Website Sicherheit Unternehmen

"Wir sind doch viel zu klein, um interessant für Hacker zu sein." Diesen Satz höre ich regelmäßig von Geschäftsführern und Inhabern. Die Realität sieht jedoch anders aus: Gerade kleine und mittelständische Unternehmen sind bevorzugte Ziele von Cyberkriminellen. Der Grund ist einfach: Sie verfügen oft über weniger Sicherheitsressourcen als Konzerne, verarbeiten aber ebenso wertvolle Daten. Deshalb müssen Sie Ihre Webseite absichern - hier sind meine Tipps.

Laut der HDI Cyberstudie 2024 haben bereits 53 Prozent der befragten KMU Erfahrungen mit Cyberangriffen gemacht. Bei Kleinunternehmen ist dieser Wert sogar auf 56 Prozent gestiegen. Ein erfolgreicher Angriff verursacht durchschnittliche Kosten von 1,06 Millionen US-Dollar pro Unternehmen. Bei Ransomware-Angriffen, bei denen Ihre Daten verschlüsselt werden, müssen Sie in Deutschland mit durchschnittlich 1,2 Millionen Euro für die Wiederherstellung rechnen.

Die Folgen eines erfolgreichen Angriffs gehen weit über den direkten finanziellen Schaden hinaus. Betriebsunterbrechungen, Imageverlust, rechtliche Konsequenzen bei Datenschutzverletzungen und der Verlust von Kundenvertrauen können ein Unternehmen nachhaltig schädigen. Deshalb ist proaktive Website-Sicherheit keine Kostenfrage, sondern eine Investition in die Zukunftsfähigkeit Ihres Unternehmens. Erfahren Sie auch, wie Sie die DSGVO-Anforderungen für Ihre Website umsetzen.

Um Ihre Website effektiv zu schützen, müssen Sie zunächst verstehen, welchen Bedrohungen sie ausgesetzt ist. Die Angriffsmethoden werden dabei immer ausgefeilter. Besonders besorgniserregend: KI-generierte Phishing-Mails sind mittlerweile so professionell, dass 60 Prozent der Empfänger diese nicht als Betrug erkennen.

• Ransomware (Erpressungstrojaner): Verschlüsselt Ihre Website-Daten und fordert Lösegeld. 72 Prozent aller Ransomware-Attacken nutzen das Double-Extortion-Verfahren, bei dem Daten zusätzlich gestohlen werden. Die häufigsten Varianten 2024: LockBit, Phobos, Akira und ALPHV/BlackCat.
• Phishing und Social Engineering: Über 70 Prozent der erfolgreichen Ransomware-Angriffe werden durch Phishing initiiert. Angreifer versuchen, über gefälschte E-Mails oder Websites an Ihre Zugangsdaten zu gelangen.
• Brute-Force-Angriffe: Automatisierte Versuche, Ihr Passwort durch systematisches Durchprobieren zu knacken. Allein 2024 blockierte Wordfence über 55 Milliarden Passwort-Angriffe gegen WordPress-Sites.
• SQL-Injection: Angreifer schleusen schädlichen Code in Datenbankabfragen ein, um Zugriff auf Ihre Daten zu erhalten oder diese zu manipulieren.
• Cross-Site-Scripting (XSS): Gehört zu den häufigsten Plugin-Schwachstellen. Schädlicher Code wird in Ihre Website eingeschleust und an Besucher ausgeliefert.
• DDoS-Attacken: Ihre Website wird mit Anfragen überflutet, bis sie unter der Last zusammenbricht. Bis zu 90.000 Angriffe pro Minute richten sich gegen WordPress-Installationen.

Viele Sicherheitslücken entstehen durch vermeidbare Nachlässigkeiten. Mit den folgenden acht Maßnahmen legen Sie ein solides Fundament für Ihre Website-Sicherheit. Ich empfehle, diese Punkte systematisch durchzugehen und in Ihrem Unternehmen zu etablieren.

1. Starke Passwörter verwenden: Nutzen Sie für jeden Zugang ein einzigartiges Passwort mit mindestens 12 Zeichen. Kombinieren Sie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Vermeiden Sie persönliche Informationen wie Geburtstage oder Namen. Noch besser: Verwenden Sie Passphrasen wie "Mein-Hund-mag-keine-42-Katzen!".

