt, sollte Backups ohnehin von Anfang an mitdenken, wie wir im Beitrag zum Website-Relaunch zeigen.

Pfeiler 4: Starke Zugänge schaffen

Viele Übernahmen von Websites beginnen nicht mit einer technischen Lücke, sondern mit einem erratenen oder gestohlenen Passwort. Automatisierte Programme probieren in kurzer Zeit tausende gängige Kombinationen durch oder nutzen Zugangsdaten, die bei früheren Datenlecks abgeflossen sind. Ein kurzes oder mehrfach verwendetes Passwort ist damit eine der größten Schwachstellen überhaupt. Abhilfe schaffen lange, einzigartige Passwörter, die nirgendwo sonst zum Einsatz kommen, am besten verwaltet in einem Passwortspeicher, damit man sie sich nicht merken muss.

Den größten zusätzlichen Schutz bietet die Zwei-Faktor-Authentifizierung. Dabei genügt das Passwort allein nicht mehr, sondern es wird ein zweiter Faktor abgefragt, etwa ein Einmalcode aus einer App. Selbst wenn ein Passwort in falsche Hände gerät, bleibt der Zugang so verschlossen. Genauso wichtig ist, die Zahl der Konten mit weitreichenden Rechten klein zu halten. Nicht jeder, der Inhalte pflegt, braucht die volle Verwaltungsberechtigung. Weniger Konten mit hohen Rechten bedeuten weniger Angriffsfläche.

Häufig übersehen: alte Konten und Standardzugänge

Ein verwaistes Konto eines früheren Mitarbeiters oder ein nie geändertes Standardpasswort ist ein beliebtes Einfallstor. Prüfen Sie regelmäßig, wer Zugriff hat, entfernen Sie nicht mehr benötigte Konten und ändern Sie voreingestellte Zugangsdaten sofort nach der Einrichtung. Auch der Standard-Benutzername sollte nicht der offensichtlichste sein.

Pfeiler 5: WAF als Vorfilter

Eine Web Application Firewall, kurz WAF, ist eine Schutzschicht, die zwischen den Besuchern und Ihrer Website sitzt. Sie prüft eingehende Anfragen und filtert bekannte Angriffsmuster heraus, bevor sie die eigentliche Anwendung erreichen. Man kann sie sich wie einen Türsteher vorstellen, der offensichtlich schädliche Anfragen abweist, während normale Besucher ungehindert durchkommen. Eine WAF fängt viele automatisierte Angriffe ab, etwa Versuche, Schadcode einzuschleusen oder massenhaft Login-Kombinationen durchzuprobieren, und reduziert damit die Last, die überhaupt bis zur Website vordringt.

Wichtig ist die richtige Einordnung: Eine WAF ersetzt die anderen Pfeiler nicht, sondern ergänzt sie. Sie ist kein Grund, Updates zu vernachlässigen, denn sie kann nur Muster erkennen, die ihr bekannt sind. Als zusätzliche Schicht ist sie jedoch sehr wertvoll, gerade weil sie einen Großteil des automatisierten Grundrauschens abfängt, dem jede Website im Netz ausgesetzt ist. Ob eine WAF sinnvoll ist und in welcher Form, hängt vom Hosting und vom Schutzbedarf ab und lässt sich gut im Rahmen einer laufenden Betreuung einrichten und pflegen.

Typische Angriffe und wie man sich schützt

Wer die häufigsten Angriffsarten kennt, versteht besser, warum die fünf Pfeiler so wirken. Die meisten Angriffe auf KMU-Websites lassen sich einigen wiederkehrenden Mustern zuordnen. Die folgende Übersicht erklärt jeweils kurz, wie ein Angriff abläuft und welche Grundlage am besten davor schützt. Sie ersetzt keine individuelle Prüfung, macht aber deutlich, dass die Basismaßnahmen keine Theorie sind, sondern gegen ganz konkrete Bedrohungen wirken.

