Zum Inhalt springen
Persönlich aus der Region Hildesheim
Website-Sicherheit

Website-Wartung 2026: Sicher gegen Hackerangriffe

Rund 119 neue Schwachstellen pro Tag meldet das BSI (plus 24 Prozent). Warum lokale Betriebe ihre Website regelmäßig warten müssen und was Pflege umfasst.

12 Min. Lesezeit Website-WartungSicherheitUpdatesDSGVOHosting

Eine Website wird gebaut, geht online, funktioniert - und dann kräht jahrelang kein Hahn mehr danach. Genau hier beginnt das Risiko. Während Ihr Betrieb Kundinnen bedient, auf der Baustelle steht oder Rechnungen schreibt, tasten automatisierte Programme rund um die Uhr das Netz nach angreifbaren Seiten ab - unabhängig von Größe, Branche oder Bekanntheit. Das Bundesamt für Sicherheit in der Informationstechnik registriert im aktuellen Berichtszeitraum durchschnittlich 119 neue Schwachstellen pro Tag, ein Plus von rund 24 Prozent gegenüber dem Vorjahr (BSI). Von den im selben Zeitraum erfassten Ransomware-Angriffen richteten sich 80 Prozent gegen kleine und mittlere Unternehmen (BSI). Eine einmal gebaute, aber nicht gepflegte Website ist deshalb kein abgeschlossenes Projekt, sondern eine offene Tür, die mit der Zeit immer weiter aufgeht. Dieser Beitrag zeigt lokalen Betrieben, warum laufende Wartung heute zur Grundausstattung gehört, was sie konkret umfasst - Updates, Backups, Monitoring, SSL und Ladezeit - und wie sie zugleich einen Teil Ihrer Pflichten aus der Datenschutz-Grundverordnung abdeckt.

Website-Wartung 2026: sicher gegen HackerangriffeSicherheits-Status56%IT-Basis erfüllt(BSI)Wartung schließt die SicherheitslückeLaufende Wartung umfasstUpdatesCMS & Plugins aktuellBackupstäglich gesichertMonitoringrund um die Uhr geprüftSSL-Zertifikatgültig & erneuertLadezeitschnell & stabilHärtungLogins geschützt119neue Schwachstellen / Tag (BSI)80%der Ransomware trifft KMU (BSI)202 Mrd.Euro Cyber-Schaden / Jahr (Bitkom)Eine einmal gebaute Website braucht Pflege - planbare Updates statt Notfall

Das Wichtigste in Kürze

  • Das BSI zählt rund 119 neue Schwachstellen pro Tag, ein Plus von etwa 24 Prozent gegenüber dem Vorjahr - der Nachschub an Angriffspunkten reißt nicht ab (BSI).
  • Angriffe laufen automatisiert: 80 Prozent der registrierten Ransomware-Fälle treffen kleine und mittlere Unternehmen, nicht nur Konzerne (BSI).
  • Die typischen Einfallstore sind hausgemacht: veraltete CMS- und Plugin-Versionen, schwache Passwörter, fehlende Backups und abgelaufene Zertifikate.
  • Regelmäßige Wartung bündelt Updates, Backups, Monitoring, SSL-Pflege, Ladezeit und Grund-Härtung - planbar statt im Notfall.
  • Wartung ist auch Rechtsschutz: Sie zahlt direkt auf die technischen Maßnahmen nach Artikel 32 der Datenschutz-Grundverordnung ein.

Warum eine ungepflegte Website zum Risiko wird

Die Bedrohungslage ist kein abstraktes Schreckgespenst aus der IT-Presse, sondern messbar. Das BSI dokumentiert einen kontinuierlichen Anstieg neu bekannt gewordener Sicherheitslücken: von rund 68 pro Tag im Jahr 2022 über 78 und 96 auf zuletzt 119 pro Tag im Berichtszeitraum (BSI). Jede dieser Lücken kann eine Software betreffen, die auch auf Ihrer Website oder Ihrem Server läuft - vom Content-Management-System über einzelne Erweiterungen bis zur Datenbank. Wer nicht zeitnah aktualisiert, lässt genau die Türen offen, deren Schlösser öffentlich bekannt und damit für Angreifer bequem auffindbar sind.

