Eine Website wird gebaut, geht online, funktioniert - und dann kräht jahrelang kein Hahn mehr danach. Genau hier beginnt das Risiko. Während Ihr Betrieb Kundinnen bedient, auf der Baustelle steht oder Rechnungen schreibt, tasten automatisierte Programme rund um die Uhr das Netz nach angreifbaren Seiten ab - unabhängig von Größe, Branche oder Bekanntheit. Das Bundesamt für Sicherheit in der Informationstechnik registriert im aktuellen Berichtszeitraum durchschnittlich 119 neue Schwachstellen pro Tag, ein Plus von rund 24 Prozent gegenüber dem Vorjahr (BSI). Von den im selben Zeitraum erfassten Ransomware-Angriffen richteten sich 80 Prozent gegen kleine und mittlere Unternehmen (BSI). Eine einmal gebaute, aber nicht gepflegte Website ist deshalb kein abgeschlossenes Projekt, sondern eine offene Tür, die mit der Zeit immer weiter aufgeht. Dieser Beitrag zeigt lokalen Betrieben, warum laufende Wartung heute zur Grundausstattung gehört, was sie konkret umfasst - Updates, Backups, Monitoring, SSL und Ladezeit - und wie sie zugleich einen Teil Ihrer Pflichten aus der Datenschutz-Grundverordnung abdeckt.
Das Wichtigste in Kürze
- Das BSI zählt rund 119 neue Schwachstellen pro Tag, ein Plus von etwa 24 Prozent gegenüber dem Vorjahr - der Nachschub an Angriffspunkten reißt nicht ab (BSI).
- Angriffe laufen automatisiert: 80 Prozent der registrierten Ransomware-Fälle treffen kleine und mittlere Unternehmen, nicht nur Konzerne (BSI).
- Die typischen Einfallstore sind hausgemacht: veraltete CMS- und Plugin-Versionen, schwache Passwörter, fehlende Backups und abgelaufene Zertifikate.
- Regelmäßige Wartung bündelt Updates, Backups, Monitoring, SSL-Pflege, Ladezeit und Grund-Härtung - planbar statt im Notfall.
- Wartung ist auch Rechtsschutz: Sie zahlt direkt auf die technischen Maßnahmen nach Artikel 32 der Datenschutz-Grundverordnung ein.
Warum eine ungepflegte Website zum Risiko wird
Die Bedrohungslage ist kein abstraktes Schreckgespenst aus der IT-Presse, sondern messbar. Das BSI dokumentiert einen kontinuierlichen Anstieg neu bekannt gewordener Sicherheitslücken: von rund 68 pro Tag im Jahr 2022 über 78 und 96 auf zuletzt 119 pro Tag im Berichtszeitraum (BSI). Jede dieser Lücken kann eine Software betreffen, die auch auf Ihrer Website oder Ihrem Server läuft - vom Content-Management-System über einzelne Erweiterungen bis zur Datenbank. Wer nicht zeitnah aktualisiert, lässt genau die Türen offen, deren Schlösser öffentlich bekannt und damit für Angreifer bequem auffindbar sind.
Was daraus wirtschaftlich entsteht, beziffert der Wirtschaftsschutz-Bericht des Digitalverbands Bitkom. Der Gesamtschaden für die deutsche Wirtschaft durch Diebstahl, Spionage und Sabotage liegt bei rund 289 Milliarden Euro im Jahr, davon rund 70 Prozent - etwa 202 Milliarden Euro - allein durch Cyberangriffe (Bitkom). 87 Prozent der befragten Unternehmen waren in den vergangenen zwölf Monaten betroffen (Bitkom). Diese Zahlen entstehen nicht nur in großen Rechenzentren, sondern summieren sich aus vielen kleinen Vorfällen: gekaperte Kontaktformulare, mit Schadcode verseuchte Startseiten, verschlüsselte Server, abgeflossene Kundendaten.
Der Irrtum vom zu kleinen Ziel
Wie Angreifer lokale Websites ins Visier nehmen
Angriffe auf kleine Websites sind selten das Werk eines gezielt vorgehenden Hackers, der Ihren Betrieb persönlich ins Visier nimmt. Der Regelfall ist banaler und gerade deshalb so wirksam: Programme durchsuchen automatisiert Millionen von Adressen nach bekannten Schwächen und schlagen überall dort zu, wo sie fündig werden. Die häufigsten Einfallstore sind dabei erstaunlich immergleich - und fast alle ließen sich durch laufende Pflege schließen.
