Website-Sicherheit für KMU — was wirklich wichtig ist und was nur Show

Website-Sicherheit für KMU — was wirklich wichtig ist und was nur Show

Website-Sicherheit ist für die meisten KMU ein Bauchgefühl-Thema, bis etwas passiert. Diese Übersicht zeigt, was realistisch droht, welche fünf Grundlagen jede Site braucht und wer eigentlich verantwortlich ist, wenn die Site nachts um drei nicht mehr erreichbar ist.

Inhaltsverzeichnis 12 Abschnitte

Was wirklich passiert, wenn eine KMU-Site gehackt wird

Die meisten Vorstellungen von einem „Hack“ stammen aus Filmen: jemand sitzt vor einem dunklen Bildschirm, gezielt, mit politischer oder kommerzieller Agenda. Die Realität bei KMU-Sites ist unspektakulärer und genau deshalb verbreiteter. Automatisierte Bots scannen Tag und Nacht das öffentliche Netz nach veralteter Software, schwachen Passwörtern und ungesicherten Formularen. Dein lokaler Installateur, das Familienhotel mit 38 Zimmern und der Steuerberater in der Bezirkshauptstadt sind nicht das Ziel – sie sind einfach das, was die Bots zuerst finden.

Was dann konkret passiert, lässt sich in vier Mustern zusammenfassen.

Erstens, die Site wird zur Spam-Schleuder. Angreifer hängen ein Skript an, das Tausende Mails über deinen Server verschickt. Folge: deine Domain landet auf Blacklists, eigene Geschäfts-Mails werden nicht mehr zugestellt, Hosting-Anbieter sperrt deinen Account.

Zweitens, die Site wird umgeleitet. Besucher klicken auf dein Suchergebnis und landen auf einer Glücksspiel-, Pillen- oder Phishing-Seite. Google merkt das und setzt deine Domain auf eine eigene Warnliste, die Besucher mit einer roten Sperr-Seite begrüßt.

Drittens, Daten werden abgegriffen. Bei Sites mit Formularen, Kundenbereich oder Online-Shop: Namen, Mailadressen, ggf. Zahlungsdaten. Folge: DSGVO-Meldepflicht binnen 72 Stunden, möglicher Bußgeld-Verfahren, Vertrauensverlust bei den Betroffenen.

Viertens, die Site wird verschlüsselt – Ransomware. Das ist seltener bei kleinen WordPress-Sites, aber durchaus üblich bei größeren CMS-Installationen. Folge: keine eigene Site mehr, bis das Backup zurückgespielt ist.

Stefan, Installateur in Kärnten mit 14 Mitarbeitenden, hat letztes Jahr Variante eins erlebt. Drei Tage waren seine Geschäfts-Mails auf SPF- und Microsoft-Blacklists, was bei einem Betrieb, dessen Auftragsannahme über Mail läuft, deutlich teurer war als die Wiederherstellung der Site selbst. Verursacht durch ein Kontaktformular-Plugin, das anderthalb Jahre kein Update gesehen hatte.

Die fünf Grundlagen, die jede KMU-Site braucht

Bevor du in Premium-Sicherheits-Tools investierst, frag dich: sind die fünf Basis-Disziplinen erledigt. In rund drei Vierteln der Hack-Vorfälle bei KMU-Sites war eine dieser fünf Säulen die offene Tür[1].

  1. HTTPS und gültiges SSL-Zertifikat. Pflicht seit 2018, automatisch bei seriösen Hostern. Wer hier rotes Schloss im Browser hat, hat ein erstes Vertrauensproblem, bevor das Sicherheitsthema überhaupt beginnt.
  2. Aktuelle Software und Updates. CMS-Kern, Theme, Plugins, PHP-Version, Datenbank-Version. Veraltete Komponenten sind die häufigste Einfallspforte.
  3. Verlässliche Backups. Mindestens täglich, getrennt von der laufenden Site, im Notfall in unter 60 Minuten zurückspielbar.
  4. Starke Logins und Zwei-Faktor-Authentifizierung. Für jeden Account mit Schreibrechten – kein Spielraum, auch nicht für den Sohn der Sekretärin, der „nur einmal kurz“ das Foto austauscht.
  5. Formular- und Bot-Schutz. Captcha, Honeypot-Felder, Rate-Limits. Ohne diese drei Maßnahmen ist jedes Kontaktformular ein offener Briefkasten für Spammer und Phishing.

