Websites im Visier – was Angreifer sehen, und was Sie dagegen tun können

Kategorien: Datenschutz und Security

Cyberkriminelle werden effizienter. Angriffe auf Websites nehmen zu. Und die meisten Betreiber merken es erst, wenn der Schaden bereits eingetreten ist. Dieser Artikel zeigt, wie Angreifer vorgehen, wo typische Schwachstellen liegen – und wie Sie Ihre Website systematisch absichern.

Die unterschätzte Bedrohungslage

Wer denkt, Cyberangriffe seien nur ein Problem für Konzerne und Behörden, irrt sich. Kleine Unternehmen, Selbstständige, Vereine – sie alle betreiben Websites und sind damit potenzielle Ziele. Und genau das wissen Angreifer.

Automatisierte Scan-Tools durchsuchen das Internet rund um die Uhr nach verwundbaren Websites. Sie erkennen, welches CMS eingesetzt wird, welche Plugins installiert sind, welche Softwareversionen laufen – und ob dazu bekannte Schwachstellen existieren. Das dauert keine Minuten, sondern Sekunden.

Laut BSI und ENISA ist die Zahl registrierter Schwachstellen in verbreiteter Software in den vergangenen Jahren kontinuierlich gestiegen. Allein für WordPress-Plugins werden regelmäßig Hunderte neue Sicherheitslücken pro Jahr dokumentiert. Die Bedrohungslage ist real, betrifft alle – und sie wächst.

Was passiert, wenn eine Website kompromittiert wird?

Die Szenarien reichen von unangenehm bis existenzbedrohend:

• Datenverlust: Kundendaten, Kontaktanfragen, interne Dokumente werden gestohlen.
• Reputationsschaden: Die eigene Website verbreitet unbemerkt Malware an Besucher.
• Blacklisting: Google und Sicherheitsdienste markieren die Website als gefährlich – der Traffic bricht ein.
• Erpressung: Ransomware verschlüsselt Inhalte, Angreifer fordern Lösegeld.
• Rechtliche Konsequenzen: Bei Datenpannen greift die DSGVO – mit empfindlichen Sanktionen.

DSGVO: Sicherheit ist rechtlich verpflichtend

Artikel 32 der DSGVO ("Sicherheit der Verarbeitung") verpflichtet alle Verantwortlichen, „geeignete technische und organisatorische Maßnahmen" zu ergreifen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten sicherzustellen.

Wer eine Website betreibt, auf der Nutzerdaten verarbeitet werden – sei es über ein Kontaktformular, einen Newsletter oder einen Shop – ist verpflichtet, diese Daten aktiv zu schützen. Eine Website mit bekannten, ungepatchten Schwachstellen kann als Verstoß gegen Artikel 32 gewertet werden, selbst wenn noch kein Angriff stattgefunden hat.

Dazu kommt das Thema Cookies und Tracking: Viele Websites setzen Analyse- und Werbetools ein, ohne den rechtlichen Rahmen vollständig einzuhalten. Welche Tracking-Dienste tatsächlich aktiv sind, ist oft unklar – weil sie durch eingebundene Drittanbieter-Skripte oder Plugins im Hintergrund geladen werden. Ein regelmäßiger Abgleich der aktiven Tracker mit der eigenen Datenschutzerklärung ist daher nicht nur empfehlenswert, sondern rechtlich geboten.

CVE-Schwachstellen: Was sie sind und wie man damit umgeht

CVE steht für „Common Vulnerabilities and Exposures" – eine öffentlich zugängliche Datenbank, in der bekannte Sicherheitslücken in Software katalogisiert werden. Jede Schwachstelle bekommt eine eindeutige Kennung (z. B. CVE-2024-12345) sowie eine Risikobewertung nach dem CVSS-Score (0–10).

Wo findet man CVEs?

Die wichtigsten Quellen sind:

• nvd.nist.gov – die National Vulnerability Database des amerikanischen NIST, vollständig und durchsuchbar
• cve.org – die offizielle CVE-Datenbank
• cvedetails.com – übersichtliche Suche nach Produkt, Hersteller oder Version
• WPScan Vulnerability Database – speziell für WordPress, Plugins und Themes

Wie geht man mit einem CVE um?