Veraltete Systeme
Rund 43 Prozent aller Websites weltweit laufen auf dem meistgenutzten Content-Management-System (Statista). Bekannte Lücken in veralteten CMS- und Plugin-Versionen sind das mit Abstand häufigste Einfallstor, weil ihre Schlösser öffentlich dokumentiert sind.
Schwache Passwörter
Kurze, mehrfach genutzte oder nie geänderte Zugangsdaten lassen sich automatisiert durchprobieren. Ohne Zwei-Faktor-Schutz reicht ein erratenes Admin-Passwort, um die gesamte Seite zu übernehmen.
Fehlende Backups
Ohne aktuelle, getestete Sicherung wird aus einem Zwischenfall schnell ein Totalverlust. Wer nach einem Angriff keinen sauberen Stand zurückspielen kann, steht vor dem digitalen Neuaufbau.
Abgelaufene Zertifikate
Läuft das SSL-Zertifikat aus, warnen Browser die Besucher mit einer roten Fehlerseite. Das kostet sofort Vertrauen und Anfragen - und ist ein sichtbares Zeichen fehlender Pflege.
Ungepatchte Server
Nicht nur die Website selbst, auch die darunterliegende Server- und Datenbank-Software braucht Updates. Ein veralteter Webserver oder eine alte PHP-Version öffnet Angriffswege unterhalb der sichtbaren Oberfläche.
Kein Monitoring
Ohne Überwachung fällt ein Einbruch oft erst auf, wenn Google die Seite bereits als gefährlich markiert oder Kunden sich beschweren. Früh erkannt lässt sich ein Vorfall meist klein halten.
Auffällig an dieser Liste ist, dass kein einziger Punkt eine exotische Angriffstechnik beschreibt. Es sind durchweg Versäumnisse im laufenden Betrieb. Genau das ist die gute Nachricht: Wer diese sechs Bereiche systematisch abdeckt, entzieht der großen Mehrheit automatisierter Angriffe die Grundlage. Nichts davon ist Zauberei, aber alles davon will regelmäßig getan werden - und genau diese Regelmäßigkeit ist der Kern jeder ernsthaften Website-Wartung.
Was regelmäßige Wartung wirklich umfasst
Wartung klingt nach einer einzelnen Aufgabe, ist aber ein Zusammenspiel mehrerer, aufeinander abgestimmter Bausteine. Erst im Verbund ergeben sie ein belastbares Schutzniveau. Fehlt ein Baustein, entsteht schnell eine trügerische Sicherheit - etwa wenn zwar Updates eingespielt, aber keine Backups gefahren werden. Die folgenden sechs Bereiche bilden das Fundament einer soliden Pflege.
Updates
Das Content-Management-System, alle Erweiterungen und die Server-Software werden zeitnah und kontrolliert aktualisiert. Sicherheitsupdates zuerst, funktionale Updates geplant - jeweils mit vorherigem Backup als Rückfallebene.
Backups
Regelmäßige, automatisierte Sicherungen von Dateien und Datenbank, getrennt vom Server aufbewahrt und stichprobenartig auf Wiederherstellbarkeit geprüft. Ein Backup, das sich nicht zurückspielen lässt, ist keines.
Monitoring
Erreichbarkeit, Zertifikatsstatus und auffällige Veränderungen werden fortlaufend überwacht. So wird ein Ausfall oder ein Einbruch bemerkt, bevor Kunden oder Suchmaschinen ihn bemerken.
SSL und HTTPS
Das Zertifikat wird rechtzeitig erneuert, die Verschlüsselung sauber konfiguriert und eine durchgängige HTTPS-Auslieferung sichergestellt. Das schützt Formulardaten und ist zugleich ein Rankingfaktor.
Ladezeit
Bilder, Caching und Code werden im Blick behalten, damit die Seite schnell bleibt. Performance ist kein einmaliges Ergebnis, sondern verschlechtert sich schleichend mit jedem neuen Inhalt.
Härtung
Login-Bereiche werden abgesichert, unnötige Zugänge geschlossen, Rechte sparsam vergeben und ein Zwei-Faktor-Schutz eingerichtet. Grundlegende Härtung nimmt automatisierten Angriffen die einfachsten Wege.
