Die Anzeichen, dass Ihre Website gehackt wurde, können viel­fäl­tig sein. Dazu zählen Browser- und Vi­ren­scan­ner-Warnungen, eine nicht er­reich­ba­re Web­adres­se, Spam-Mails, La­de­pro­ble­me oder un­er­wünsch­te Wei­ter­lei­tun­gen. Nun gilt es, schnell zu handeln und u. a. den Host zu in­for­mie­ren, An­mel­de­da­ten zu ändern und Schwach­stel­len der Website zu schließen.

Wurde ich gehackt? Website auf Hacking über­prü­fen

Ein Website-Hack gehört zu den sehr rea­lis­ti­schen Gefahren, auf die sich Website-In­ha­be­rin­nen und -Inhaber vor­be­rei­ten müssen. Trotz in­ten­si­ver Si­cher­heits­vor­keh­run­gen können begabte Ha­cke­rin­nen und Hacker Si­cher­heits­lü­cken in Websites, Apps oder in E-Mail-Accounts für Cy­ber­an­grif­fe ausnutzen. Mögliche Schwach­stel­len für Malware oder Da­ten­dieb­stahl sind zum Beispiel:

Betraf das Risiko früher vor allem große Un­ter­neh­men, sehen sich heute auch kleine und mit­tel­stän­di­ge Un­ter­neh­men durch die zu­neh­men­de Di­gi­ta­li­sie­rung vielen Cy­ber­ge­fah­ren aus­ge­setzt. Es kommt zudem immer häufiger vor, dass ins­be­son­de­re WordPress gehackt wird, da viele Websites auf diesem CMS basieren. Sobald Sie ein un­ge­wöhn­li­ches Verhalten bei der Nutzung Ihrer Website fest­stel­len, gilt es daher, die Lage ein­zu­schät­zen und wohl­über­legt zu handeln.

Zunächst stellt sich die Frage, wie Sie Anzeichen für einen Website-Hack erkennen. Obwohl es schwer zu er­ken­nen­de Methoden wie die Man-in-the-Middle-Attack gibt, lassen sich Hacks in der Regel anhand gewisser Anzeichen iden­ti­fi­zie­ren.

Achten Sie auf folgende Hinweise, um Schad­soft­ware zu erkennen und fest­zu­stel­len, ob Ihre In­ter­net­sei­te gehackt wurde:

Brow­ser­war­nun­gen

Ein aktueller Browser wie Microsoft Edge, Google Chrome oder Mozilla Firefox bietet Si­cher­heits­funk­tio­nen, die unsichere Websites erkennen. Dazu zählt die „HTTPS Only“-Funktion, die Seiten ohne SSL bzw. TLS au­to­ma­tisch blockiert oder eine Warnung anzeigt. Safe-Browsing-Funk­tio­nen wehren wiederum bösartige Downloads oder Codes ab. Sollten Sie beim Aufrufen Ihrer Website eine Brow­ser­war­nung erhalten, liegt ein Si­cher­heits­pro­blem vor, bei dem es sich um einen Hack oder ab­ge­lau­fe­ne Zer­ti­fi­ka­te handeln kann.

An­ti­vi­ren­pro­gram­me schlagen Alarm

Nutzen Sie aktuelle An­ti­vi­ren­pro­gram­me. Die Warnungen einer An­ti­vi­ren­soft­ware sind einer der ein­deu­tigs­ten Hinweise, dass Ihr Computer bzw. Ihre Website gefährdet oder infiziert ist.

Website nicht er­reich­bar

Hacking-Angriffe bemerken Sie mög­li­cher­wei­se erst, wenn Ihr Webhost die Website de­ak­ti­viert. Hosting-Anbieter reagieren in dem Fall auf Warnungen der eigenen IT-Si­cher­heit oder erhalten von Be­su­che­rin­nen und Besuchern Ihrer Website Hinweise. Nicht immer bekommen Sie in diesen Fällen vor dem Ab­schal­ten der Seite eine Be­nach­rich­ti­gung.

An­mel­de­da­ten funk­tio­nie­ren nicht

Wenn Ihre An­mel­de­da­ten nicht länger funk­tio­nie­ren, deutet das darauf hin, dass jemand Ihren Website-Account über­nom­men bzw. Be­nut­zer­kon­ten entfernt hat.

