Website-Sicherheit für KMU: Die fünf Basics, die dich vor 90 % der Probleme schützen

Wenn der Anruf um 7:30 Uhr kommt — »Marzel, unsere Website ist weg« — ist das fast immer das gleiche Bild. Eine veraltete WordPress-Installation, ein eingestelltes Plugin, eine viel zu schwache Admin-Passwort-Kombination. Niemand wurde »gezielt gehackt«. Ein Scanner ist über die Domain gerollt, hat eine bekannte Lücke gefunden und automatisch zugeschlagen. Das passiert jeden Tag tausendfach — und genau deshalb ist es vermeidbar.

Warum kleine Websites trotzdem Ziel sind

Ein häufiger Denkfehler: »Wir sind doch viel zu klein für sowas.« Stimmt aber nicht. Angreifer suchen nicht nach Firmen, sie suchen nach offenen Türen. Eine kompromittierte Website wird zum Werkzeug — sie verschickt Spam, leitet auf Glücksspielseiten weiter, hostet Phishing-Kopien. Für die Angreifer ist deine Seite nur ein Mietshaus, das gerade leer steht. Für dich ist es ein abgewertetes Google-Ranking, ein blockierter Hoster und im schlimmsten Fall ein Datenschutzvorfall.

Die fünf Basics — in dieser Reihenfolge

Du musst nicht alles auf einmal umsetzen. Aber jedes dieser Themen zahlt sich um ein Vielfaches aus. In dieser Reihenfolge bekommst du den größten Effekt mit dem kleinsten Aufwand:

1. 01Updates automatisieren — System, Themes und Plugins. Lieber einmal pro Woche, statt einmal im Jahr alles gleichzeitig.
2. 02Starke, einzigartige Passwörter plus Zwei-Faktor für jeden Admin-Zugang. Ein Passwort-Manager ist hier Pflicht, kein Luxus.
3. 03Regelmäßige, automatisch geprüfte Backups — und zwar an einem Ort, der nicht auf demselben Server liegt.
4. 04HTTPS überall, nicht nur auf der Startseite. Das ist 2026 keine Aussage mehr, sondern Mindeststandard.
5. 05Weniger ist mehr: Jedes ungenutzte Plugin und jedes alte Konto deaktivieren oder löschen. Was nicht da ist, kann nicht angreifbar sein.

Backups sind nicht der schöne Teil — aber der wichtigste

Ich habe schon Notfälle erlebt, in denen das Backup vorhanden war und nur fünf Minuten Wiederherstellung gekostet hat. Und ich habe Notfälle erlebt, in denen das »Backup« seit zwei Jahren nicht mehr lief und niemandem aufgefallen war. Der Unterschied zwischen einem schlechten Mittag und einem ruinierten Quartal liegt genau hier. Wichtig ist nicht nur, dass das Backup läuft — sondern dass es regelmäßig geprüft wird. Ein Backup, das man nie zurückgespielt hat, ist im Zweifel kein Backup.

Was du als Inhaber selbst tun kannst

Du musst kein Sicherheitsexperte werden. Drei Gewohnheiten machen aber spürbar einen Unterschied — und kosten nichts:

• Anmeldungen am Admin-Bereich nur über das eigene Gerät, niemals über öffentliche WLANs ohne VPN.
• Bei Abgängen im Team Zugänge sofort entziehen — der häufigste »Insider-Vorfall« ist ein vergessener Account.
• Bei seltsamen E-Mails (»Bitte hier einloggen, sonst wird die Domain gesperrt«) lieber einmal nachfragen als klicken.

Sicherheit ist kein Produkt, das man einmal kauft. Sie ist die Summe vieler kleiner, langweiliger Entscheidungen.

Bei den Projekten, die ich mit Wartungsvertrag betreue, sind genau diese Punkte einfach Teil des Alltags. Updates laufen automatisch, Backups werden überwacht, Zugänge stehen auf 2FA — und im Idealfall merkst du davon nichts. Genau das ist der Punkt: Gute Sicherheit ist unsichtbar. Erst wenn sie fehlt, wird sie laut.