WebAngebote24 LogoWebAngebote24
Wie es funktioniertVorteileFAQKundenportalKostenlos anfragen
Technik & Recht· 10 Min.

Website-Sicherheit: SSL, Backups & Schutz

HTTPS, Backups, Updates und Notfallplan — Pflicht-Maßnahmen gegen Ausfall, Hack und Datenverlust.

Illustration Website-Sicherheit SSL und Backups

Website-Sicherheit schützt nicht nur Ihre Daten, sondern auch die Ihrer Kunden und Ihren Ruf. Gehackte Sites verbreiten Malware, verlieren Google-Rankings und lösen DSGVO-Meldepflichten aus. SSL, Backups und grundlegende Härtung sind Pflicht – nicht Kür. Dieser Leitfaden zeigt KMU die wichtigsten Maßnahmen und realistischen Kosten.

Bedrohungslage für Unternehmenswebsites

KMU sind attraktive Ziele: oft schwach gesichert, aber mit wertvollen Kundendaten. Häufige Angriffe: Brute-Force auf wp-admin, veraltete Plugins, SQL-Injection, Phishing über kompromittierte Kontaktformulare. Die Schadenskosten eines Vorfalls liegen schnell bei 5.000 bis 50.000 Euro (Recovery, Rechtsberatung, Umsatzverlust).

Prävention ist günstiger: 50 bis 300 Euro monatlich für Wartung und Monitoring vs. einmalige Notfall-Bergung 2.000 bis 15.000 Euro.

SSL/TLS: Verschlüsselung als Basis

HTTPS ist Standard – Google markiert HTTP als unsicher. Let’s Encrypt liefert kostenlose Zertifikate; Managed Hostings inkludieren Renewal.

Achten Sie auf: TLS 1.2+, HSTS-Header, keine gemischten Inhalte, korrekte Weiterleitung HTTP→HTTPS.

Extended Validation (EV) Zertifikate sind für die meisten KMU unnötig (200–400 Euro/Jahr vs. kostenlos).

Backups: Ihre Versicherung

Regel 3-2-1: drei Kopien, zwei Medien, eine offsite. Tägliche automatische Backups, 30 Tage Retention minimum.

Restore vierteljährlich testen – ungetestete Backups sind wertlos.

Kosten: in Managed Hosting oft inklusive; standalone Tools (UpdraftPlus Premium, BlogVault) 50–120 Euro/Jahr.

Recovery-Zeit nach Ransomware mit soliden Backups: Stunden statt Wochen.

Weitere Sicherheitsmaßnahmen

Updates: CMS, Plugins, Server-Patches zeitnah – siehe Webseite-Wartung Kosten.

Starke Passwörter und 2FA für CMS, Hosting, FTP.

Web Application Firewall (Cloudflare, Wordfence): 0–200 Euro/Jahr.

Least Privilege: keine Admin-Accounts für Redakteure.

Datei-Upload-Restriktionen: nur erlaubte MIME-Types.

Security Headers: CSP, X-Frame-Options, Referrer-Policy.

Monitoring: Uptime, Malware-Scan, Login-Versuche.

Hosting-Wahl: Hosting und Domain richtig wählen.

Sicherheits-Checkliste

  • [ ] HTTPS auf allen Seiten, HSTS aktiv
  • [ ] Automatische tägliche Backups, Offsite-Speicher
  • [ ] Restore-Prozess dokumentiert und getestet
  • [ ] CMS und Plugins aktuell (max. 7 Tage Verzögerung)
  • [ ] 2FA für Admin-Zugänge
  • [ ] Keine Standard-Admin-URLs (/wp-admin absichern)
  • [ ] Firewall oder Rate-Limiting aktiv
  • [ ] DSGVO: AV-Vertrag mit Hosting-Anbieter
  • [ ] Incident-Response-Plan (wen anrufen bei Hack?)
  • [ ] Regelmäßiger Security-Audit (jährlich)

Kostenübersicht

| Maßnahme | Einmalig | Laufend | |----------|----------|---------| | SSL (Standard) | 0 € | 0 € | | Backup-Lösung | 0–200 € Setup | 0–15 €/Monat | | WAF/Security-Plugin | 0 € | 50–200 €/Jahr | | Professionelle Wartung | – | 80–250 €/Monat | | Penetrationstest (optional) | 2.000–8.000 € | – |

DSGVO und Meldepflichten

Bei Datenpannen: 72-Stunden-Meldung an Aufsichtsbehörde möglich. Logs sicher aufbewahren, Zugriffe dokumentieren. Barrierefreiheit und Sicherheit überschneiden sich: Barrierefreiheit Website EAA.

