Was tun, wenn Ihre Website gehackt wurde

Jazmie Jamaludin

Die Entdeckung, dass Ihre Website gehackt wurde, ist ein Schockmoment. Die sorgfältig aufgebauten Seiten sind verunstaltet, leiten um oder stellen Ihren Besuchern unbemerkt Malware bereit; Kunden sehen möglicherweise Warnungen; und Ihr erster Instinkt ist wahrscheinlich Panik. Doch die Unternehmen, die einen Sicherheitsvorfall mit dem geringsten Schaden überstehen, sind fast nie diejenigen, die am schnellsten aus Angst reagierten – es sind diejenigen, die ruhig und methodisch handelten und einem klaren Plan folgten.

Dieser Leitfaden gibt Ihnen diesen Plan an die Hand. Er führt Sie Schritt für Schritt durch die Maßnahmen, die Sie ergreifen müssen, wenn Ihre Website gehackt wird, von den ersten Momenten der Eindämmung über die Bereinigung, Wiederherstellung und Sicherung der Website bis hin zur Verhinderung einer Wiederholung. Er ist für Geschäftsinhaber und nicht für Sicherheitstechniker geschrieben, daher sind die Schritte praktisch und einfach erklärt. Er ergänzt unsere Leitfäden zu den Grundlagen der Website-Sicherheit und den umfassenderen Leitfaden zur Website-Wartung.

Erstens: Die Anzeichen erkennen

Manchmal ist ein Hack offensichtlich – Ihre Startseite wird durch die Nachricht eines anderen ersetzt. Oft ist er jedoch subtil. Anzeichen können unerwartete Weiterleitungen zu unbekannten Websites, seltsame neue Seiten oder Pop-ups, ein plötzlicher Rückgang des Traffics, Warnungen Ihres Browsers oder Ihrer Search Console, dass die Website schädlich sein könnte, unbekannte Benutzerkonten oder die Sperrung Ihrer Website durch Ihren Host wegen Spam-Versands sein. Wenn sich etwas falsch anfühlt, nehmen Sie die Möglichkeit ernst, anstatt zu hoffen, dass es sich von selbst löst.

30.000
Websites werden weltweit schätzungsweise täglich gehackt – daher ist ein klarer Wiederherstellungsplan für jedes Unternehmen wichtig, nicht nur für große
Quelle: Astra Security

Die wichtigste Einstellung ist, schnell, aber nicht überstürzt zu handeln. Jede Stunde, in der eine kompromittierte Website online bleibt, kann sie Besucher schädigen, Ihren Ruf bei Suchmaschinen ruinieren und dem Angreifer mehr Zeit verschaffen. Doch überstürzte, panische Änderungen können auch Beweise für das Zustandekommen des Verstoßes zerstören oder die Wiederherstellung erschweren. Die folgenden Schritte wägen Geschwindigkeit und Sorgfalt ab, in etwa der Reihenfolge, in der Sie sie befolgen sollten.

Schritt eins: Den Schaden eindämmen

Ihre erste Priorität ist es, das „Bluten“ zu stoppen. Wenn die Website Besucher aktiv schädigt – Malware verbreitet, sie umleitet oder Daten stiehlt –, nehmen Sie sie sofort offline oder versetzen Sie sie in den Wartungsmodus. Eine temporäre Platzhalterseite ist weitaus weniger schädlich als eine Live-Website, die Malware an Ihre Kunden und an alle, die Suchmaschinen warnen, verbreitet.

Kontaktieren Sie gleichzeitig Ihren Hosting-Provider. Hosts haben routinemäßig mit kompromittierten Websites zu tun, können oft sehen, was auf Serverebene geschieht, und haben das Problem möglicherweise bereits erkannt. Sie können Sie bei der sofortigen Eindämmung beraten und in einigen Fällen bei der Bereinigung unterstützen. Schämen Sie sich nicht zu fragen; dies ist ein normaler Bestandteil des Betriebs von Websites, und Ihr Host ist hier Ihr Verbündeter.

