Die Entdeckung, dass die eigene Website gehackt wurde, ist für jedes Unternehmen ein Albtraum. Besonders Schweizer KMU sind zunehmend im Visier von Cyberkriminellen, da sie oft über weniger ausgefeilte Sicherheitsmassnahmen verfügen als Grossunternehmen. Wenn Sie vermuten oder festgestellt haben, dass Ihre Website kompromittiert wurde, ist schnelles und besonnenes Handeln entscheidend. In diesem Artikel zeigen wir Ihnen 10 Sofortmassnahmen, die Sie ergreifen sollten, um den Schaden zu begrenzen und Ihre Website wieder sicher zu machen.
1. Ruhe bewahren und Situation analysieren
Der erste Schritt mag selbstverständlich erscheinen, ist aber entscheidend: Bewahren Sie Ruhe und analysieren Sie die Situation sachlich. Panik führt zu überstürzten Entscheidungen, die mehr Schaden anrichten können als der Hack selbst. Dokumentieren Sie alle Auffälligkeiten, die Sie bemerkt haben:
- Welche ungewöhnlichen Aktivitäten haben Sie festgestellt?
- Wann haben Sie die Kompromittierung bemerkt?
- Funktioniert Ihre Website noch normal oder gibt es Fehler?
- Haben Sie Warnungen von Suchmaschinen oder Ihrem Hosting-Provider erhalten?
Diese Informationen sind nicht nur für die Behebung wichtig, sondern auch für spätere rechtliche Schritte oder Versicherungsansprüche. Ein vertrauenswürdiger Partner wie FireStorm ISP kann Sie in dieser kritischen Phase mit professioneller Beratung unterstützen.
2. Website sofort offline nehmen oder in Wartungsmodus versetzen
Um weiteren Schaden zu verhindern – sowohl für Ihre Besucher als auch für Ihr Unternehmen – sollten Sie die Website unverzüglich offline nehmen oder in einen Wartungsmodus versetzen. Dies verhindert, dass:
- Kunden ihre persönlichen Daten auf einer kompromittierten Seite eingeben
- Malware an Besucher verteilt wird
- Ihre Website für weitere Angriffe oder als Sprungbrett für andere Attacken genutzt wird
- Suchmaschinen Ihre Website als unsicher markieren und Ihr Ranking dauerhaft schädigen
Setzen Sie eine einfache Wartungsseite auf, die Ihre Kunden informiert, dass Sie an technischen Problemen arbeiten. Vermeiden Sie es jedoch, öffentlich zu kommunizieren, dass Sie gehackt wurden – dies könnte das Vertrauen Ihrer Kunden unnötig erschüttern.
3. Alle Passwörter sofort ändern
Ändern Sie umgehend alle Passwörter, die mit Ihrer Website in Verbindung stehen. Dies ist eine der wichtigsten Sofortmassnahmen, um den Angreifern den Zugang zu entziehen. Dazu gehören:
- Hosting-Zugangsdaten: FTP, SFTP, SSH und Control Panel
- CMS-Zugänge: Alle WordPress-, Joomla- oder Drupal-Administratorkonten
- Datenbank-Passwörter: MySQL, PostgreSQL oder andere Datenbanksysteme
- E-Mail-Konten: Besonders administrative E-Mail-Adressen
- Externe Dienste: CDN, Analytics, Payment-Provider
Verwenden Sie dabei starke, einzigartige Passwörter für jeden Dienst. Ein Passwort-Manager kann Ihnen dabei helfen, diese sicher zu verwalten. Achten Sie darauf, dass neue Passwörter mindestens 16 Zeichen lang sind und Gross- und Kleinbuchstaben, Zahlen sowie Sonderzeichen enthalten.
4. Backup wiederherstellen oder bereinigen
Wenn Sie über aktuelle Backups verfügen, die vor der Kompromittierung erstellt wurden, ist die Wiederherstellung oft der schnellste Weg zurück zu einer sicheren Website. Stellen Sie sicher, dass das Backup wirklich aus einer Zeit stammt, bevor der Hack stattfand – manchmal schlummern Sicherheitslücken oder Malware bereits Wochen im System, bevor sie entdeckt werden.