2. Passwort-Manager einsetzen: Bei der Vielzahl an Zugängen ist es unmöglich, sich starke, einzigartige Passwörter zu merken. Ein Passwort-Manager wie Bitwarden, 1Password oder KeePass generiert und speichert sichere Passwörter verschlüsselt. Sie müssen sich nur noch ein Master-Passwort merken.

3. Zwei-Faktor-Authentifizierung (2FA) aktivieren: 2FA fügt eine zweite Sicherheitsebene hinzu. Selbst wenn ein Angreifer Ihr Passwort kennt, benötigt er zusätzlich den zweiten Faktor, etwa einen Code aus einer Authenticator-App auf Ihrem Smartphone. Für WordPress empfehle ich Plugins wie "WP 2FA" oder "Two Factor Authentication". Einrichtung: Plugin installieren, QR-Code mit einer App wie Google Authenticator oder Authy scannen, fertig.

4. Software aktuell halten: 74 Prozent der gehackten WordPress-Sites verwendeten zum Zeitpunkt des Angriffs veraltete Software. Halten Sie Ihr CMS, alle Plugins und Themes immer auf dem neuesten Stand. Aktivieren Sie automatische Updates, wo möglich, oder prüfen Sie wöchentlich auf Aktualisierungen.

5. Login-Versuche begrenzen: Standardmäßig erlauben viele Websites unbegrenzte Login-Versuche. Das macht Brute-Force-Angriffe einfach. Begrenzen Sie die Anzahl fehlgeschlagener Anmeldeversuche auf 3-5 und sperren Sie die IP-Adresse temporär nach Überschreitung.

6. Standard-Benutzernamen ändern: Der Benutzername "admin" ist das erste, was Angreifer ausprobieren. Erstellen Sie einen individuellen Administrator-Account mit einem nicht erratbaren Namen und deaktivieren Sie den Standard-Admin.

7. Sicherheits-Plugins nutzen: Für WordPress bieten Plugins wie Wordfence, Sucuri Security oder iThemes Security umfassenden Schutz. Sie überwachen verdächtige Aktivitäten, blockieren bekannte Angreifer und scannen nach Malware.

8. Zugriffsrechte minimieren: Geben Sie Mitarbeitern nur die Berechtigungen, die sie tatsächlich benötigen. Ein Redakteur braucht keine Administrator-Rechte. Je weniger Personen vollen Zugriff haben, desto geringer ist das Risiko.

Ein SSL-Zertifikat verschlüsselt die Verbindung zwischen dem Browser Ihrer Besucher und Ihrem Webserver. Ohne diese Verschlüsselung können Daten, die über Ihre Website übertragen werden, von Dritten mitgelesen werden. Das betrifft Kontaktformulare, Login-Daten, Bestellungen und jede andere Eingabe. Für die Website Sicherheit in Unternehmen ist SSL daher unverzichtbar.

HTTPS ist heute nicht mehr optional, sondern Pflicht aus mehreren Gründen:

• Datenschutz (DSGVO): Sobald personenbezogene Daten verarbeitet werden, ist eine verschlüsselte Übertragung gesetzlich vorgeschrieben. Ein Kontaktformular ohne HTTPS kann ein Bußgeld nach sich ziehen.
• SEO-Ranking: Google bevorzugt HTTPS-Websites in den Suchergebnissen. Eine unverschlüsselte Website hat deutliche Nachteile im Ranking.
• Browser-Warnungen: Chrome, Firefox und andere Browser warnen Besucher aktiv vor "unsicheren" HTTP-Websites. Das schreckt potenzielle Kunden ab.
• Vertrauenssignal: Das Schloss-Symbol in der Adresszeile signalisiert Besuchern, dass Ihre Website sicher ist.

Die gute Nachricht: SSL-Zertifikate sind heute oft kostenlos. Let's Encrypt bietet kostenlose Zertifikate, die von den meisten Hosting-Anbietern automatisch eingerichtet werden können. Für Unternehmen mit höheren Sicherheitsanforderungen gibt es Extended Validation (EV) Zertifikate, bei denen die Identität des Unternehmens geprüft wird.