Was daraus wirtschaftlich entsteht, beziffert der Wirtschaftsschutz-Bericht des Digitalverbands Bitkom. Der Gesamtschaden für die deutsche Wirtschaft durch Diebstahl, Spionage und Sabotage liegt bei rund 289 Milliarden Euro im Jahr, davon rund 70 Prozent - etwa 202 Milliarden Euro - allein durch Cyberangriffe (Bitkom). 87 Prozent der befragten Unternehmen waren in den vergangenen zwölf Monaten betroffen (Bitkom). Diese Zahlen entstehen nicht nur in großen Rechenzentren, sondern summieren sich aus vielen kleinen Vorfällen: gekaperte Kontaktformulare, mit Schadcode verseuchte Startseiten, verschlüsselte Server, abgeflossene Kundendaten.

Der Irrtum vom zu kleinen Ziel

Viele Inhaberinnen und Inhaber denken: Meine Seite ist zu klein, um interessant zu sein. Für automatisierte Angriffe zählt aber nicht Ihr Umsatz, sondern ob der Aufwand des Angriffs in einem günstigen Verhältnis zum Nutzen steht. Genau deshalb treffen 80 Prozent der registrierten Ransomware-Angriffe kleine und mittlere Unternehmen (BSI), die im Schnitt nur rund 56 Prozent der IT-Sicherheits-Basisanforderungen erfüllen (BSI). Nicht Prominenz macht angreifbar, sondern Vernachlässigung.

Wie Angreifer lokale Websites ins Visier nehmen

Angriffe auf kleine Websites sind selten das Werk eines gezielt vorgehenden Hackers, der Ihren Betrieb persönlich ins Visier nimmt. Der Regelfall ist banaler und gerade deshalb so wirksam: Programme durchsuchen automatisiert Millionen von Adressen nach bekannten Schwächen und schlagen überall dort zu, wo sie fündig werden. Die häufigsten Einfallstore sind dabei erstaunlich immergleich - und fast alle ließen sich durch laufende Pflege schließen.

Veraltete Systeme

Rund 43 Prozent aller Websites weltweit laufen auf dem meistgenutzten Content-Management-System (Statista). Bekannte Lücken in veralteten CMS- und Plugin-Versionen sind das mit Abstand häufigste Einfallstor, weil ihre Schlösser öffentlich dokumentiert sind.

Schwache Passwörter

Kurze, mehrfach genutzte oder nie geänderte Zugangsdaten lassen sich automatisiert durchprobieren. Ohne Zwei-Faktor-Schutz reicht ein erratenes Admin-Passwort, um die gesamte Seite zu übernehmen.

Fehlende Backups

Ohne aktuelle, getestete Sicherung wird aus einem Zwischenfall schnell ein Totalverlust. Wer nach einem Angriff keinen sauberen Stand zurückspielen kann, steht vor dem digitalen Neuaufbau.

Abgelaufene Zertifikate

Läuft das SSL-Zertifikat aus, warnen Browser die Besucher mit einer roten Fehlerseite. Das kostet sofort Vertrauen und Anfragen - und ist ein sichtbares Zeichen fehlender Pflege.

Ungepatchte Server

Nicht nur die Website selbst, auch die darunterliegende Server- und Datenbank-Software braucht Updates. Ein veralteter Webserver oder eine alte PHP-Version öffnet Angriffswege unterhalb der sichtbaren Oberfläche.

Kein Monitoring

Ohne Überwachung fällt ein Einbruch oft erst auf, wenn Google die Seite bereits als gefährlich markiert oder Kunden sich beschweren. Früh erkannt lässt sich ein Vorfall meist klein halten.

Auffällig an dieser Liste ist, dass kein einziger Punkt eine exotische Angriffstechnik beschreibt. Es sind durchweg Versäumnisse im laufenden Betrieb. Genau das ist die gute Nachricht: Wer diese sechs Bereiche systematisch abdeckt, entzieht der großen Mehrheit automatisierter Angriffe die Grundlage. Nichts davon ist Zauberei, aber alles davon will regelmäßig getan werden - und genau diese Regelmäßigkeit ist der Kern jeder ernsthaften Website-Wartung.

