Website-Sicherheit 2026: so schützen Sie Geschäft, Kundendaten und Rankings

Freitagabend erfährt der Inhaber eines kleinen Onlineshops, was die Website-Sicherheit wert ist, an der er gespart hat. Eine Mail vom Hoster: „Ihr Konto versendet Spam, die Seite wurde gesperrt.“ Er öffnet seine Adresse – statt des Katalogs der rote Browser-Bildschirm: „Diese Website kann Ihren Computer schädigen.“ Das Telefon schweigt zum ersten Mal seit einem halben Jahr, und bis Montag fliegen seine Seiten als infiziert aus Google. Der Grund ist ärgerlich banal – ein Warenkorb-Plugin, vierzehn Monate nicht aktualisiert, mit einer öffentlich bekannten Lücke, durch die über Nacht ein Bot ging. Kein Hacker mit Kapuze. Nur ein Skript, das Millionen Seiten abklappert und dort hineingeht, wo jemand vergessen hat, die Tür abzuschließen.

In der Nische nebenan arbeitet ein Mitbewerber mit demselben System. Auch ihn hat man am selben Wochenende gescannt – Bots wählen nicht aus, sie klopfen bei allen an. Doch bei ihm liefen frische Updates, ein nächtliches Backup, eine Zwei-Faktor-Authentifizierung am Admin-Bereich und eine Firewall vor der Seite. Der Bot kassierte eine Absage und zog weiter. Der Inhaber erfuhr vom Angriff nicht einmal – am Montag öffnete er sein CRM mit den üblichen Bestellungen.

Genau darum geht es. Website-Sicherheit ist keine Paranoia und keine Sache „für große Konzerne“. Sie ist der Unterschied zwischen einem Geschäft, das am Montag arbeitet, und einem, das Kunden die Virus-Warnung erklärt. Und der Ausgang entscheidet sich fast immer nicht im Moment des Angriffs, sondern vorher – mit jenen langweiligen Dingen, zu denen die meisten nicht kommen.

Website-Sicherheit ist eine Geldfrage, keine Technikfrage

Räumen wir gleich den Mythos beiseite, wegen dem das Thema aufgeschoben wird: „Uns hackt keiner, wir sind zu klein.“ Er unterstellt, ein Hack sei eine gezielte Jagd, bei der ein Mensch sein Opfer auswählt. In Wirklichkeit sind fast alle Angriffe auf kleine Unternehmen automatisch: Bots scannen rund um die Uhr nach bekannten Lücken – verwundbares Plugin, schwaches Passwort, offener Port – egal, ob Sie Bäckerei, Anwalt oder Ersatzteilhändler sind. Geringe Größe macht Sie nicht unsichtbar, sondern zum bequemen Ziel, weil Kleine seltener Updates, Backups oder Monitoring haben.

Und der Preis eines Hacks rechnet sich nicht in den Kosten der „Reparatur“, sondern in drei Verlusten, von denen jeder an seiner eigenen Stelle trifft:

• Ausfall. Jede Stunde, in der die Seite liegt oder eine Warnung zeigt, sind verlorene Anfragen und Verkäufe – plus Werbung, die Traffic gegen eine Wand schickt. Für einen Shop ist ein Wochenende Ausfall ein Wochenendumsatz auf null.
• Deindexierung. Google macht kurzen Prozess: Eine infizierte Seite wird markiert, fliegt aus den Ergebnissen und verliert fast den gesamten organischen Traffic. Die Rankings zurückzuholen, heißt Wochen warten und erneut prüfen – nicht „einen Knopf drücken“.
• Vertrauen. Ein Kunde, der einmal eine Virus-Warnung auf Ihrer Seite gesehen hat, kommt kein zweites Mal. Den über Jahre aufgebauten Ruf setzt so ein Bildschirm in einer Sekunde auf null.

Zählen Sie die drei zusammen – und ein einziger Notfall wird teurer als Jahre ruhiger Wartung. Sicherheit ist deshalb keine Versicherung „für alle Fälle“, sondern Teil der Betriebskosten – so verpflichtend wie Hosting und Domain. Wenn Sie überschlagen, was eine Website kostet, planen Sie den Schutz in dieselbe Kalkulation ein, nicht als Option „falls Geld übrig bleibt“. Es gibt auch eine rechtliche Seite: Sammeln Sie über Formulare Kundendaten, sind Sie gesetzlich verpflichtet, diese zu schützen – ein Leck ist dann kein SEO-Problem mehr, sondern ein DSGVO-Verstoß, für den die EU spürbar abmahnt.