Incident Response: Was tun bei Hack?

Sofort: Site offline oder Wartungsmodus, Hosting-Provider informieren, Passwörter rotieren, Backup-Restore auf sauberen Stand, Google Search Console auf Malware-Warnung prüfen, bei Datenschutzverletzung ggf. Meldung binnen 72 Stunden. Vorfall-Dokumentation spart bei Versicherungsfragen Zeit. Cyber-Versicherung für KMU ab 500 bis 2.000 Euro/Jahr deckt oft Forensik und PR.

WordPress-Härtung in 30 Minuten

Admin-URL ändern oder limitieren, Login-Versuche begrenzen (Limit Login Attempts), keine „admin“-Benutzernamen, Datei-Editor deaktivieren, automatische Updates für Minor-Releases aktivieren, unnötige Plugins löschen. Diese Basismassnahmen kosten nichts und stoppen 80 % der Standard-Angriffe.

Backup-Strategie für Shops

Vor jedem Plugin-Update Backup; vor Saison-Peaks zusätzliches Snapshot. Datenbank und Uploads getrennt sichern. Testen Sie Restore auf Staging – nicht auf Live mitten im Betrieb. RTO unter 4 Stunden ist für Shops mit 50+ Bestellungen/Tag sinnvolles Ziel.

Security-Headers testen mit securityheaders.com. CSP schrittweise verschärfen – zu strikt bricht Skripte. File-Upload-Formulare: Typ-Whitelist, Virenscan, Speicherort außerhalb webroot. Admin-2FA mit Authenticator-App, nicht nur SMS. Separate Admin-Accounts pro Person – kein Shared Login. Logs aufbewahren für Forensik, DSGVO-konform rotieren. Pen-Test vor größeren Launches bei Shops mit vielen Zahlungen – 2.000–5.000 Euro einmalig.

Zusammenfassung für Entscheider

Als Geschäftsführer oder Marketingverantwortlicher in einem deutschen KMU müssen Sie nicht jedes technische Detail selbst beherrschen – aber Sie sollten Budget, Zeitplan und Erfolgskriterien definieren. Holen Sie mindestens zwei unabhängige Einschätzungen ein, dokumentieren Sie Anforderungen schriftlich und verknüpfen Sie digitale Investitionen mit messbaren Zielen: Anfragen, Umsatz, Kosteneinsparung gegenüber Offline-Kanälen. Viele Projekte scheitern nicht an fehlendem Know-how, sondern an unklaren Prioritäten und wechselnden Anforderungen mitten im Projekt. Ein fester Ansprechpartner auf Kunden- und Anbieterseite sowie monatliche Status-Updates verhindern teure Missverständnisse. Planen Sie nach dem Launch mindestens 90 Tage ein, in denen Sie Daten sammeln, bevor Sie große Strategiewechsel vornehmen – organische Sichtbarkeit, Conversion-Optimierung und technische Stabilität brauchen Zeit, um Wirkung zu zeigen. Wer langfristig denkt, investiert nicht nur in den Launch, sondern in Pflege, Weiterentwicklung und regelmäßige Reviews. Das gilt unabhängig davon, ob Ihr Budget eher 5.000 oder 50.000 Euro beträgt: Transparenz, realistische Erwartungen und kontinuierliche Optimierung sind der gemeinsame Erfolgsfaktor für professionelle Websites und Shops im deutschen Mittelstand.

Speichern Sie Backup-Zugangsdaten getrennt vom Produktivsystem – Ransomware greift oft auch lokale Kopien mit.

Aktualisieren Sie Notfall-Kontakte (Hosting, Agentur, intern) jährlich – im Ernstfall verliert jede Stunde Suche nach Zugangsdaten bares Geld.

Nutzen Sie diese Checkliste als Ausgangspunkt für ein Gespräch mit Ihrem Dienstleister – gemeinsam priorisieren Sie Maßnahmen nach Budget und Business-Impact im kommenden Quartal.

Im Webdesign-Hub finden Sie Anbieter mit Security-Fokus. Sichere Website von Anfang an: Webseite erstellen lassen.

Häufige Fragen

Faktisch ja — Browsers warnen ohne HTTPS, Google bevorzugt HTTPS, DSGVO verlangt sichere Übertragung sensibler Daten.

Redaktionell geprüft von

WebAngebote24 Redaktion

Unser Team recherchiert und aktualisiert Ratgeber zu Technik & Recht. Impressum & Kontakt

Zuletzt aktualisiert: Mai 2026