Wer diese fünf Punkte sauber hat, ist nicht unhackbar – aber er ist nicht mehr Teil des automatisierten Massensiebs, das die meisten Vorfälle verursacht.

HTTPS — der Selbstverständlichkeits-Check

HTTPS und SSL-Zertifikat sind die Eintrittskarte. Ohne diese beiden bist du bei modernen Browsern als „nicht sicher“ gekennzeichnet, was Besucher sofort spüren und Google im Ranking abwertet.

Bei seriösen Hostern ist ein gültiges SSL-Zertifikat heute kostenlos und automatisch eingerichtet – meist über Let's Encrypt, das alle 90 Tage erneuert wird. Wer einen Hoster hat, der für SSL extra Geld verlangt, hat den falschen Hoster.

Was du selbst prüfen kannst: öffne deine Site, schau auf das Schloss-Symbol in der Adressleiste. Wenn dort „Nicht sicher“ steht oder das Schloss durchgestrichen ist, hat deine Site ein konkretes Problem, das du heute lösen solltest, nicht nächste Woche.

Vertiefte Hinweise zu Zertifikatstypen und Konfiguration stehen im eigenen Beitrag zu SSL und HTTPS. Für diese Übersicht reicht: HTTPS ist Pflicht, kostet nichts, ist in unter einer Stunde eingerichtet – wer es nicht hat, hat keine Sicherheitsdiskussion, sondern eine Setup-Lücke.

Aktuelle Software — warum „läuft doch“ das teuerste Sicherheitsgefühl ist

Die häufigste Aussage in Sicherheits-Audits: „die Site läuft seit drei Jahren ohne Probleme“. Übersetzt heißt das: niemand hat sie angefasst, niemand hat Updates eingespielt, niemand hat geprüft, ob die eingesetzten Plugins noch gepflegt werden.

Software-Sicherheit funktioniert so: irgendjemand findet eine Schwachstelle in einem CMS, einem Theme, einem Plugin. Die Schwachstelle wird gemeldet, der Hersteller veröffentlicht ein Update. Innerhalb von Stunden beginnen Bots, gezielt nach Sites zu suchen, die das Update noch nicht haben. Wer in der ersten Woche nach einem solchen Veröffentlichungs-Zyklus nicht aktualisiert, hat ein konkretes Risikofenster.

Drei Routinen helfen.

Erstens, ein Update-Rhythmus. Bei WordPress mindestens monatlich, bei kritischen Sicherheits-Updates innerhalb von 48 Stunden. Bei Baukasten-Sites übernimmt der Anbieter den Kernel – aber nicht jedes Drittanbieter-Tool oder externe Skript.

Zweitens, eine Inventarliste. Welche Plugins, Themes, Tools laufen auf deiner Site. Wenn du das selber nicht beantworten kannst, kann es dein Designer – wenn keiner es kann, ist das das eigentliche Problem.

Drittens, das stille Aussortieren. Plugins, die ihr Update-Verhalten eingestellt haben, gehören weg. Auch wenn sie heute „noch funktionieren“ – Schwachstellen finden sich später, der Hersteller patcht nicht mehr.

Backups — die einzige Versicherung, die wirklich greift

Wenn etwas passiert, ist das Backup der Unterschied zwischen drei Stunden Ausfall und drei Wochen Krisenmodus. Die Theorie ist klar, die Praxis sieht oft anders aus.

Drei Backup-Fehler, die in jedem zweiten KMU-Setup vorkommen.

Backup auf demselben Server. Wenn der Server fällt, fällt das Backup mit. Das ist kein Backup, sondern eine Kopie. Ein echtes Backup liegt auf einem getrennten System – beim Hoster automatisch, idealerweise zusätzlich in einer Cloud außerhalb des eigenen Hosting-Anbieters.

Backup, das nie getestet wurde. Du weißt erst, dass dein Backup funktioniert, wenn du es zurückgespielt hast. Einmal pro Halbjahr ein Test-Rückspiel auf einer Staging-Umgebung trennt die echten Backups von den Pseudo-Backups.