HTTPS und SSL: das Minimum, ohne das kein Gespräch beginnt

Fangen wir mit der Basis an, die manchen Firmenseiten immer noch fehlt. HTTPS verschlüsselt den Kanal zwischen Browser und Server, das SSL-Zertifikat schaltet das ein. Ohne es fliegen die Formulardaten (Name, Telefon, Adresse) im Klartext durchs Netz und lassen sich im selben Netzwerk abgreifen – etwa im öffentlichen Café-WLAN.

Doch HTTPS ist Pflicht, selbst ohne Online-Zahlung, und zwar deshalb:

1. Browser verschrecken den Besucher. Chrome, Safari und die übrigen zeigen „Nicht sicher“ in der Adressleiste jeder HTTP-Seite. Ein Teil der Leute kehrt dort um – besonders jene, die ihre Nummer hinterlassen oder zahlen wollten.
2. Google wertet es als Ranking-Signal. HTTPS beeinflusst die Positionen offiziell seit 2014 – nicht radikal, aber in einer umkämpften Nische zählt jedes Signal.
3. Es ist kostenlos und schnell. Ein Let’s-Encrypt-Zertifikat kostet null und ist in einer Stunde eingerichtet, mit Auto-Verlängerung. Steht bei Ihnen noch „http://“ ohne das s – das beheben Sie heute zuerst.

Updates: Lücke Nummer eins ist ein veraltetes Plugin

Wenn man für die Sicherheit nur eine einzige Sache tun könnte, wären es Updates. Die überwältigende Mehrheit der erfolgreichen Hacks bei kleinen Unternehmen läuft nicht über einen ausgeklügelten Angriff, sondern über eine bekannte Lücke in einer veralteten Komponente. Die Logik des Bots ist simpel: Eine Schwachstelle in einem populären Plugin wird veröffentlicht, der Patch ist da – aber die Hälfte der Seiten hat ihn nicht eingespielt. Genau darin liegt die Gefahr: Eine bekannte Schwachstelle ist eine fertige Anleitung für automatische Angriffe, und eine Seite ohne Update seit einem halben Jahr ist ein Haus mit veröffentlichtem Bauplan, welches Fenster klemmt.

Aktualisieren muss man alles, was die Website ausmacht:

• System (CMS). WordPress, Pendants oder das Framework.
• Plugins und Erweiterungen. Das schwächste Glied: von verschiedenen Autoren, ein Teil verwaist und ganz ohne Patches.
• Theme und Server-Umgebung. Auch die gestalterische Hülle ist mitunter löchrig; PHP, Datenbank und Server sind Sache des Hosters.

Hier lauert eine Falle: Ein Update zerschießt manchmal die Seite – Versions-Inkompatibilität, Plugin-Konflikt, verrutschtes Layout. Deshalb heißt der saubere Prozess nicht „auf der Live-Seite Update drücken und hoffen“, sondern erst auf einer Kopie prüfen, dann ausrollen. Dieselbe Disziplin wie beim Website-Relaunch ohne Ranking-Verlust: erst die Kopie, dann das, was Geld bringt. Deshalb gehören Updates in einen Wartungsplan – von Hand schaffen die meisten Inhaber sie nicht.

Backups: das, was eine „Unannehmlichkeit“ von einer „Katastrophe“ trennt

Ein Backup verhindert keinen Hack, es geht um das, was danach passiert – und gerade die frische Kopie entscheidet, ob der Vorfall ein unangenehmer Abend wird oder das Ende des Geschäfts. Mit der gestrigen Kopie spielen Sie die saubere Version zurück, schließen die Lücke und arbeiten bis zum Morgen – ein Tag verloren. Ohne Kopie zahlen Sie für die manuelle Bereinigung des infizierten Codes (teuer, langwierig, ohne Garantie) oder bauen die Seite von null. Ein Hack, zwei völlig verschiedene Ausgänge – der Unterschied: ob ein Backup da ist.

Doch ein Backup wirkt nur unter drei Bedingungen, und jede wird regelmäßig verletzt:

• Regelmäßigkeit und Automatik. Eine Kopie einmal im Jahr ist nutzlos. Für eine aktive Seite täglich oder wöchentlich und ohne menschliches Zutun.
• Lagerung getrennt von der Seite. Ein Backup auf demselben Server stirbt mit der Seite bei Hack oder Festplatten-Defekt. Die Kopie muss anderswo liegen.
• Prüfung der Wiederherstellung. Ein Backup, das nie ausgerollt wurde, ist Glaube, keine Versicherung – die Hälfte der „Backups“ ist genau dann defekt, wenn man sie braucht.