AngriffSo läuft er abBester Schutz
Ausnutzen bekannter LückenAutomatische Suche nach veralteter Software mit öffentlich bekannter SchwachstelleKonsequente Updates von System und Erweiterungen
Passwort-AngriffMassenhaftes Durchprobieren von Passwörtern oder Nutzung geleakter ZugangsdatenStarke, einzigartige Passwörter und Zwei-Faktor
Schadcode einschleusenManipulierte Eingaben, um Datenbank oder Seite zu unterwandernAktuelle Software plus WAF als Vorfilter
Schadsoftware und DefacementVeränderte Inhalte, Spam-Seiten oder Weiterleitungen auf der gekaperten SeiteUpdates, starke Zugänge und regelmäßiges Monitoring
Überlastung durch AnfragenEine Flut automatisierter Anfragen legt die Seite lahmSchutzschicht beim Hosting und WAF
Phishing über Ihre MarkeBetrüger nutzen Ihren Namen für gefälschte Seiten oder MailsHTTPS, Aufklärung und wachsames Monitoring

Was KMU praktisch tun sollten

Aus den Grundlagen lässt sich eine überschaubare Liste ableiten, die ein KMU ohne eigene IT-Abteilung umsetzen oder in Auftrag geben kann. Der Kern ist nicht, alles auf einmal perfekt zu machen, sondern die wichtigsten Punkte verlässlich und wiederkehrend zu erledigen. Sicherheit ist kein einmaliges Projekt, das man abhakt, sondern eine Gewohnheit, die im Betrieb verankert sein muss. Die folgende Reihenfolge hat sich in der Praxis bewährt (Projekterfahrung).

  1. HTTPS für die gesamte Seite sicherstellen und Weiterleitungen prüfen
  2. Automatische, externe Backups einrichten und einmal probeweise wiederherstellen
  3. Alle Zugänge auf starke, einzigartige Passwörter umstellen und Zwei-Faktor aktivieren
  4. Einen festen Rhythmus für Updates etablieren, immer mit Backup davor
  5. Nicht benötigte Konten, Erweiterungen und alte Daten entfernen
  6. Eine Schutzschicht oder WAF prüfen, passend zum Hosting
  7. Erreichbarkeit und Auffälligkeiten regelmäßig überwachen
  8. Zuständigkeit klären, damit im Ernstfall jemand handelt

Der wichtigste Gedanke

Keine einzelne Maßnahme macht eine Website unangreifbar, und niemand kann Sicherheit zusichern. Aber die Kombination aus aktueller Software, HTTPS, geprüften Backups, starken Zugängen und einem Vorfilter senkt das Risiko so weit, dass die allermeisten automatisierten Angriffe ins Leere laufen. Wer diese Grundlagen laufend pflegt, ist deutlich besser aufgestellt als der Durchschnitt und damit ein unattraktiveres Ziel.

Für viele KMU ist der realistischste Weg, diese Aufgaben in eine laufende Betreuung zu geben, statt sie zwischen Tür und Angel selbst zu erledigen. So bleibt die Verantwortung klar, Updates und Backups passieren zuverlässig, und im Ernstfall gibt es einen Ansprechpartner, der schnell reagiert. Welche weiteren Bausteine zu einer verlässlichen Website gehören, zeigen unsere Leistungen im Überblick. Sicherheit ist am Ende kein Produkt, das man kauft, sondern ein Prozess, den man pflegt, und genau darin liegt die eigentliche Arbeit.

Dieser Artikel basiert auf Daten aus: BSI (Bericht zur Lage der IT-Sicherheit in Deutschland), Verizon (Data Breach Investigations Report), Google Transparency Report (HTTPS-Verschlüsselung) sowie eigenen Projekten. Mit (Projekterfahrung) markierte Angaben beruhen auf eigenen Website-Projekten und sind Erfahrungswerte. Die genannten Werte können je nach System, Hosting und Nutzung variieren, und ein bestimmter Sicherheitsstand lässt sich nicht zusichern.