Backup, das zu alt ist. Tägliche Backups sind das Minimum, stündliche bei aktiven Shops oder Buchungssystemen. Wer in einem Tag fünf Buchungen verliert, hat verloren – auch wenn das Backup vom Vortag funktioniert.

Starke Logins und Zwei-Faktor — die häufigste Einfallspforte

Über 80 Prozent aller automatisierten Site-Angriffe versuchen, sich über schwache Passwörter und bekannte Standardbenutzer einzuloggen. Bots probieren Tausende Kombinationen pro Sekunde – „admin/admin“, „admin/12345“, die Top-100 der bekannten Passwortlisten.

Drei Maßnahmen genügen, um diese Angriffsklasse fast vollständig auszuschließen.

Erstens, Benutzernamen, die kein „admin“ sind. Der Standard-Benutzer bei WordPress ist die erste Anlaufstelle jedes Bots – wer einen eigenen Benutzernamen verwendet, halbiert die Angriffsfläche.

Zweitens, Passwörter mit echter Komplexität. Mindestens 16 Zeichen, generiert durch einen Passwort-Manager, niemals wiederverwendet. „Sommer2024!“ gehört in keine Site mehr.

Drittens, Zwei-Faktor-Authentifizierung für alle Accounts mit Schreibrechten. Authenticator-App, kein SMS-Code – SMS lässt sich abfangen, Authenticator nicht. Für WordPress gibt es kostenlose Plugins, für Baukasten-Anbieter ist 2FA in den Account-Einstellungen meist verfügbar.

Wenn du nur einen Punkt aus diesem Beitrag umsetzt, sollte es Zwei-Faktor-Authentifizierung für deinen Admin-Zugang sein. Der Aufwand: zehn Minuten. Der Effekt: er hält praktisch alle automatisierten Angriffe von außen ab.

Spam, Bots, Formulare — was vor der Tür stehen bleiben sollte

Ein Kontaktformular ohne Schutz ist ein offener Briefkasten für Spam-Bots. Innerhalb weniger Wochen nach Launch landen darin pro Tag Dutzende automatisierter Nachrichten, die deine Übersicht zerstören und im schlimmsten Fall echte Anfragen überdecken.

Drei Schutzmechanismen, die zusammen funktionieren.

Captcha oder unsichtbare Bot-Erkennung. reCAPTCHA von Google ist verbreitet, hat aber dieselben Datenschutz-Implikationen wie eine eingebettete Google-Maps-Karte – eine Drittland-Datenübermittlung, die eigentlich eine Einwilligung braucht. Alternativen wie hCaptcha oder Cloudflare Turnstile sind DSGVO-freundlicher.

Honeypot-Felder. Ein verstecktes Formular-Feld, das nur Bots ausfüllen. Wenn das Feld einen Wert enthält, wird die Eingabe verworfen. Für echte Besucher unsichtbar, für Bots eine zuverlässige Falle.

Rate-Limits. Wenn von einer IP-Adresse drei Formulare in zehn Sekunden kommen, ist das nicht ein eiliger Kunde – das ist ein Bot. Solche Sendungen werden temporär blockiert.

Wer alle drei Maßnahmen kombiniert, reduziert die Spam-Quote um die 95 Prozent. Wer keine davon hat, wundert sich, warum echte Anfragen im Spam-Sumpf untergehen.

Wer ist eigentlich verantwortlich? Hosting-Modelle im Vergleich

Die Frage, wer für was zuständig ist, ist bei Sicherheit besonders heikel. Vier typische Konstellationen.

Klassische Baukasten-Anbieter. Hier kümmert sich der Anbieter um Server-Sicherheit, SSL, CMS-Updates, Infrastruktur-Backups. Was bei dir bleibt: starke Logins, 2FA, Datenschutz-Konfiguration, Drittanbieter-Apps. Wer hier Angst vor Eigenverantwortung hat, ist gut aufgehoben – mit dem Preis einer geringeren Anpassungsfähigkeit.