Schritt zwei: Zugriff sperren

Sobald der unmittelbare Schaden eingedämmt ist, unterbinden Sie den Zugriff des Angreifers. Ändern Sie die Passwörter für alles, was mit der Website verbunden ist: Ihr Hosting-Konto, Ihr Content-Management-System, Ihre Datenbank, FTP- oder Dateizugriffe sowie alle verbundenen E-Mail- oder Drittanbieterdienste. Verwenden Sie für jedes Konto neue, starke, eindeutige Passwörter, und wo die Multi-Faktor-Authentifizierung verfügbar ist, aktivieren Sie diese jetzt.

Überprüfen Sie die Liste der Benutzerkonten mit Zugriff auf Ihre Website und entfernen Sie alles Unbekannte – Angreifer erstellen oft neue Administratorkonten, um einen Rückweg zu behalten. Das umfassende Entziehen von Zugriffsrechten ist unerlässlich, da die Bereinigung der Website sinnlos ist, wenn der Angreifer einfach über ein verpasstes Anmelde- oder Benutzerkonto wieder eindringen kann.

Die Wiederherstellungssequenz auf einen Blick
Schritt Was er bewirkt
Eindämmen Die Website offline nehmen und verhindern, dass sie Besucher schädigt
Sperren Alle Passwörter ändern und unbekannte Konten entfernen
Bereinigen oder wiederherstellen Eine saubere Sicherung wiederherstellen oder alle bösartigen Codes entfernen
Die Lücke schließen Die Schwachstelle beheben, damit sie nicht erneut auftreten kann

Schritt drei: Die Website bereinigen oder wiederherstellen

Nun folgt die eigentliche Wiederherstellung, und hier haben Sie im Allgemeinen zwei Wege. Der erste und meist sauberste ist die Wiederherstellung aus einem Backup, das vor der Kompromittierung erstellt wurde. Wenn Sie ein aktuelles, sauberes Backup haben, versetzt die Wiederherstellung die Website in einen bekannten, guten Zustand, ohne die mühsame Arbeit, jedes einzelne Stück bösartigen Codes zu suchen. Genau deshalb sind zuverlässige Backups so wichtig – unser Leitfaden zur Sicherung Ihrer Website erklärt, wie Sie diese genau für diesen Moment bereithalten.

Der zweite Weg, falls Sie kein brauchbares Backup haben, besteht darin, die Website an Ort und Stelle zu bereinigen: den bösartigen Code zu identifizieren und zu entfernen, alle vom Angreifer hinzugefügten Dateien zu löschen und das Geänderte zu reparieren. Dies ist schwieriger und fehleranfälliger, denn wenn auch nur eine einzige versteckte Hintertür übersehen wird, kann der Angreifer sofort wieder eindringen. Bei einer schwerwiegenden oder hartnäckigen Kompromittierung ist es ratsam, professionelle Hilfe in Anspruch zu nehmen – Sicherheitsspezialisten können Bedrohungen zuverlässiger identifizieren und entfernen als ein Laie, der unter Druck arbeitet. Welchen Weg Sie auch wählen, scannen Sie die bereinigte oder wiederhergestellte Website gründlich, bevor Sie sie als sicher betrachten.

Schritt vier: Die Lücke schließen, die den Eindringlingen den Weg ebnete

Eine saubere Website wiederherzustellen, ist nur die halbe Miete. Wenn Sie die Schwachstelle, die den Verstoß ermöglichte, nicht beheben, warten Sie nur darauf, erneut gehackt zu werden – oft innerhalb weniger Tage durch denselben automatisierten Angriff. Identifizieren Sie, wie der Angreifer eingedrungen ist, was sich normalerweise auf eine bekannte Reihe von Übeltätern reduziert: veraltete Software mit einer ungepatchten Schwachstelle, ein schwaches oder wiederverwendetes Passwort oder ein kompromittiertes Plugin oder Theme.