Was regelmäßige Wartung wirklich umfasst

Wartung klingt nach einer einzelnen Aufgabe, ist aber ein Zusammenspiel mehrerer, aufeinander abgestimmter Bausteine. Erst im Verbund ergeben sie ein belastbares Schutzniveau. Fehlt ein Baustein, entsteht schnell eine trügerische Sicherheit - etwa wenn zwar Updates eingespielt, aber keine Backups gefahren werden. Die folgenden sechs Bereiche bilden das Fundament einer soliden Pflege.

Updates

Das Content-Management-System, alle Erweiterungen und die Server-Software werden zeitnah und kontrolliert aktualisiert. Sicherheitsupdates zuerst, funktionale Updates geplant - jeweils mit vorherigem Backup als Rückfallebene.

Backups

Regelmäßige, automatisierte Sicherungen von Dateien und Datenbank, getrennt vom Server aufbewahrt und stichprobenartig auf Wiederherstellbarkeit geprüft. Ein Backup, das sich nicht zurückspielen lässt, ist keines.

Monitoring

Erreichbarkeit, Zertifikatsstatus und auffällige Veränderungen werden fortlaufend überwacht. So wird ein Ausfall oder ein Einbruch bemerkt, bevor Kunden oder Suchmaschinen ihn bemerken.

SSL und HTTPS

Das Zertifikat wird rechtzeitig erneuert, die Verschlüsselung sauber konfiguriert und eine durchgängige HTTPS-Auslieferung sichergestellt. Das schützt Formulardaten und ist zugleich ein Rankingfaktor.

Ladezeit

Bilder, Caching und Code werden im Blick behalten, damit die Seite schnell bleibt. Performance ist kein einmaliges Ergebnis, sondern verschlechtert sich schleichend mit jedem neuen Inhalt.

Härtung

Login-Bereiche werden abgesichert, unnötige Zugänge geschlossen, Rechte sparsam vergeben und ein Zwei-Faktor-Schutz eingerichtet. Grundlegende Härtung nimmt automatisierten Angriffen die einfachsten Wege.

Damit diese Bausteine nicht in Vergessenheit geraten, folgt gute Wartung einem festen Rhythmus statt dem Zufall. Ein bewährter Ablauf sieht kurze, regelmäßige Intervalle für sicherheitskritische Aufgaben und längere für die Feinarbeit vor. So bleibt der Aufwand pro Termin überschaubar und die Seite dauerhaft auf einem verlässlichen Stand.

  • Wöchentlich: Verfügbarkeit und Zertifikatsstatus prüfen, sicherheitskritische Updates einspielen
  • Monatlich: alle Updates kontrolliert nachziehen, Backups auf Wiederherstellbarkeit testen, Ladezeit messen
  • Quartalsweise: Zugriffsrechte und Nutzerkonten durchsehen, nicht mehr genutzte Erweiterungen entfernen
  • Laufend: Monitoring-Meldungen auswerten und Auffälligkeiten zeitnah prüfen
  • Nach jedem größeren Update: Kernfunktionen wie Formulare, Buchung und Bezahlung gegenprüfen

Sicherheit ist kein Zustand, den man einmal herstellt, sondern eine Gewohnheit, die man pflegt. Eine Website altert genau so schnell, wie die Software um sie herum sich verändert.

Internetagentur Hildesheim

Was ein erfolgreicher Angriff kostet: Umsatz, Sichtbarkeit, Vertrauen

Ein Angriff schlägt selten an einer einzelnen Stelle zu Buche. Fällt die Seite aus oder wird sie gesperrt, versiegt zuerst der Umsatz über die digitalen Kanäle: keine Anfragen über das Kontaktformular, keine Terminbuchungen, keine Bestellungen. Weil in Deutschland rund 60 Prozent der Zugriffe über mobile Geräte kommen (Statista), trifft ein Ausfall genau jene Besucher, die spontan und unterwegs Kontakt aufnehmen wollen. Jede Stunde Stillstand ist verlorene Gelegenheit - und lässt sich im Nachhinein nicht nachholen.