Falls kein sauberes Backup verfügbar ist, müssen Sie Ihre Website manuell bereinigen. Dies kann komplex sein und erfordert oft professionelle Hilfe. Scannen Sie alle Dateien auf verdächtige Inhalte und überprüfen Sie die Datenbank auf eingeschleuste Einträge. Moderne Hosting-Lösungen mit integriertem DNSSEC und erweiterten Sicherheitsfeatures können solche Vorfälle in Zukunft verhindern.
5. SSL-Zertifikat überprüfen und Sicherheitsprotokolle aktivieren
Ein gültiges SSL-Zertifikat ist nicht nur wichtig für die Verschlüsselung der Datenübertragung, sondern auch ein Vertrauenssignal für Ihre Besucher. Nach einem Hack sollten Sie Ihr SSL-Zertifikat überprüfen und gegebenenfalls neu ausstellen lassen, besonders wenn Sie vermuten, dass die privaten Schlüssel kompromittiert wurden.
Zusätzlich sollten Sie folgende Sicherheitsmassnahmen aktivieren:
- HTTPS-Erzwingung: Leiten Sie alle HTTP-Anfragen automatisch auf HTTPS um
- HSTS (HTTP Strict Transport Security): Zwingt Browser, ausschliesslich über HTTPS zu kommunizieren
- Content Security Policy: Verhindert die Ausführung von unbefugtem Code
- Zwei-Faktor-Authentifizierung: Zusätzlicher Schutz für alle administrativen Zugänge
Ein professionelles Hosting sicher zu gestalten bedeutet, mehrere Sicherheitsebenen zu implementieren, die zusammen ein robustes Schutzsystem bilden.
6. Sicherheitslücken identifizieren und schliessen
Nach der Bereinigung müssen Sie die Ursache des Hacks identifizieren und beheben, sonst wiederholt sich das Problem. Häufige Einfallstore sind:
- Veraltete CMS-Versionen, Themes oder Plugins
- Schwache oder wiederverwendete Passwörter
- Unsichere Dateiupload-Funktionen
- SQL-Injection-Schwachstellen
- Cross-Site-Scripting (XSS) Lücken
- Fehlende oder falsch konfigurierte Firewalls
Führen Sie ein vollständiges Sicherheitsaudit durch und aktualisieren Sie alle Komponenten Ihrer Website. Entfernen Sie nicht genutzte Plugins, Themes und Benutzerkonten. Je weniger Angriffsfläche Sie bieten, desto sicherer ist Ihre Website.
7. Datenschutzrechtliche Pflichten erfüllen
In der Schweiz unterliegen Sie dem Datenschutzgesetz (DSG), das seit September 2023 in revidierter Form gilt. Wenn bei dem Hack personenbezogene Daten kompromittiert wurden, haben Sie Meldepflichten zu erfüllen. Sie müssen:
- Den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) informieren
- Betroffene Personen benachrichtigen, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht
- Den Vorfall dokumentieren
Die Nichteinhaltung dieser Pflichten kann zu erheblichen Bussgeldern führen. Ein proaktiver Umgang mit Datenschutz und Sicherheit ist daher nicht nur ethisch geboten, sondern auch rechtlich zwingend erforderlich.
8. System-Logs analysieren
Die Analyse von Server-Logs, Access-Logs und Fehlerprotokollen kann wertvolle Hinweise darauf geben, wie der Angriff erfolgte und ob noch weitere Schwachstellen existieren. Suchen Sie nach:
- Ungewöhnlichen Login-Versuchen oder erfolgreichen Logins von unbekannten IP-Adressen
- Verdächtigen Dateiänderungen oder -uploads
- Ungewöhnlichen Datenbank-Abfragen
- Traffic-Spitzen zu ungewöhnlichen Zeiten
Diese Informationen helfen nicht nur bei der unmittelbaren Problembehebung, sondern sind auch wichtig für die Stärkung Ihrer zukünftigen Sicherheitsmassnahmen.