Warnungen über An­mel­de­ver­su­che

Bei Brute-Force-Attacken versuchen An­grei­fe­rin­nen bzw. Angreifer An­mel­de­da­ten zu erraten. Sollten Sie Warnungen über unbefugte An­mel­de­ver­su­che erhalten, ist Ihr Website-Zugang gefährdet.

Defacing

Beim Defacing tauschen Cy­ber­kri­mi­nel­le Ihre Website bzw. Ihre index.html gegen eine Website mit einer Stel­lung­nah­me der Hacking-Gruppe aus. Dadurch ver­hin­dern An­grei­fen­de den Zugriff auf Ihre Website. Oft handelt es sich dabei um politisch oder ak­ti­vis­tisch mo­ti­vier­tes Hacking gegen kom­mer­zi­el­le Websites.

Hijacking

Beim Hijacking in­te­grie­ren Kri­mi­nel­le eine Hin­ter­grund­sei­te mit z. B. bös­ar­ti­gem Code in Ihre Website. Dadurch wird beim Öffnen Ihrer Website Schad­soft­ware her­un­ter­ge­la­den. Obwohl aktuelle Vi­ren­scan­ner oder Browser darauf an­sprin­gen sollten, kann es passieren, dass die Infektion zu spät auffällt. Si­cher­heits­lü­cken sind meist unsichere FTP-Pass­wör­ter oder ein PHP-Inject.

Ran­som­wa­re-Angriffe

Ran­som­wa­re gehört unter Umständen zu den Worst-Case-Szenarien für Un­ter­neh­men. Je nach Bös­ar­tig­keit der Schad­soft­ware können sämtliche Un­ter­neh­mens- und Website-Daten ver­schlüs­selt und un­brauch­bar gemacht werden. Hierbei ist das Ziel der Kri­mi­nel­len, ein Lösegeld im Austausch gegen die Codes zur Ent­schlüs­se­lung zu erpressen. Folglich sollte viel Wert auf Maßnahmen zum Schutz vor Ran­som­wa­re gelegt werden.

Google-Warnungen

Die Google Search Console ist ein kos­ten­lo­ses Ana­ly­se­tool von Google, mit dem Sie die Such­ma­schi­nen­op­ti­mie­rung Ihrer Website über­prü­fen. Sollten Sie hier Warnungen zu Malware oder ver­däch­ti­gen Backlinks fest­stel­len, gilt es die Si­cher­heit Ihrer Seite zu über­prü­fen.

Website taucht auf Google Blocklist auf

Sollte Google Ihre Website als ver­däch­tig oder ge­fähr­lich einstufen, landen Sie unter Umständen auf der Google Blocklist. Ihre Website taucht somit nicht mehr in den Such­ergeb­nis­sen auf. Ob Ihre Website auf der Blocklist steht, lässt sich über die Google Search Console über­prü­fen.

Un­ge­wöhn­li­che La­de­zei­ten

Lädt Ihre Seite plötzlich deutlich langsamer, ist das ein Hinweis auf mögliche Angriffe. So können Website-In­fek­tio­nen wie Cryp­to­jack­ing zu einer un­na­tür­lich hohen CPU-Aus­las­tung führen. Beim Cryp­to­jack­ing in­fi­zie­ren Cy­ber­kri­mi­nel­le Rechner mit Malware oder in­te­grie­ren Mining-Programme wie Coinhive in of­fi­zi­el­le Websites. Dadurch wird die Re­chen­leis­tung von be­trof­fe­nen Computern oder Website-Be­su­chen­den für illegales Cryp­to­mi­ning genutzt.

Spam-Mails, Wei­ter­lei­tun­gen oder Pop-ups

Wenn Ihre Abon­nen­tin­nen und Abon­nen­ten sich über mas­sen­wei­se Spam-Mails von einer Ihrer E-Mail-Adressen be­schwe­ren, deutet das auf Malware-Befall hin. Außerdem sind un­er­wünsch­te Wei­ter­lei­tun­gen beim Aufrufen von Webseiten sowie un­be­kann­te Pop-ups und Werbung ebenfalls Hinweise auf Hacking.

Tipp

Schnell, sicher und flexibel ska­lier­bar – dafür steht Web­hos­ting von IONOS mit Features wie SSL-Zer­ti­fi­kat, Backups und DDoS-Schutz.