Damit diese Bausteine nicht in Vergessenheit geraten, folgt gute Wartung einem festen Rhythmus statt dem Zufall. Ein bewährter Ablauf sieht kurze, regelmäßige Intervalle für sicherheitskritische Aufgaben und längere für die Feinarbeit vor. So bleibt der Aufwand pro Termin überschaubar und die Seite dauerhaft auf einem verlässlichen Stand.
- Wöchentlich: Verfügbarkeit und Zertifikatsstatus prüfen, sicherheitskritische Updates einspielen
- Monatlich: alle Updates kontrolliert nachziehen, Backups auf Wiederherstellbarkeit testen, Ladezeit messen
- Quartalsweise: Zugriffsrechte und Nutzerkonten durchsehen, nicht mehr genutzte Erweiterungen entfernen
- Laufend: Monitoring-Meldungen auswerten und Auffälligkeiten zeitnah prüfen
- Nach jedem größeren Update: Kernfunktionen wie Formulare, Buchung und Bezahlung gegenprüfen
Sicherheit ist kein Zustand, den man einmal herstellt, sondern eine Gewohnheit, die man pflegt. Eine Website altert genau so schnell, wie die Software um sie herum sich verändert.
Was ein erfolgreicher Angriff kostet: Umsatz, Sichtbarkeit, Vertrauen
Ein Angriff schlägt selten an einer einzelnen Stelle zu Buche. Fällt die Seite aus oder wird sie gesperrt, versiegt zuerst der Umsatz über die digitalen Kanäle: keine Anfragen über das Kontaktformular, keine Terminbuchungen, keine Bestellungen. Weil in Deutschland rund 60 Prozent der Zugriffe über mobile Geräte kommen (Statista), trifft ein Ausfall genau jene Besucher, die spontan und unterwegs Kontakt aufnehmen wollen. Jede Stunde Stillstand ist verlorene Gelegenheit - und lässt sich im Nachhinein nicht nachholen.
Der zweite, oft unterschätzte Schaden trifft die Sichtbarkeit. Erkennt Google Schadcode oder eine Kompromittierung, kann die Seite in den Suchergebnissen mit einer Warnung versehen oder abgewertet werden. Was über Jahre an Sichtbarkeit bei Google aufgebaut wurde, ist dann in Tagen beschädigt und braucht Wochen bis Monate zur Erholung. Eine langsame, seit einem Vorfall instabile Seite verliert zusätzlich bei den Core Web Vitals - dem Thema, das wir im Beitrag zur Ladezeit einer Website vertiefen.
Am schwersten wiegt der Vertrauensverlust. Wer beim Aufruf einer Seite eine Browser-Warnung sieht oder von einer Datenpanne liest, kommt selten ein zweites Mal. Gerade für lokale Betriebe, die von Weiterempfehlung und einem guten Ruf leben, ist dieser Schaden schwer zu beziffern und noch schwerer zu reparieren. Die Zusammensetzung der Schäden zeigt, wie real das ist: Auf Ransomware entfallen rund 34 Prozent, auf Überlastungsangriffe 25 Prozent und auf Schadsoftware 24 Prozent der Verluste (Bitkom). Der Anteil der Cyberangriffe am Gesamtschaden ist zuletzt von 67 auf 70 Prozent gestiegen (Bitkom) - die Richtung ist eindeutig.
Vorbeugen ist planbar, Aufräumen ist es nicht
Wartung erfüllt zugleich Ihre DSGVO-Pflichten
Sobald über Ihre Website personenbezogene Daten verarbeitet werden - und schon ein Kontaktformular gehört dazu - greift die Datenschutz-Grundverordnung. Artikel 32 verlangt geeignete technische und organisatorische Maßnahmen, um diese Daten nach dem Stand der Technik zu schützen. Das ist keine einmalige Erklärung, sondern eine fortlaufende Verpflichtung: Was gestern Stand der Technik war, kann heute eine bekannte Lücke sein. Genau dieser fortlaufende Charakter ist der Grund, warum sich Datenschutz und Wartung nicht trennen lassen.