Geteiltes WordPress-Hosting beim Discount-Anbieter. Hier teilst du dir den Server mit Hunderten anderen Sites, der Anbieter macht infrastrukturelle Backups, alle Software-Updates sind deine Aufgabe. Das ist das Modell mit der höchsten Eigenverantwortung und gleichzeitig der häufigsten Vernachlässigung.

Managed WordPress-Hosting. Hier übernimmt der Anbieter Updates, Backups, Performance-Optimierung – bei höheren monatlichen Kosten zwischen 25 und 80 Euro. Sicherheits-Niveau deutlich höher als beim Discount-Hosting, dafür eingeschränkte Konfigurations-Freiheit.

Individuelles CMS auf eigenem Hosting. Selbst gebaute Site, eigener Server oder VPS. Vollständige Kontrolle, vollständige Verantwortung. Dieses Modell macht nur Sinn, wenn jemand intern oder extern die Pflege laufend übernimmt – sonst ist die Kontrollfreiheit eine Belastung, kein Vorteil.

Welches Modell für dich passt, hängt weniger vom Preis ab als von der Frage, wer die laufende Sicherheits-Disziplin im Alltag verantwortet.

DSGVO und Sicherheit — die rechtliche Doppelpflicht

Was viele KMU-Verantwortliche unterschätzen: Sicherheit ist nicht nur eine Frage des guten Willens, sondern eine rechtliche Pflicht. Artikel 32 DSGVO verlangt „angemessene technische und organisatorische Maßnahmen“ zum Schutz personenbezogener Daten. Übersetzt: HTTPS, sichere Logins, Backups, aktualisierte Software sind nicht freiwillig, sondern dokumentationspflichtig.

Bei einem Vorfall – Datenpanne, Hack mit Datenabfluss – hast du 72 Stunden Zeit, das den zuständigen Behörden zu melden. Wer in diesem Fenster nicht reagiert oder seine vorigen Schutzmaßnahmen nicht belegen kann, ist nicht nur technisch im Krisenmodus, sondern auch rechtlich.

Andrea, Hotelière in den Kärntner Bergen mit 38 Zimmern, hat das im Vorjahr von außen erlebt – ein anderes Hotel in der Region war betroffen, die Datenschutzbehörde fragte branchenweit nach. Bei ihr war alles dokumentiert: SSL, Backups, 2FA, regelmäßige Updates. Die Anfrage war nach 20 Minuten beantwortet. Bei einem Mitbewerber zog sich die Korrespondenz mehrere Wochen, weil grundlegende Sicherheits-Nachweise erst nachträglich produziert werden mussten.

Die DSGVO-Schnittstelle hat einen unangenehmen Nebeneffekt: was du nicht vorab erledigst, kostet im Ernstfall ein Vielfaches – Anwalt, Forensik, Krisenkommunikation. Wer die fünf Grundlagen erledigt, hat in fast jedem Vorfall die Argumentations-Linie schon vorgezeichnet.

Was du selbst kannst — und wann eine Profi-Hand fällig wird

Vier Disziplinen sind realistisch von Nicht-Technikern in ein paar Stunden machbar.

Erstens, alle Admin-Zugänge mit Zwei-Faktor absichern. Dauer: 30 Minuten pro Account, einmalig. Aufwand: ein Authenticator-App-Download.

Zweitens, schwache Passwörter ersetzen. Mit einem Passwort-Manager (1Password, Bitwarden, KeePass) eine Stunde investieren, alle Zugänge durchgehen. Bonus: du brauchst dir keinen einzigen mehr zu merken.

Drittens, das eigene Backup prüfen. Beim Hoster nachfragen, was wie oft gesichert wird und wie ein Rückspiel funktioniert. Wenn du nach einem Vier-Augen-Gespräch nicht weißt, wie deine Site im Ernstfall in Stunden wiederhergestellt werden kann, hast du die richtige Frage gestellt.

Viertens, Formulare prüfen. Captcha aktiv, Honeypot eingebaut – wenn nein, in eine halbe Stunde nachholen.

Was Profi-Hand braucht: Schwachstellen-Scan, Plugin-Audit auf nicht mehr gepflegte Komponenten, Konfiguration der Server-Sicherheit (Firewall, Fail2Ban, HTTP-Header), Aufbau eines Monitoring-Systems, das dich warnt, bevor etwas passiert. Realistische Honorare: zwischen 400 und 1.500 Euro für ein einmaliges Sicherheits-Audit mit Maßnahmenliste, je nach Umfang.