Der zweite, oft unterschätzte Schaden trifft die Sichtbarkeit. Erkennt Google Schadcode oder eine Kompromittierung, kann die Seite in den Suchergebnissen mit einer Warnung versehen oder abgewertet werden. Was über Jahre an Sichtbarkeit bei Google aufgebaut wurde, ist dann in Tagen beschädigt und braucht Wochen bis Monate zur Erholung. Eine langsame, seit einem Vorfall instabile Seite verliert zusätzlich bei den Core Web Vitals - dem Thema, das wir im Beitrag zur Ladezeit einer Website vertiefen.

Am schwersten wiegt der Vertrauensverlust. Wer beim Aufruf einer Seite eine Browser-Warnung sieht oder von einer Datenpanne liest, kommt selten ein zweites Mal. Gerade für lokale Betriebe, die von Weiterempfehlung und einem guten Ruf leben, ist dieser Schaden schwer zu beziffern und noch schwerer zu reparieren. Die Zusammensetzung der Schäden zeigt, wie real das ist: Auf Ransomware entfallen rund 34 Prozent, auf Überlastungsangriffe 25 Prozent und auf Schadsoftware 24 Prozent der Verluste (Bitkom). Der Anteil der Cyberangriffe am Gesamtschaden ist zuletzt von 67 auf 70 Prozent gestiegen (Bitkom) - die Richtung ist eindeutig.

Vorbeugen ist planbar, Aufräumen ist es nicht

Die Kosten laufender Wartung sind kalkulierbar und über das Jahr verteilt. Die Kosten eines Zwischenfalls kommen unangekündigt, oft im ungünstigsten Moment, und umfassen mehr als die reine Wiederherstellung: Umsatzausfall, Rankingverlust, Benachrichtigungspflichten und den Aufwand, verlorenes Vertrauen zurückzugewinnen. Pflege ist die günstigere der beiden Rechnungen.

Wartung erfüllt zugleich Ihre DSGVO-Pflichten

Sobald über Ihre Website personenbezogene Daten verarbeitet werden - und schon ein Kontaktformular gehört dazu - greift die Datenschutz-Grundverordnung. Artikel 32 verlangt geeignete technische und organisatorische Maßnahmen, um diese Daten nach dem Stand der Technik zu schützen. Das ist keine einmalige Erklärung, sondern eine fortlaufende Verpflichtung: Was gestern Stand der Technik war, kann heute eine bekannte Lücke sein. Genau dieser fortlaufende Charakter ist der Grund, warum sich Datenschutz und Wartung nicht trennen lassen.

Konkret zahlen die klassischen Wartungsaufgaben unmittelbar auf Artikel 32 ein: aktuelle Software schließt bekannte Lücken, Verschlüsselung per HTTPS schützt die Übertragung, Zugriffsbeschränkungen und Zwei-Faktor-Schutz sichern die Vertraulichkeit, und regelmäßige Backups gewährleisten die Wiederherstellbarkeit nach einem Zwischenfall. Kommt es dennoch zu einer Datenpanne, ist zudem dokumentierte Sorgfalt entscheidend - wer belegen kann, dass er seine Systeme gepflegt hat, steht in der Bewertung deutlich besser da als jemand, der eine seit Jahren unveränderte Seite betreibt.

Wartung und Datenschutz greifen ineinander

Updates, Verschlüsselung, Zugriffsschutz und Backups sind zugleich Datenschutz-Maßnahmen im Sinne von Artikel 32 DSGVO. Ob und in welchem Umfang zusätzliche Pflichten - etwa eine Meldung an die Aufsichtsbehörde - für Ihren Fall gelten, hängt vom Einzelfall ab und sollte rechtlich geprüft werden. Der beste Zeitpunkt, technische und rechtliche Anforderungen zusammenzudenken, ist ohnehin der laufende Betrieb, nicht der Ernstfall.

Selbst pflegen oder pflegen lassen?

Grundsätzlich lassen sich viele Wartungsaufgaben auch selbst erledigen. Die Frage ist weniger, ob es geht, sondern ob es verlässlich und dauerhaft geschieht. Updates einspielen ist schnell erklärt, aber im Tagesgeschäft wird genau das leicht verschoben - bis eine Lücke ausgenutzt wird oder ein Update eine andere Funktion bricht. Die folgende Gegenüberstellung ordnet die drei üblichen Wege ein.