In­ter­net­sei­te gehackt: Wie Sie jetzt vorgehen

Im schlimms­ten Fall lassen alle Anzeichen nur einen Schluss zu: Cy­ber­kri­mi­nel­le haben Si­cher­heits­lü­cken aus­ge­nutzt, um Ihre Website zu hacken. Halten Sie sich an folgende sieben Schritte, um das Problem zu lösen und die Si­cher­heit für Ihr Un­ter­neh­men und Ihre Kund­schaft wie­der­her­zu­stel­len:

Schritt 1: Ruhe bewahren

Die wich­tigs­te Regel ganz am Anfang: Ruhe bewahren. Un­über­leg­te Hand­lun­gen können noch mehr Schaden anrichten. Kam es auch zur Infektion Ihrer Endgeräte, sollten Sie nicht zu­sätz­li­che An­mel­de­da­ten für externe E-Mail-Accounts oder gar Ge­schäfts­kon­ten auf in­fi­zier­ten Geräten verwenden. Nutzen Sie im Fall eines Angriffs nur externe Computer und Konten für die Kom­mu­ni­ka­ti­on. Im Zweifel ziehen Sie IT-Ex­per­tin­nen bzw. -Experten hinzu. Un­ter­neh­men wiederum sollten, falls vorhanden, umgehend die IT-Si­cher­heit in­for­mie­ren.

Schritt 2: An­mel­de­da­ten und Zu­griffs­rech­te ändern

Sollten Sie Warnungen über unbefugte An­mel­de­ver­su­che erhalten oder un­be­rech­tig­te Zugriffe in Ihren Pro­to­kol­len fest­stel­len, ändern Sie Ihre An­mel­de­da­ten. Achten Sie darauf, neue Kenn­wör­ter nur als sicheres Passwort bestehend aus Groß- und Klein­schrei­bung, Zahlen, Son­der­zei­chen und möglichst 12 Zeichen zu nutzen. Ändern Sie folgende Zu­gangs­da­ten und Accounts:

  • An­mel­de­da­ten für Ad­mi­nis­tra­to­ren oder Zu­griffs­be­rech­tig­te
  • Account-Kenn­wör­ter für das Hosting
  • Primäre und sekundäre FTP-Accounts
  • Kenn­wör­ter und Zu­gangs­da­ten für Da­ten­ban­ken
  • Ver­knüpf­te E-Mail-Konten

Über­prü­fen und ändern Sie falls er­for­der­lich die Zu­griffs­rech­te und Rol­len­ver­ga­be für alle Personen mit Ad­mi­nis­tra­tor­rech­ten. Dies ist in der Regel über die Ver­wal­tungs­kon­so­le für Admins bzw. über FTP-Accounts möglich. Hierbei sollten Sie auch Zugriffs- und Än­de­rungs­rech­te für Dateien im Root Directory prüfen.

Schritt 3: Website auf War­tungs­mo­dus stellen

Falls diese Option zur Verfügung steht, empfiehlt es sich, die Website bis zur Lösung des Problems in den War­tungs­mo­dus zu versetzen. Auf diese Weise setzen Sie Userinnen und User keiner unnötigen Gefahr aus und schützen Ihr Image als Un­ter­neh­men.

Schritt 4: Website-Backup erstellen

Für den Fall, dass Ihre Website gehackt wird, sollten Sie im Voraus ein Backup Ihrer Website-Daten anlegen. Mit diesem lässt sich Ihre Website in einem früheren, sauberen Zustand wie­der­her­stel­len. Achten Sie hierbei darauf, mehr als ein Backup anzulegen und min­des­tens zwei Backups auf ver­schie­de­nen Spei­cher­me­di­en zu sichern.

Schritt 5: Logfiles der Website über­prü­fen

Sollten Sie Zugang zu Ihrer Ver­wal­tungs­kon­so­le haben, über­prü­fen Sie die Logfiles Ihrer Website. Darin sollten Sie den Zeit- und den An­griffs­punkt anhand von Feh­ler­mel­dun­gen und Zu­griffs­pro­to­kol­len iden­ti­fi­zie­ren können. Davon ausgehend lassen sich Si­cher­heits­lü­cken schließen sowie Malware, schäd­li­che Codes, Plugins, Themes oder andere Dritt­an­bie­ter-Software entfernen. Sollten Sie keinen Zugriff auf Ihre Weblogs haben, kon­tak­tie­ren Sie Ihren Hosting-Provider.