Wenn deine Site auch Buchungen, Shop-Funktion oder Login-Bereich für Kunden hat, ist die einmalige Investition in ein Audit fast immer das günstigste, was du in puncto Sicherheit machen kannst.

Was heute sicher konfiguriert ist, ist in achtzehn Monaten nicht mehr automatisch sicher. Plugins werden nicht mehr gepflegt, Schwachstellen werden entdeckt, neue Angriffsmuster entstehen. Sicherheit ist deshalb kein Projekt mit Endpunkt, sondern eine laufende Disziplin – einmal pro Quartal eine halbe Stunde, oder ein laufender Pflege-Vertrag bei deinem Designer.

Häufige Fragen

Wie wahrscheinlich ist es, dass meine KMU-Site überhaupt angegriffen wird?

Automatisierte Bot-Scans erreichen praktisch jede öffentlich erreichbare Site mehrfach täglich. Die Frage ist nicht, ob deine Site gescannt wird, sondern ob bei diesem Scan eine offene Tür gefunden wird. Wer die fünf Grundlagen abdeckt, hat die offenen Türen geschlossen.

Reicht ein SSL-Zertifikat als Sicherheitsmaßnahme?

Nein, SSL verschlüsselt nur die Verbindung zwischen Browser und Server. Es schützt nicht vor schwachen Passwörtern, veralteter Software oder ungesicherten Formularen. SSL ist die Eintrittskarte, nicht die Sicherheit selbst.

Wie oft sollte ich Backups meiner Website machen?

Mindestens täglich für eine reguläre KMU-Site, stündlich bei aktivem Shop oder Buchungssystem. Das Backup muss getrennt vom Hauptserver liegen und regelmäßig getestet werden. Ein nie zurückgespieltes Backup ist nur eine Annahme, dass es funktioniert.

Was kostet ein professionelles Sicherheits-Audit für eine KMU-Site?

Realistische Spannweite zwischen 400 und 1.500 Euro für ein einmaliges Audit mit Schwachstellen-Scan, Plugin-Prüfung und Maßnahmenliste. Wiederkehrende Pflege im Abo bewegt sich zwischen 50 und 200 Euro pro Monat, je nach Komplexität der Site.

Bin ich mit einem Baukasten-Anbieter automatisch sicher?

Sicherer als bei einem ungepflegten Discount-Hosting, aber nicht automatisch komplett. Der Baukasten-Anbieter kümmert sich um Infrastruktur und Software-Updates, du bleibst verantwortlich für starke Logins, 2FA, Datenschutz und Drittanbieter-Apps. Wer alles auf Standard lässt, hat trotzdem Lücken.

Was muss ich nach einem Hack-Vorfall rechtlich tun?

Wenn personenbezogene Daten betroffen sein könnten: binnen 72 Stunden Meldung an die Datenschutzbehörde, betroffene Personen informieren, Dokumentation aller Maßnahmen vor und nach dem Vorfall. Parallel die Site wiederherstellen, Ursache identifizieren, Schwachstellen schließen. Ohne juristische Begleitung wird das selten gut.

Was du heute tun kannst

Drei Schritte, die zusammen unter einer Stunde dauern: das Schloss-Symbol deiner Site prüfen, 2FA für deinen Admin-Zugang einrichten, dem Hoster eine Mail schicken mit der Frage „wie oft wird mein Backup erstellt, wie spiele ich es im Ernstfall zurück“. Wer diese drei Schritte heute macht, hat einen messbar besseren Sicherheitsstand als die Hälfte aller österreichischen KMU-Sites.

Sicherheit gewinnt für sich keine Kunden – sie verhindert nur, dass du welche verlierst. Genau das macht sie zum stillsten Zahnrad einer Website, die jeden Tag arbeitet: unsichtbar, solange alles läuft, und überraschend teuer in dem Moment, in dem es klemmt. Die halbe Stunde pro Quartal ist gegen diesen Moment versichert.

Wie geht es weiter?