AspektKeine WartungGelegentlich selbstWartungspaket
UpdatesBleiben liegen, Lücken offenUnregelmäßig, oft verschobenPlanbar und kontrolliert
BackupsMeist keine oder ungetestetVorhanden, selten geprüftAutomatisiert und getestet
Reaktion auf VorfallFällt spät aufAbhängig von AnwesenheitFrüh erkannt durch Monitoring
Zeitaufwand für SieNull - bis zum ErnstfallLaufend und schwer planbarAusgelagert, fester Rhythmus
VerantwortungUngeklärtBei IhnenFester Ansprechpartner
KostenverlaufNiedrig, dann NotfallkostenSchwankendPlanbar über das Jahr

Aus über 50 betreuten Web- und Wartungsprojekten (Projekterfahrung) lässt sich ein Muster ableiten: Nicht der einzelne technische Schritt überfordert kleine Betriebe, sondern die Kontinuität. Ein ausgelagertes Wartungspaket nimmt genau diese Kontinuität ab - nicht, weil man es selbst nicht könnte, sondern weil planbare Routine im Betriebsalltag verlässlicher ist als guter Vorsatz. Wie sich solche laufenden Kosten in das Gesamtbudget einer Website einordnen, zeigt der Beitrag Was kostet eine Website 2026.

Ein planbares Wartungspaket aus der Region

Ein gutes Wartungspaket ist mehr als eine technische Dienstleistung - es ist ein verlässliches Gegenüber. Statt im Ernstfall eine anonyme Hotline zu suchen, haben Sie einen festen Ansprechpartner aus der Region Hildesheim, der Ihre Seite kennt. Dazu gehört ein Hosting in Deutschland, das den Anforderungen der Datenschutz-Grundverordnung entspricht, kurze Wege bei Rückfragen und ein Betrieb, der zu den Abläufen eines lokalen Unternehmens passt.

  • Feste, kontrollierte Update-Termine mit Backup als Rückfallebene
  • Automatisierte, ausgelagerte Backups mit Wiederherstellungstest
  • Laufendes Monitoring von Erreichbarkeit, Zertifikat und Auffälligkeiten
  • SSL-Pflege und durchgängige HTTPS-Auslieferung
  • Regelmäßiger Blick auf Ladezeit und Core Web Vitals
  • Fester Ansprechpartner statt wechselnder Zuständigkeiten

Wartung wirkt am besten, wenn sie mit einer soliden modernen Website beginnt und danach nie ganz aufhört. Wer neu baut oder umzieht, legt das Fundament am besten gleich wartbar an - das gilt für den laufenden Betrieb ebenso wie für einen Website-Relaunch, bei dem es um den Neubau geht, nicht um die Pflege. Und Sicherheit ist kein Selbstzweck: Eine gepflegte, schnelle und vertrauenswürdige Seite ist die Voraussetzung dafür, dass Funktionen wie eine Online-Terminbuchung oder eine überzeugende Karriereseite für das Handwerk überhaupt zuverlässig Anfragen bringen. Auch rechtliche Themen wie die Barrierefreiheit nach BFSG lassen sich im laufenden Betrieb leichter mitführen als nachträglich.

Aus einmal gebaut wird dauerhaft verlässlich

Eine Website ist wie ein Fahrzeug: Der Kauf ist der Anfang, nicht das Ende. Wer regelmäßig zur Inspektion fährt, fährt sicherer und länger. Übertragen auf das Digitale heißt das: planbare Updates statt Notfall, ein fester Ansprechpartner statt Ratlosigkeit im Ernstfall - und eine Seite, die auch in drei Jahren noch schnell, sicher und vertrauenswürdig ist.
Dieser Artikel basiert auf Daten aus: Bundesamt für Sicherheit in der Informationstechnik (BSI, Die Lage der IT-Sicherheit in Deutschland 2025), Bitkom (Wirtschaftsschutz 2025) und Statista (Content-Management-Systeme und mobile Internetnutzung). Rechtlicher Bezug: Artikel 32 der Datenschutz-Grundverordnung (DSGVO). Die genannten Werte sind Durchschnitts- und Richtwerte und können je nach Branche, Größe und Ausgangslage variieren; mit (Projekterfahrung) markierte Angaben beruhen auf eigenen Web- und Wartungsprojekten.