Mit einem Marktanteil von 43,5 Prozent aller Websites weltweit ist WordPress das beliebteste Content-Management-System. Diese Beliebtheit macht es jedoch auch zum attraktivsten Ziel für Cyberkriminelle. 2024 blockierte allein Wordfence 48 Milliarden bösartige Anfragen gegen WordPress-Seiten. Wenn Sie eine sichere Website erstellen möchten, ist WordPress Sicherheit ein zentrales Thema.

Die gute Nachricht: Nur 4 Prozent der Sicherheitslücken betreffen den WordPress-Core selbst. Das eigentliche Risiko liegt bei Plugins und Themes. Derzeit sind über 62.000 bekannte Schwachstellen in WordPress-Erweiterungen dokumentiert. Besonders besorgniserregend: Rund 35 Prozent der 2024 gemeldeten Sicherheitslücken sind auch 2025 noch nicht gepatcht.

• Plugins kritisch auswählen: Installieren Sie nur Plugins aus vertrauenswürdigen Quellen. Prüfen Sie, wann das letzte Update war und wie viele aktive Installationen es gibt. Meiden Sie Plugins, die länger als 6 Monate nicht aktualisiert wurden.
• Anzahl der Plugins minimieren: Jedes Plugin ist ein potenzielles Einfallstor. Nutzen Sie nur Erweiterungen, die Sie wirklich benötigen. Löschen Sie ungenutzte Plugins komplett.
• Login-URL ändern: Die Standard-URL /wp-admin ist allgemein bekannt. Plugins wie "WPS Hide Login" ermöglichen eine individuelle Login-URL.
• XML-RPC deaktivieren: Die XML-RPC-Schnittstelle wird selten benötigt, ist aber ein häufiges Angriffsziel für Brute-Force-Attacken.
• Datei-Editor deaktivieren: Der integrierte Theme- und Plugin-Editor kann bei gehackten Admin-Konten missbraucht werden. Deaktivieren Sie ihn in der wp-config.php mit: define('DISALLOW_FILE_EDIT', true);
• Datenbankpräfix ändern: Das Standard-Präfix "wp_" ist bekannt und erleichtert SQL-Injection-Angriffe. Bei einer Neuinstallation wählen Sie einen individuellen Präfix.

Backups sind Ihre letzte Verteidigungslinie. Wenn alle anderen Schutzmaßnahmen versagen, ermöglicht ein aktuelles Backup die Wiederherstellung Ihrer Website. Doch viele Unternehmen unterschätzen die Bedeutung einer durchdachten Backup-Strategie.

Eine wirksame Backup-Strategie folgt der 3-2-1-Regel: Drei Kopien Ihrer Daten, auf zwei verschiedenen Speichermedien, davon eine außerhalb des Standorts. Für Websites bedeutet das: Neben dem Backup beim Hosting-Anbieter sollten Sie mindestens eine weitere Kopie auf einem externen Speicher aufbewahren.

• Regelmäßigkeit festlegen: Bei einer aktiven Website mit häufigen Änderungen empfehle ich tägliche Backups. Bei weniger dynamischen Seiten reichen wöchentliche Sicherungen.
• Vollständige Backups erstellen: Sichern Sie sowohl die Dateien als auch die Datenbank. Nur beides zusammen ermöglicht eine vollständige Wiederherstellung.
• Externe Speicherung nutzen: Speichern Sie Backups nicht nur auf demselben Server. Nutzen Sie Cloud-Dienste, externe Festplatten oder einen separaten Server.
• Automatisierung einrichten: Manuelle Backups werden vergessen. Automatisieren Sie den Prozess mit Plugins wie UpdraftPlus, BackupBuddy oder Duplicator.
• Wiederherstellung testen: Ein Backup, das sich nicht wiederherstellen lässt, ist wertlos. Testen Sie die Wiederherstellung mindestens vierteljährlich.
• Aufbewahrungsdauer definieren: Bewahren Sie mehrere Versionen auf, nicht nur die letzte. So können Sie auch auf ältere, saubere Zustände zurückgreifen, wenn eine Kompromittierung erst spät entdeckt wird.

Trotz aller Vorsichtsmaßnahmen kann ein Angriff erfolgreich sein. In diesem Moment zählt jede Minute. Ein vorbereiteter Notfallplan verhindert Panik und minimiert den Schaden. Ich empfehle, diesen Plan schriftlich festzuhalten und alle relevanten Mitarbeiter darüber zu informieren.