9. Sicherheitsüberwachung und Monitoring einrichten
Nach einem erfolgreichen Hack sollten Sie ein kontinuierliches Monitoring-System einrichten, um zukünftige Angriffe frühzeitig zu erkennen. Dazu gehören:
- Dateiintegritätsüberwachung: Erkennt unerlaubte Änderungen an Systemdateien
- Malware-Scanner: Regelmässige automatische Scans auf Schadsoftware
- Uptime-Monitoring: Benachrichtigt Sie sofort, wenn die Website ausfällt
- Web Application Firewall (WAF): Filtert bösartigen Traffic heraus
- Intrusion Detection Systems: Erkennt Angriffsversuche in Echtzeit
Professionelle Hosting-Anbieter bieten oft integrierte Sicherheitsüberwachung als Teil ihrer Dienstleistung an, was besonders für KMU ohne eigene IT-Abteilung sinnvoll ist.
10. Präventivmassnahmen für die Zukunft implementieren
Ein Hack sollte als Weckruf dienen, die eigene Sicherheitsstrategie grundlegend zu überarbeiten. Implementieren Sie langfristige Präventivmassnahmen:
- Automatische Updates: Halten Sie CMS, Plugins und Themes immer aktuell
- Regelmässige Backups: Mindestens täglich, gespeichert an einem sicheren, externen Ort
- Sicherheitsschulungen: Sensibilisieren Sie Ihre Mitarbeiter für Phishing und Social Engineering
- Prinzip der minimalen Rechte: Geben Sie Benutzern nur die Rechte, die sie wirklich benötigen
- Regelmässige Sicherheitsaudits: Lassen Sie Ihre Website periodisch professionell überprüfen
Technologien wie DNSSEC helfen dabei, DNS-Manipulationen zu verhindern und erhöhen die Gesamtsicherheit Ihrer Online-Präsenz erheblich.
Professionelle Unterstützung in Anspruch nehmen
Ein Website-Hack kann für KMU existenzbedrohend sein – nicht nur wegen des unmittelbaren Schadens, sondern auch wegen des Vertrauensverlusts bei Kunden. Die beschriebenen Sofortmassnahmen sind wichtig, ersetzen aber nicht die Expertise von Sicherheitsspezialisten.
FireStorm ISP bietet Schweizer Unternehmen nicht nur sicheres Hosting mit integrierten Sicherheitsfeatures, sondern auch Unterstützung bei der Wiederherstellung nach Sicherheitsvorfällen. Mit Sitz in Tann im Kanton Zürich verstehen wir die speziellen Anforderungen des Schweizer Marktes und helfen Ihnen, Ihre Website dauerhaft zu schützen.
Prävention ist immer günstiger als die Behebung eines Schadens. Investieren Sie in professionelle Sicherheitslösungen, bevor es zu spät ist.
Häufig gestellte Fragen (FAQ)
Wie erkenne ich überhaupt, dass meine Website gehackt wurde?
Typische Anzeichen sind: plötzliche Weiterleitungen auf fremde Websites, unbekannte Dateien im Hosting-Bereich, drastische Verlangsamung der Ladezeiten, Warnmeldungen von Google oder anderen Suchmaschinen, unerklärliche Änderungen am Inhalt, ungewöhnliche Serveraktivitäten oder Beschwerden von Besuchern über Malware-Warnungen. Auch ein plötzlicher Einbruch im Suchmaschinen-Ranking kann ein Indiz sein.
Kann ich nach einem Hack einfach alle Dateien löschen und neu aufsetzen?
Das Löschen und Neuaufsetzen kann eine Lösung sein, besonders wenn Sie über ein sauberes Backup verfügen. Allerdings sollten Sie vorher die Ursache des Hacks identifizieren, sonst besteht die Gefahr, dass derselbe Angriff erneut gelingt. Ausserdem gehen ohne ordentliche Sicherung möglicherweise wichtige Daten verloren. Eine systematische Bereinigung unter Beibehaltung der Datenbank ist oft der bessere Weg.
Muss ich nach einem Website-Hack die Polizei informieren?
Eine strafrechtliche Anzeige ist nicht zwingend erforderlich, kann aber sinnvoll sein, besonders wenn finanzielle Schäden entstanden sind oder Kundendaten