1. Identifizieren: Welche Software, Plugins oder Frameworks sind in welcher Version im Einsatz? Das ist häufig der schwierigste Schritt, weil viele Betreiber keinen vollständigen Überblick haben.
2. Abgleichen: Die eingesetzten Versionen mit bekannten CVEs vergleichen. Tools wie wpscan, nikto oder kommerzielle Scanner können dabei helfen.
3. Bewerten: Nicht jeder CVE ist gleich kritisch. Ein CVSS-Score über 7.0 gilt als hoch, über 9.0 als kritisch. Kontext zählt: Ist die Schwachstelle aus dem Internet ausnutzbar? Erfordert sie Authentifizierung?
4. Beheben: In den meisten Fällen durch Update der betroffenen Software. Steht kein Update bereit, können WAF-Regeln (Web Application Firewall) als temporäre Maßnahme helfen oder die betroffene Komponente deaktiviert werden.
5. Dokumentieren: Für DSGVO-Zwecke empfiehlt sich eine Nachvollziehbarkeit der getroffenen Maßnahmen.

Nebenbei: Eine in letzter Zeit häufiger gemeldete Schwachstelle betrifft das häufig eingesetzte OpenSSH. In einer aktuellen Version greift die Schwachstelle. Viele Scanner melden das. Dabei ist die Schwachstelle nur dann relevant, wenn OpenSSH speziell (außerhalb des Standards) konfiguriert ist.

Ein guter Security Report enthält nicht nur eine Problembeschreibung, sondern auch eine Diagnose- und Abhilfe-Anleitung. So können Webmaster feststellen, ob sie tatsächlich betroffen sind oder ein Fehlalarm vorliegt.

Typische Schwachstellen auf Websites – und wie man sie erkennt

DNS-Fehlkonfigurationen

Die DNS-Konfiguration einer Domain ist häufig mangelhaft abgesichert. Fehlende oder fehlerhafte Einträge für SPF, DKIM und DMARC ermöglichen E-Mail-Spoofing – also das Versenden gefälschter E-Mails, die scheinbar von Ihrer Domain stammen.

Selbst prüfen: Tools wie MXToolbox oder mail-tester.com zeigen den Status Ihrer E-Mail-Sicherheitskonfiguration kostenlos an.

Veraltete Software und Plugins

Das häufigste Einfallstor – insbesondere bei WordPress. Jedes installierte Plugin, das nicht regelmäßig aktualisiert wird, ist ein potenzielles Risiko. Besonders problematisch: deaktivierte, aber nicht gelöschte Plugins. Sie sind weiterhin auf dem Server vorhanden und angreifbar.

Maßnahmen:

• Automatische Updates für WordPress-Core und vertrauenswürdige Plugins aktivieren
• Nicht benötigte Plugins und Themes vollständig entfernen
• Plugins aus unbekannten Quellen grundsätzlich vermeiden

Unsichere HTTP-Header

Viele Web-Server senden standardmäßig zu viele Informationen in ihren HTTP-Antwort-Headern – Softwareversion, Framework, Serverbetriebssystem. Gleichzeitig fehlen sicherheitskritische Header, die Angriffe wie Clickjacking oder Code-Injection erschweren würden.

Wichtige Sicherheits-Header, die gesetzt sein sollten:

• Content-Security-Policy – regelt, welche Ressourcen geladen werden dürfen
• Strict-Transport-Security – erzwingt HTTPS-Verbindungen
• X-Frame-Options – verhindert Einbettung der Seite in Frames (Clickjacking)
• X-Content-Type-Options – verhindert MIME-Type-Sniffing
• Referrer-Policy – kontrolliert, welche Referrer-Informationen weitergegeben werden

Selbst prüfen: securityheaders.com analysiert Ihre Website kostenlos und gibt eine Bewertung.

Cross-Site Scripting (XSS)

XSS zählt zu den häufigsten Angriffsmethoden. Dabei wird schadhafter JavaScript-Code in eine Website eingeschleust, der im Browser der Besucher ausgeführt wird – etwa um Session-Daten zu stehlen oder Nutzer auf gefälschte Seiten weiterzuleiten.

Besonders anfällig sind Stellen, an denen Nutzereingaben ungefiltert in die Seite zurückgegeben werden: Suchfelder, Kommentarbereiche, Kontaktformulare. Eine DOM-Analyse zeigt, welche Stellen im Seitenaufbau potenziell verwundbar sind.

Grundlegende Gegenmaßnahmen:

• Alle Nutzereingaben serverseitig validieren und escapen
• Content-Security-Policy konsequent einsetzen
• Keine unsicheren JavaScript-Funktionen wie innerHTML mit unkontrollierten Daten verwenden

Unsichere Formulare

Kontaktformulare sind interaktive Schnittstellen zwischen Besucher und Server – und deshalb ein beliebtes Angriffsziel. Typische Schwachstellen sind fehlende Eingabevalidierung, anfällige Form-Handler oder das Fehlen von CSRF-Tokens, die Cross-Site-Request-Forgery verhindern.

