Sicherheit ist kein Produkt, das man einmal kauft und vergisst. Sie ist ein kleiner Satz von Gewohnheiten, die konsequent angewendet werden. Die gute Nachricht: Die meisten Unternehmenswebsites und Webanwendungen können den Großteil realistischer Risiken mit einer Handvoll grundlegender Praktiken abdecken.
HTTPS und Zertifikatsverwaltung
Jede Seite muss über HTTPS laden. Das ist kein Nice-to-have mehr, Browser, Nutzer und Suchmaschinen behandeln HTTP allesamt als defekt. Leiten Sie HTTP auf HTTPS um, erneuern Sie Zertifikate automatisch (die meisten Hoster tun das kostenlos), und prüfen Sie, dass Mixed-Content-Warnungen verschwunden sind.
Authentifizierung richtig gemacht
- Verwenden Sie lange Passwörter oder Passphrasen, nicht komplexe kurze.
- Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) für alles, was zählt, Admin-Panels, Hosting-Konten, E-Mail, Zahlungs-Tools.
- Nutzen Sie im Team einen Passwort-Manager, keine geteilte Tabelle.
- Entfernen Sie Konten, wenn Personen gehen. "Ruhende" Konten sind ein häufiger Einstiegspunkt.
Admin-Zugriff
Admin-URLs sollten von außen nicht erratbar sein. Begrenzen Sie die Rate der Anmeldeversuche, protokollieren Sie fehlgeschlagene Versuche und erwägen Sie eine zusätzliche Schicht (IP-Allowlist oder VPN) für hochsensible Panels.
Software-Updates
Die meisten öffentlichen Schwachstellen werden nach der Offenlegung schnell behoben; das eigentliche Risiko besteht darin, Software zu betreiben, die seit Monaten nicht aktualisiert wurde. Halten Sie Framework, CMS, Plugins, Laufzeit und Bibliotheken aktuell. Planen Sie routinemäßige Updates ein, statt sie nur nach einem Vorfall durchzuführen.
Sicherer Umgang mit Benutzereingaben
- Validieren Sie auf dem Server, nicht nur im Browser, alles, was vom Client kommt, kann verändert werden.
- Verwenden Sie parametrisierte Queries oder ein ordentliches ORM, um SQL-Injection zu verhindern.
- Escapen Sie Ausgaben korrekt, um Cross-Site-Scripting (XSS) zu verhindern.
- Begrenzen Sie, welche Dateien Nutzer hochladen können und wohin sie gelangen.
- Begrenzen Sie die Rate von Formularen und Endpunkten, die Angreifer ins Visier nehmen (Login, Registrierung, Kontakt).
Geheimnisse und Konfiguration
- Codieren Sie Passwörter, API-Schlüssel oder Tokens nicht fest in den Quellcode.
- Bewahren Sie sie in Umgebungsvariablen oder einem Secret-Manager auf, nicht im Repository eingecheckt.
- Rotieren Sie Geheimnisse, wenn jemand geht, oder nach jedem Vorfall.
Backups und Wiederherstellung
Ein Backup ist erst dann ein Backup, wenn es wiederhergestellt wurde. Regelmäßige, automatisierte Backups sind unerlässlich, aber ebenso ein getestetes Verfahren, um sie wiederherzustellen. Ransomware und versehentliche Löschungen passieren irgendwann jedem.
Monitoring und Logs
Sie können nicht auf das reagieren, was Sie nicht sehen. Behalten Sie mindestens Server-Logs, erfassen Sie Anwendungsfehler und richten Sie Alarme bei ungewöhnlichen Spitzen von 401/403/500-Antworten ein. So erfahren Sie frühzeitig von einem Angriff, statt erst im Nachhinein.
Datenschutz und Compliance
- Erheben Sie nur Daten, die Sie tatsächlich brauchen.
- Haben Sie eine klare Datenschutzerklärung und eine Cookie-Einwilligung, die die Realität widerspiegelt, nicht eine irgendwoher kopierte Vorlage.
- Verstehen Sie, welche Daten reguliert sind (Zahlung, Gesundheit, personenbezogene Daten gemäß DSGVO), und behandeln Sie sie entsprechend.
Häufige Fehler
- Sicherheitsaudits, die beim Bericht enden. Befunde müssen behoben und überprüft werden, nicht nur archiviert.
- "Wir sind zu klein, um ein Ziel zu sein". Die meisten Angriffe sind automatisiert und suchen nach jedem ungepatchten System.
- Passwörter als die ganze Geschichte behandeln. 2FA, Updates, Backups und Monitoring zählen mehr als Regeln zur Passwortkomplexität.
- Eine Person hält alle Schlüssel. Kritischer Zugriff sollte einen Ersatzverantwortlichen haben, klar dokumentiert.