Schritt 6: .htaccess-Datei zu­rück­set­zen

Die .htaccess-Datei ist ein häufiges Ziel von Cy­ber­an­grif­fen, da sie wichtige Kon­fi­gu­ra­tio­nen für Websites auf Apache Web Servern enthält. Angriffe auf .htaccess-Dateien können zu Malware-Wei­ter­lei­tun­gen, bös­ar­ti­gen PHP-Dateien, Da­ten­dieb­stahl, Browser-Fin­ger­prin­ting oder so­ge­nann­ten Watering-Hole-Attacken führen. Das Zu­rück­set­zen der .htaccess-Datei sowie eine Be­schrän­kung der Zu­griffs­rech­te können Si­cher­heits­lü­cken schließen.

Schritt 7: Website auf Malware oder bös­ar­ti­gen Code scannen

Wenn Sie eine WordPress-Seite betreiben, stehen Ihnen kos­ten­freie und kos­ten­pflich­ti­ge Security-Plugins für WordPress zur Verfügung. Mit diesen lassen sich Website-Dateien, Apps und Plugins auf Malware oder bös­ar­ti­gen Code scannen. Bekannte und populäre Si­cher­heits­plug­ins sind bei­spiels­wei­se:

  • WPScan
  • Jetpack
  • Sucuri Security
  • Bul­let­Pro­of Security

Für Websites, die mit anderen CMS und WordPress-Al­ter­na­ti­ven erstellt und verwaltet werden, bieten sich ebenfalls Tools für Si­cher­heits­scans, Website-Mo­ni­to­ring und op­ti­mier­te Website- und Netzwerk-Si­cher­heit an:

  • Site­Guar­ding
  • Intruder
  • Hos­ted­Scan Security
  • Detectify
  • ImmuniWeb

Möchten Sie keine zu­sätz­li­chen Dritt­an­bie­ter-Tools nutzen, haben Sie auch die Mög­lich­keit, Ihre Website-Dateien manuell mit Ihrem aktuellen An­ti­vi­ren­pro­gramm zu über­prü­fen.

Warum wird eine Webseite gehackt?

Gründe für Website-Hacks sind viel­fäl­tig. In den meisten Fällen versuchen Ha­cke­rin­nen und Hacker, sich durch das Abfangen sensibler Bank-, Firmen- und Nut­zer­da­ten zu be­rei­chern. Die ge­won­ne­nen Daten nutzen sie dann direkt oder verkaufen sie an andere Kri­mi­nel­le weiter. Weitere Formen der fi­nan­zi­el­len Be­rei­che­rung durch Hacks sind Ran­som­wa­re-Attacken, die in der Regel mit einem Lösegeld für ver­schlüs­sel­te Fir­men­da­ten ein­her­ge­hen. Hacks können auch politisch motiviert sein und z. B. Websites von Un­ter­neh­men, Parteien, öf­fent­li­chen Personen oder In­sti­tu­tio­nen un­zu­gäng­lich machen.

Weitere Mo­ti­va­tio­nen für Hacks sind mi­li­tä­ri­sche Cy­ber­an­grif­fe. Hierbei führen staat­li­che Hacking-Gruppen sys­te­ma­ti­sche Angriffe auf digitale In­fra­struk­tu­ren aus, stehlen Daten, betreiben Spionage oder bringen Systeme zum Absturz. Auch Ehrgeiz und Ruhm spielen eine Rolle, wenn Hacker-Gruppen oder -In­di­vi­du­en Hacks auf große Un­ter­neh­men oder pro­mi­nen­te Personen als Trophäen be­trach­ten.

Tipp

Schützen Sie Ihre Website vor Ran­som­wa­re-Attacken und anderen Cy­ber­an­grif­fen – mit My­De­fen­der von IONOS. Au­to­ma­ti­sche Backups, Viren-Scans und die zu­ver­läs­si­ge Wie­der­her­stel­lung Ihrer Daten inklusive.

Wie lässt sich einem Website-Hack vorbeugen?