Schritt 1: Ruhe bewahren und dokumentieren. Notieren Sie, wann Sie den Angriff bemerkt haben, welche Anzeichen Sie beobachten und welche Bereiche betroffen sind. Screenshots können später für Forensik und Versicherung wichtig sein.

Schritt 2: Website offline nehmen. Schalten Sie die betroffene Website sofort in den Wartungsmodus oder nehmen Sie sie vom Netz. Das verhindert weiteren Schaden für Besucher und stoppt möglicherweise die Ausbreitung.

Schritt 3: Alle Passwörter ändern. Ändern Sie umgehend alle Zugangsdaten: FTP, SSH, Datenbank, CMS-Admin, Hosting-Panel. Nutzen Sie dafür ein separates, nicht betroffenes Gerät.

Schritt 4: Experten hinzuziehen. Wenn Sie nicht über das notwendige Know-how verfügen, kontaktieren Sie einen Sicherheitsexperten oder Ihren Webentwickler. Bei schwerwiegenden Angriffen mit Datenverlust kann auch ein forensischer Gutachter sinnvoll sein.

Schritt 5: Behörden informieren. Bei Datenschutzverletzungen mit personenbezogenen Daten müssen Sie innerhalb von 72 Stunden die zuständige Datenschutzbehörde informieren (DSGVO Art. 33). Erstatten Sie außerdem Anzeige bei der Polizei.

Schritt 6: Betroffene benachrichtigen. Wenn Kundendaten betroffen sind, müssen Sie die Betroffenen informieren. Transparente Kommunikation ist hier besser als Vertuschung.

Schritt 7: Wiederherstellung aus Backup. Stellen Sie Ihre Website aus einem sauberen Backup wieder her. Überprüfen Sie, wann die Kompromittierung stattfand, und wählen Sie ein Backup von vor diesem Zeitpunkt.

Schritt 8: Sicherheitslücke schließen. Identifizieren Sie den Angriffsvektor und schließen Sie die Lücke, bevor Sie wieder online gehen. Sonst wird der nächste Angriff nicht lange auf sich warten lassen.

Manuelle Sicherheitsüberprüfungen sind wichtig, aber automatisierte Tools bieten kontinuierlichen Schutz. Hier stelle ich Ihnen bewährte Lösungen vor, die ich meinen Kunden empfehle. Alle genannten Tools gibt es in kostenlosen Basisversionen, die für die meisten KMU ausreichend sind.

• Wordfence (WordPress): Umfassende Sicherheitslösung mit Firewall, Malware-Scanner und Login-Schutz. Die kostenlose Version bietet bereits soliden Grundschutz.
• Sucuri Security: Bietet Website-Monitoring, Malware-Scans und eine Web Application Firewall. Besonders die Malware-Entfernung ist ein Pluspunkt.
• SSL Labs (ssllabs.com): Kostenloses Online-Tool zur Überprüfung Ihrer SSL-Konfiguration. Zeigt Schwachstellen und gibt konkrete Verbesserungsvorschläge.
• VirusTotal: Scannt URLs und Dateien auf Malware. Nutzen Sie es, um verdächtige Links zu prüfen, bevor Sie sie öffnen.
• Google Search Console: Informiert Sie, wenn Google Sicherheitsprobleme auf Ihrer Website erkennt. Kostenlos und unverzichtbar.
• Have I Been Pwned (haveibeenpwned.com): Prüfen Sie, ob Ihre E-Mail-Adressen in bekannten Datenlecks aufgetaucht sind. Wenn ja: Passwort sofort ändern.

Neben diesen Tools empfehle ich regelmäßige manuelle Überprüfungen. Prüfen Sie monatlich die Login-Protokolle auf ungewöhnliche Aktivitäten, scannen Sie Ihre Website auf Malware und kontrollieren Sie, ob alle Software-Komponenten aktuell sind. Bei meiner Website-Pflege gehören diese Sicherheitschecks zum Standard. Wenn Sie mehr über technisches SEO und die Verbindung zur Website-Sicherheit erfahren möchten, lesen Sie auch meinen Ratgeber dazu.