Checkliste für sichere Formulare:

• Eingaben werden serverseitig geprüft (nicht nur clientseitig per JavaScript)
• CSRF-Schutz ist implementiert
• Das Formular ist gegen Spam-Bots gesichert (z. B. Honeypot-Feld statt CAPTCHA)
• Fehlermeldungen geben keine Systeminformationen preis

IP-Reputation und Abuse-Datenbanken

Befindet sich die IP-Adresse Ihrer Website auf einer Blacklist – etwa weil ein früherer Hoster sie für Spam genutzt hat – kann das Auswirkungen auf E-Mail-Zustellbarkeit, Reputation und sogar Rankings haben. Prüfen lässt sich das über Dienste wie AbuseIPDB oder MXToolbox Blacklist Check.

Barrierefreiheit: Rechtlich unterschätzt, technisch lösbar

Ab 2025 verpflichtet das Barrierefreiheitsstärkungsgesetz (BFSG) viele Unternehmen dazu, ihre digitalen Angebote barrierefrei zu gestalten. Was das konkret bedeutet, ist vielen Betreibern noch unklar.

Praktisch geht es um Dinge wie ausreichende Farbkontraste (für Menschen mit Seheinschränkungen), korrekte Alternativtexte für Bilder, Tastaturnavigation und eine sinnvolle Dokumentstruktur. All das ist mit Werkzeugen prüfbar – und in den meisten Fällen mit überschaubarem Aufwand behebbar.

Einstiegspunkt: Das WAVE Web Accessibility Tool liefert eine erste kostenlose Auswertung.

Was eine systematische Prüfung leistet

Einzelne Tools und manuelle Prüfungen decken Teilbereiche ab. Was viele Betreiber jedoch nicht haben, ist ein strukturierter Gesamtüberblick: Welche Software läuft in welcher Version? Welche CVEs sind relevant? Wo sind HTTP-Header fehlerhaft konfiguriert? Welche Tracker sind aktiv?

Ein rigoroser Security Check bringt alle diese Bereiche zusammen – und liefert keine rohen Daten, sondern einen aufbereiteten Bericht mit Diagnosen, Risikobewertungen und konkreten Handlungsschritten. Für wen das Selbst-Prüfen zu aufwendig ist oder wer sichergehen möchte, dass kein Bereich übersehen wird, ist ein professioneller Audit sinnvoll.

Fazit: Sicherheit ist ein Prozess, kein Zustand

Eine Website ist kein statisches Objekt. Software wird aktualisiert – oder eben nicht. Neue Schwachstellen werden entdeckt. Angreifer passen ihre Methoden an.

Wer Verantwortung für eine Website und die Daten ihrer Besucher trägt, sollte Sicherheit nicht dem Zufall überlassen. Viele der beschriebenen Prüfungen sind mit öffentlich verfügbaren Werkzeugen selbst durchführbar. Für eine vollständige, strukturierte Analyse – insbesondere zur Erfüllung der Anforderungen aus Artikel 32 DSGVO – kann ein professioneller Security Check den entscheidenden Unterschied machen.

Alleine schon die Darstellung der Informationen ist entscheidend. Entscheider und IT Leads oder Datenschutzbeauftragte wollen und können keine technischen Detailberichte durchkämpfen. Sie wollen wissen, wo die größten Probleme sind und wie die Lage aussieht.

Der Kurzbericht zeigt eine Top-Level-View auf die Lage eines geprüften Web-Hostings:

Die einzelnen Bereiche enthalten leicht verständliche Beschreibungen der Lage:

Der Überblickbericht geht eine Stufe weiter und ist etwas umfangreicher, aber immer noch allgemein (für jeden) verständlich.

Im technischen Vollbericht offenbart sich allerdings die Leistungsfähigkeit der professionellen Security Checks. Ein Umschalter erlaubt es, all Befunde anzuzeigen oder nach Security und Barrierefreiheit zu filtern.

Der Bericht zeigt das Ergebnis einer umfangreichen Tiefenprüfung, die vom Frontend bis ins Backend geht und minimalinvasiv ist. Geprüft werden auch Web-Formulare, E-Mail-Konfigurationen, installierte Software sowie Cookies.

Während kostenfreie Tools nur einen Angriffspunkt verproben und unterschiedlichste Einzelergebnisse liefern, ist der genannte Security Report umfassend, einheitlich und mit zahlreichen Erklärungen, Arbeitshilfen und Anleitungen augestattet.

Sicherheit wird in Zeiten, wo mit KI-Modellen Angiffe auf Webseiten ausgeführt werden, immer wichtiger. Die Möglichkeiten, sich zu schützen, sind allerdings ebenso so gut wie nie zuvor.