Was auch immer die Ursache ist, beheben Sie sie jetzt. Aktualisieren Sie alles auf die neuesten Versionen, stärken Sie die Authentifizierung, entfernen Sie jegliche Software, die Sie nicht benötigen, und wenden Sie die Sicherheitsgrundlagen an, die in unserem Leitfaden zu Sicherheitsgrundlagen und den weithin anerkannten OWASP-Empfehlungen beschrieben sind. Das Schließen der spezifischen Lücke macht aus einem einmaligen Vorfall eine echte Wiederherstellung statt eines wiederkehrenden Albtraums.

Schritt fünf: Dienst wiederherstellen und genau überwachen

Nachdem die Website bereinigt, gesichert und die Schwachstelle behoben wurde, können Sie sie wieder online nehmen. Aber die Arbeit ist noch nicht ganz abgeschlossen. Überwachen Sie die Website danach für eine gewisse Zeit genau auf Anzeichen einer erneuten Infektion oder ungewöhnliche Aktivitäten, da Angreifer manchmal schlummernde Hintertüren hinterlassen, die später aktiviert werden. Behalten Sie in den Wochen nach dem Vorfall insbesondere neue Benutzerkonten, Dateiänderungen und Traffic-Muster im Auge.

Es lohnt sich auch, eine Überprüfung durch Suchmaschinen zu beantragen, wenn Ihre Website markiert oder auf die schwarze Liste gesetzt wurde, damit alle Warnungen, die den Besuchern angezeigt werden, aufgehoben werden, sobald die Website als sauber bestätigt ist. Die Wiederherstellung nicht nur der Website, sondern auch ihres Rufs – sowohl bei Kunden als auch bei Suchmaschinen – ist Teil einer vollständigen Genesung und schützt die Suchsichtbarkeit, die Sie aufgebaut haben.

Den nächsten Vorfall verhindern

Jeder Hack birgt dieselbe grundlegende Lektion: Prävention ist weitaus kostengünstiger und weniger stressig als die Wiederherstellung. Die Unternehmen, die sich schnell erholen, sind überwiegend diejenigen, die bereits aktuelle Backups und aktuelle Software im Einsatz hatten, und der Weg, einer von ihnen zu sein, besteht darin, die grundlegenden Disziplinen konsequent zu pflegen, anstatt erst nach einer Krise.

Das bedeutet, Software zeitnah zu aktualisieren, starke Authentifizierung beizubehalten, regelmäßige, getestete Backups zu erstellen und eine stetige Wartungsroutine wie die in unserer Wartungscheckliste zu befolgen. Diese Gewohnheiten verhindern die große Mehrheit der Vorfälle und stellen sicher, dass der seltene Fall, der durchschlüpft, schnell behoben werden kann. Ein Hack ist beängstigend, aber mit Vorbereitung überlebbar; ohne sie kann er verheerend sein. Die Asymmetrie zwischen den geringen Kosten der Prävention und den hohen Kosten der Wiederherstellung ist das stärkste Argument dafür, die Wartung ernst zu nehmen, bevor etwas schiefgeht.