Folgende Si­cher­heits­vor­keh­run­gen und Regeln helfen, Ihre Website vor Malware zu schützen:

  • Nutzen Sie nur sichere Pass­wör­ter, die aktuellen Emp­feh­lun­gen in puncto Pass­wort­si­cher­heit ent­spre­chen.
  • Nutzen Sie einen Passwort-Manager, um bei vielen Pass­wör­tern den Überblick über die Passwort-Si­cher­heit zu behalten.
  • Ändern Sie Pass­wör­ter und Zu­gangs­da­ten re­gel­mä­ßig und speichern Sie diese nicht in Ihrem Ad­mi­nis­tra­to­ren­be­reich oder auf Ihrem Computer.
  • Verwenden Sie aktuelle PHP-Versionen – die neueste ist PHP 8.
  • Halten Sie Plugins, Apps und andere ver­knüpf­te Software durch Updates auf dem neuesten Stand.
  • Nutzen Sie eine aktuelle Antiviren-Software.
  • Achten Sie auf einen seriösen und sicheren Hosting-Provider mit hohem Da­ten­schutz.
  • Nutzen Sie Si­cher­heits­plug­ins für Website-Mo­ni­to­ring.
  • Achten Sie auf aktuelle SSL-Zer­ti­fi­ka­te.
  • Legen Sie Wert auf eine sichere Da­tei­über­tra­gung zwischen Ihrem Webspace und ver­bun­de­nen Rechnern mit Zu­griffs­rech­ten per FTP bzw. SFTP.
  • Ak­ti­vie­ren Sie Warnungen für unbefugte An­mel­dun­gen und eine Zwei-Faktor-Au­then­ti­fi­zie­rung.
  • Legen Sie Backups Ihrer Website-Dateien an.
  • Lassen Sie Ihre Website durch pro­fes­sio­nel­le Si­cher­heits­tools oder IT-Experten auf Schwach­stel­len ana­ly­sie­ren.
  • Über­wa­chen Sie Zugriffe, Sei­ten­be­rech­ti­gun­gen und Nut­zer­rol­len.
  • Nutzen Sie eine sichere Firewall für die Website (z. B. über Sucuri oder Cloud­fla­re).
  • Große Un­ter­neh­men sollten stets über eine eigene IT-Si­cher­heit verfügen.

Website hacked? Auf richtige Kun­den­kom­mu­ni­ka­ti­on achten

Wurde Ihre Webseite gehackt, kommt es nicht nur auf die Wie­der­her­stel­lung Ihrer Website-Si­cher­heit an. Auch Nut­ze­rin­nen und Nutzer, die Website-Dienste abonniert oder Daten hin­ter­legt haben, sollten über mögliche Cy­ber­an­grif­fe und ge­stoh­le­ne Daten in­for­miert werden. Eine ver­spä­te­te, unklare oder sogar ver­heim­lich­te In­for­ma­ti­on über einen Angriff kann Ihrer Marke sogar schaden. So in­for­mier­te Facebook über einen Diebstahl von über 530 Millionen Nut­zer­da­ten im Jahr 2019 erst zwei Jahre später. Wer der Da­ten­schutz-Grund­ver­ord­nung der Eu­ro­päi­schen Union (DSGVO) un­ter­liegt, ist zudem ver­pflich­tet, Nut­ze­rin­nen und Nutzer über Da­ten­dieb­stahl und Si­cher­heits­lü­cken auf­zu­klä­ren.

Achten Sie auf eine aktive, trans­pa­ren­te Kun­den­kom­mu­ni­ka­ti­on, wenn es zum Website-Hack kommt. Idea­ler­wei­se erfolgt die Be­kannt­ga­be über eine öf­fent­li­che Stel­lung­nah­me oder E-Mail. Schildern Sie die Situation eindeutig und ver­ständ­lich. Weisen Sie auf mögliche Aus­wir­kun­gen und be­trof­fe­ne Daten hin. Geben Sie zudem Hinweise, welche Maßnahmen Kundinnen und Kunden ergreifen müssen, um die Si­cher­heit und den Da­ten­schutz wie­der­her­zu­stel­len. Weisen Sie bei­spiels­wei­se auch darauf hin, Kenn­wör­ter zu ändern, auf ver­däch­ti­ge An­mel­de­ver­su­che zu achten oder eine Zwei-Faktor-Au­then­ti­fi­zie­rung zu nutzen.

Fazit

Mit der zu­neh­men­den Di­gi­ta­li­sie­rung des Alltags und der Ge­schäfts­welt wachsen auch Risiken durch Cy­ber­an­grif­fe. Wer sich an Si­cher­heits­vor­keh­run­gen wie sichere Pass­wör­ter, aktuelle Software, seriöse Hosting-Anbieter und An­ti­vi­ren­pro­gram­me hält, un­ter­nimmt bereits wichtige Schritte, um die In­te­gri­tät, Se­rio­si­tät und Si­cher­heit einer Website zu ge­währ­leis­ten.

Zum Hauptmenü