Zugriffskontrolle: das Passwort „admin/12345“ wird immer noch zuerst geknackt

Das teuerste Schloss ist nutzlos, wenn der Schlüssel unter der Matte liegt. Ein riesiger Anteil der Hacks läuft nicht über Code-Lücken, sondern über das Erraten des Admin-Passworts – Brute Force, wenn ein Bot Tausende Kombinationen pro Minute durchprobiert, zuerst die Standard-Logins admin, administrator und Passwörter aus geleakten Datenbanken.

Die Zugangs-Hygiene ist einfach und kostet fast nichts:

• Starke, einzigartige Passwörter. Lang, zufällig, für jeden Dienst verschieden – nicht „Firmenname 2026“. Ein Passwort-Manager löst das ein für alle Mal.
• 2FA für den Admin-Bereich. Selbst bei geleaktem Passwort kommt der Angreifer ohne zweiten Faktor (Code aus der App) nicht hinein. Wohl die beste Rendite auf eine investierte Minute.
• Entfernen Sie den Login admin. Der Standardname ist die halbe Arbeit für den Angreifer. Legen Sie einen ungewöhnlichen an.
• Minimale Rechte. Auftragnehmer, Freelancer, Content-Manager bekommen nur Zugriff auf das, was sie brauchen – nicht jedem den vollen Admin.
• Schließen Sie Zugänge rechtzeitig. Mitarbeiter gekündigt, Freelancer fertig – löschen Sie das Konto am selben Tag.

Keiner dieser Punkte braucht Geld oder einen Programmierer – nur Disziplin, und deshalb werden sie so oft ignoriert.

Schutz vor Hacks und Schadcode: gestaffelte Verteidigung

Über der Basis-Hygiene liegt eine Schicht aktiven Schutzes, die Angriffe schon im Anflug abfängt. Das Hauptwerkzeug ist eine WAF (Web Application Firewall): ein Filter vor der Seite gegen verdächtigen Datenverkehr – Brute Force, Injections, Zugriffe auf bekannte Lücken. Dienste wie Cloudflare bieten Basis-WAF und DDoS-Schutz kostenlos oder günstig und ohne Umbau. Dazu gehören regelmäßige Scans auf Schadcode – eingeschleuste Skripte, Weiterleitungen, Spam-Einschübe. Je früher der Code gefunden wird, desto billiger die Folgen: Eine in einer Stunde erwischte Infektion ist in Minuten bereinigt, eine nach einem Monat bemerkte zieht die Seite schon aus dem Index.

So fügen sich die Schutzschichten nach dem Prinzip „billiger und wichtiger – weiter oben“ zusammen:

Schutzschicht	Was sie abdeckt	Aufwand der Anbindung
HTTPS / SSL	Abfangen von Daten, Vertrauen, Ranking	Niedrig (Stunde, kostenlos)
Updates von System und Plugins	Bekannte Lücken – der Hauptangriffsweg	Mittel (Regelmäßigkeit)
Backups an einem getrennten Ort	Wiederherstellung nach jedem Vorfall	Niedrig (einmal einrichten)
Starke Passwörter + 2FA	Erraten des Admin-Passworts	Niedrig (Disziplin)
WAF / Firewall vor der Seite	Brute Force, Injections, DDoS	Mittel (Cloudflare und Co.)
Monitoring + Code-Scans	Frühe Erkennung der Infektion	Mittel (Teil der Wartung)

Beachten Sie: Keine Schicht braucht ein „Konzernbudget“. Sicherheit ist keine teure Magie, sondern ein Stapel einfacher Maßnahmen in der richtigen Reihenfolge – teuer ist nicht der Schutz, sondern sein Fehlen. Und was eine Seite sicher macht – HTTPS, ein aktuelles System, eine vernünftige Infrastruktur –, macht sie meist auch schneller, und Geschwindigkeit wertet Google direkt über die Core Web Vitals (LCP, INP, CLS). Eine vernachlässigte Seite ist fast immer nicht nur löchrig, sondern auch langsam.

Woran man erkennt, dass die Website gehackt wurde – und warum Sie es zuletzt erfahren

Die unangenehme Wahrheit: Der Inhaber erfährt vom Hack zuletzt. Eine infizierte Seite sieht für ihn meist normal aus – der Schadcode versteckt sich und zeigt sich nur Suchbots oder Besuchern bestimmter Länder. Die Signale, an denen es doch auffliegt – Schadsoftware-Warnung, fremde Weiterleitungen, Pharma- und Casino-Titel unter Ihrer Domain, Spam-Meldung des Hosters –, sind alle bereits Folgen. Genau deshalb zählt Monitoring: „in einer Stunde erwischt“ gegen „nach zwei Wochen von Google erfahren“ ist der Unterschied zwischen einer kleinen Korrektur und einer wochenlangen Erholung der Rankings.