Häufig gestellte Fragen

Was ist das Allererste, was ich tun muss, wenn meine Website gehackt wurde?+
Den Schaden eindämmen. Wenn die Website Besucher aktiv schädigt, nehmen Sie sie sofort offline oder in den Wartungsmodus und kontaktieren Sie dann Ihren Hosting-Provider. Die Verhinderung weiterer Schäden geht der Bereinigung vor, denn jede Stunde, die eine kompromittierte Website online bleibt, schadet sie Ihren Besuchern und Ihrem Ruf.
Kann ich einfach ein Backup wiederherstellen und bin fertig?+
Das Wiederherstellen eines sauberen Backups ist der sauberste Weg, die Website wiederherzustellen, aber es ist nicht die gesamte Arbeit. Sie müssen auch die Schwachstelle identifizieren und schließen, die den Verstoß ermöglichte, sonst werden Sie wahrscheinlich erneut gehackt. Wiederherstellen, dann die Lücke schließen und alle Passwörter ändern.
Was, wenn ich kein Backup zur Wiederherstellung habe?+
Dann muss die Website an Ort und Stelle bereinigt werden – jedes Stück bösartigen Codes und alle vom Angreifer hinzugefügten Dateien müssen identifiziert und entfernt werden. Dies ist schwierig und fehleranfällig, und bei einer schwerwiegenden Kompromittierung ist es ratsam, einen Sicherheitsexperten hinzuzuziehen. Die Erfahrung ist auch ein starker Grund, zukünftig zuverlässige Backups einzurichten.
Wie verhindere ich, dass es wieder passiert?+
Schließen Sie die spezifische Lücke, durch die der Angreifer eindringen konnte – normalerweise veraltete Software, ein schwaches Passwort oder ein anfälliges Plugin – und pflegen Sie dann konsequent die Grundlagen: schnelle Updates, starke Authentifizierung, getestete Backups und regelmäßige Überwachung. Diese Gewohnheiten verhindern die große Mehrheit der Vorfälle und dämmen den Rest ein.
Sollte ich meine Kunden informieren, wenn meine Website gehackt wurde?+
Wenn Kundendaten möglicherweise offengelegt wurden, haben Sie in der Regel sowohl eine ethische als auch oft eine rechtliche Verpflichtung, die Betroffenen zu informieren. Selbst wenn keine Daten offengelegt wurden, bewahrt ehrliche Kommunikation das Vertrauen besser als Schweigen. Überprüfen Sie die Datenschutzanforderungen, die für Ihre Situation gelten.

Die wichtigsten Erkenntnisse

  • Handeln Sie schnell, aber besonnen. Eine methodische Reaktion begrenzt den Schaden weitaus besser als Panik; die Reihenfolge ist: Eindämmen, sperren, bereinigen, Lücke schließen.
  • Zuerst eindämmen. Nehmen Sie eine schädliche Website offline und rufen Sie Ihren Host an, bevor Sie eine Bereinigung versuchen.
  • Wiederherstellung schlägt Reparatur. Ein sauberes, aktuelles Backup ist der schnellste Weg zurück; ohne eines ist die Bereinigung vor Ort schwieriger und erfordert möglicherweise professionelle Hilfe.
  • Immer die Lücke schließen. Das Beheben der Schwachstelle, die den Verstoß verursacht hat, verhindert eine sofortige Wiederholung.
  • Prävention ist weitaus günstiger. Aktuelle Backups und aktuelle Software verwandeln eine potenzielle Katastrophe in einen beherrschbaren Vorfall.

Fazit

Eine gehackte Website ist alarmierend, aber bei guter Reaktion ist sie selten das Ende der Geschichte. Dämmen Sie den Schaden ein, sperren Sie den Zugang, stellen Sie von einem sauberen Backup wieder her oder bereinigen Sie die Website gründlich, schließen Sie die Lücke, durch die der Angreifer eingedrungen ist, und überwachen Sie sie danach genau. Wenn Sie dieser Reihenfolge folgen, erholen sich die meisten Websites vollständig. Die tiefere Lehre ist jedoch, dass die vorherige Vorbereitung – Backups, Updates und eine stetige Wartungsroutine – die Wiederherstellung schnell statt ruinös macht. Betrachten Sie diesen Leitfaden als einen Plan, den Sie hoffentlich nie brauchen werden, und die Wartungsgewohnheiten als die Versicherung, die das Eintreten dieser Notwendigkeit weitaus unwahrscheinlicher macht.

Wenn Sie lieber Schutz und schnelle Wiederherstellung für sich erledigen lassen möchten, können Sie sich ansehen, was ein laufender Wartungsplan abdeckt, oder anfragen, was Ihre Website benötigen würde.

Referenzen

  1. Astra Security. „Small Business Cyber Attack Statistics.“ getastra.com.
  2. OWASP Foundation. „OWASP Top Ten Web Application Security Risks.“ owasp.org.
Zurück zum Blog

AUTOMATISIEREN. OPTIMIEREN. DOMINIEREN.

Optimieren Sie Ihre Betriebsabläufe und bieten Sie ein reibungsloses Kundenerlebnis. Unsere Experten implementieren modernste Technologien und optimierte Arbeitsabläufe, damit Sie sich auf Ihre Kernkompetenzen konzentrieren können.

DISKUTIEREN SIE IHRE IDEEN