Konkret zahlen die klassischen Wartungsaufgaben unmittelbar auf Artikel 32 ein: aktuelle Software schließt bekannte Lücken, Verschlüsselung per HTTPS schützt die Übertragung, Zugriffsbeschränkungen und Zwei-Faktor-Schutz sichern die Vertraulichkeit, und regelmäßige Backups gewährleisten die Wiederherstellbarkeit nach einem Zwischenfall. Kommt es dennoch zu einer Datenpanne, ist zudem dokumentierte Sorgfalt entscheidend - wer belegen kann, dass er seine Systeme gepflegt hat, steht in der Bewertung deutlich besser da als jemand, der eine seit Jahren unveränderte Seite betreibt.
Wartung und Datenschutz greifen ineinander
Selbst pflegen oder pflegen lassen?
Grundsätzlich lassen sich viele Wartungsaufgaben auch selbst erledigen. Die Frage ist weniger, ob es geht, sondern ob es verlässlich und dauerhaft geschieht. Updates einspielen ist schnell erklärt, aber im Tagesgeschäft wird genau das leicht verschoben - bis eine Lücke ausgenutzt wird oder ein Update eine andere Funktion bricht. Die folgende Gegenüberstellung ordnet die drei üblichen Wege ein.
| Aspekt | Keine Wartung | Gelegentlich selbst | Wartungspaket |
|---|---|---|---|
| Updates | Bleiben liegen, Lücken offen | Unregelmäßig, oft verschoben | Planbar und kontrolliert |
| Backups | Meist keine oder ungetestet | Vorhanden, selten geprüft | Automatisiert und getestet |
| Reaktion auf Vorfall | Fällt spät auf | Abhängig von Anwesenheit | Früh erkannt durch Monitoring |
| Zeitaufwand für Sie | Null - bis zum Ernstfall | Laufend und schwer planbar | Ausgelagert, fester Rhythmus |
| Verantwortung | Ungeklärt | Bei Ihnen | Fester Ansprechpartner |
| Kostenverlauf | Niedrig, dann Notfallkosten | Schwankend | Planbar über das Jahr |
Aus über 50 betreuten Web- und Wartungsprojekten (Projekterfahrung) lässt sich ein Muster ableiten: Nicht der einzelne technische Schritt überfordert kleine Betriebe, sondern die Kontinuität. Ein ausgelagertes Wartungspaket nimmt genau diese Kontinuität ab - nicht, weil man es selbst nicht könnte, sondern weil planbare Routine im Betriebsalltag verlässlicher ist als guter Vorsatz. Wie sich solche laufenden Kosten in das Gesamtbudget einer Website einordnen, zeigt der Beitrag Was kostet eine Website 2026.
Ein planbares Wartungspaket aus der Region
Ein gutes Wartungspaket ist mehr als eine technische Dienstleistung - es ist ein verlässliches Gegenüber. Statt im Ernstfall eine anonyme Hotline zu suchen, haben Sie einen festen Ansprechpartner aus der Region Hildesheim, der Ihre Seite kennt. Dazu gehört ein Hosting in Deutschland, das den Anforderungen der Datenschutz-Grundverordnung entspricht, kurze Wege bei Rückfragen und ein Betrieb, der zu den Abläufen eines lokalen Unternehmens passt.
- Feste, kontrollierte Update-Termine mit Backup als Rückfallebene
- Automatisierte, ausgelagerte Backups mit Wiederherstellungstest
- Laufendes Monitoring von Erreichbarkeit, Zertifikat und Auffälligkeiten
- SSL-Pflege und durchgängige HTTPS-Auslieferung
- Regelmäßiger Blick auf Ladezeit und Core Web Vitals
- Fester Ansprechpartner statt wechselnder Zuständigkeiten
Wartung wirkt am besten, wenn sie mit einer soliden modernen Website beginnt und danach nie ganz aufhört. Wer neu baut oder umzieht, legt das Fundament am besten gleich wartbar an - das gilt für den laufenden Betrieb ebenso wie für einen Website-Relaunch, bei dem es um den Neubau geht, nicht um die Pflege. Und Sicherheit ist kein Selbstzweck: Eine gepflegte, schnelle und vertrauenswürdige Seite ist die Voraussetzung dafür, dass Funktionen wie eine Online-Terminbuchung oder eine überzeugende Karriereseite für das Handwerk überhaupt zuverlässig Anfragen bringen. Auch rechtliche Themen wie die Barrierefreiheit nach BFSG lassen sich im laufenden Betrieb leichter mitführen als nachträglich.
Aus einmal gebaut wird dauerhaft verlässlich