Was in einen Wartungsplan gehört – und warum er billiger ist als ein einziger Notfall

Fast jeder Punkt dieses Artikels – Updates, Backups, Monitoring, Verlängerung von Zertifikaten – ist keine einmalige Handlung, sondern eine regelmäßige Disziplin. Und die stemmt ein Geschäftsinhaber mit Bäckerei, Kunden und Umsatz allein nicht: Plugins aktualisiert er dienstags nicht, bis es kracht. Genau dafür gibt es den Wartungsplan – er verwandelt „irgendwann komme ich dazu“ in einen Prozess, der von selbst läuft.

Ein guter Wartungsplan deckt ab:

1. Regelmäßige Updates von System, Plugins, Theme und Umgebung – auf einer Kopie geprüft, dann produktiv.
2. Monitoring von Verfügbarkeit, Schwachstellen und Infektion – mit Alarm, bevor Kunden es bemerken.
3. Backups nach Zeitplan, getrennt gelagert, mit geprüfter Wiederherstellung.
4. Verlängerung von SSL-Zertifikaten und Domains – damit die Seite nicht wegen einer Fristüberschreitung liegt.
5. Kleine Anpassungen an Inhalt und Layout ohne Rechnung für jedes Komma.
6. Notfallplan für den Hack-Fall – wer was in welcher Reihenfolge tut, um in Stunden statt Tagen wieder online zu sein.

Die Ökonomie ist glasklar: Wartung ist eine vorhersehbare, kleine Monatszahlung, ein Notfall nach einem Hack eine unvorhersehbare, große Rechnung. Eine einzige solche Havarie ist fast immer teurer als Jahre ruhiger Wartung – die man für eine überflüssige Zeile in der Kalkulation hält, genau bis zum ersten Hack.

Womit Sie diese Woche anfangen

Wenn das alles nach einem großen Projekt klingt – ja, Sicherheit ist eine Gewohnheit, keine Aufgabe für einen Abend. Aber loslegen kann man in einer Woche, in dieser Reihenfolge nach absteigendem Nutzen:

1. Prüfen Sie HTTPS. Sehen Sie „Nicht sicher“ – richten Sie heute ein kostenloses SSL ein. Die billigste und sichtbarste Maßnahme.
2. Richten Sie ein automatisches Backup in getrenntem Speicher ein und prüfen Sie, dass daraus eine Seite hochkommt.
3. Aktivieren Sie 2FA und ersetzen Sie schwache Passwörter. Eine Minute Arbeit, riesige Wirkung.
4. Aktualisieren Sie System und Plugins auf einer Kopie und stellen Sie die Seite hinter Cloudflare für Basis-WAF und DDoS-Schutz.

Erledigen Sie wenigstens die ersten drei übers Wochenende – und Sie sind raus aus der Kategorie „bequemes Ziel“, in der der Großteil der kleinen Unternehmen lebt. Den Rest baut man in Ruhe nach – am besten gleich als Wartungsplan, damit es von selbst läuft.

Wer am Ende ruhig schläft

Erinnern Sie sich an die zwei Inhaber mit identischen Shops. Der Unterschied lag nicht im Glück und nicht in der Größe, sondern in ein paar langweiligen Entscheidungen, die vorher fielen: Updates laufen, ein Backup wird gezogen, an der Tür hängt ein zweites Schloss. Der eine wartet am Montag wochenlang, bis Google die Markierung aufhebt; der andere weiß nicht einmal, dass derselbe Bot über seine Seite gelaufen ist.

Website-Sicherheit bringt keine neuen Kunden direkt – ihre Aufgabe ist, dass Sie die bereits verdienten nicht verlieren. Sie ist ein Fundament, das man erst an dem Tag bemerkt, an dem es nachgibt. Sein Preis sind ein paar richtige Gewohnheiten und eine vorhersehbare Zahlung; der Preis seines Fehlens sind Ausfall, Deindexierung und ein über Jahre gewachsenes Vertrauen, das an einem Wochenende verbrennt. Die Wahl ist im Kern: ein wenig im Voraus zahlen oder später teuer. Wer das Erste gewählt hat, schläft freitags ruhig.