Ihre Website ist das digitale Schaufenster Ihres Unternehmens — und gleichzeitig die größte öffentlich sichtbare Angriffsfläche. Angreifer brauchen keine ausgefeilten Techniken, wenn grundlegende Sicherheitseinstellungen fehlen. Ein automatisierter Sicherheitscheck zeigt in Minuten, was ein manueller Blick in Wochen nicht findet.
Was ein Website-Sicherheitscheck prüft
Ein umfassender Scan untersucht 15 sicherheitsrelevante Bereiche Ihrer öffentlichen Web-Präsenz:
SSL & Verschlüsselung
- SSL-Zertifikat: Gültigkeit, Ablaufdatum, Zertifikatskette, TLS-Version
- HTTP-zu-HTTPS-Weiterleitung: Werden alle Anfragen korrekt auf die verschlüsselte Verbindung umgeleitet?
Ein abgelaufenes oder falsch konfiguriertes SSL-Zertifikat zeigt Besuchern eine Warnseite. Das kostet nicht nur Vertrauen — Google bestraft es auch im Ranking.
Security-Header
HTTP-Security-Header sind die unsichtbare Schutzschicht Ihrer Website. Die wichtigsten:
- Content-Security-Policy (CSP): Verhindert Cross-Site-Scripting (XSS), indem nur vertrauenswürdige Quellen für Scripts zugelassen werden
- X-Frame-Options: Schützt vor Clickjacking-Angriffen
- Strict-Transport-Security (HSTS): Erzwingt verschlüsselte Verbindungen
- X-Content-Type-Options: Verhindert MIME-Sniffing
Laut einer Analyse von SecurityHeaders.com fehlen bei über 70 % der deutschen Unternehmenswebsites mindestens drei kritische Security-Header.
E-Mail-Sicherheit
Selbst wenn Ihre Website sicher ist — ohne korrekte E-Mail-Authentifizierung können Angreifer Ihre Domain für Phishing missbrauchen:
- SPF: Definiert, welche Server E-Mails für Ihre Domain senden dürfen
- DKIM: Signiert ausgehende E-Mails kryptographisch
- DMARC: Legt fest, wie empfangende Server mit nicht authentifizierten E-Mails umgehen
- DANE/TLSA: Erzwingt TLS-Verschlüsselung für E-Mail-Transport
DNS & Infrastruktur
- DNSSEC: Schützt DNS-Antworten vor Manipulation
- Offene Ports: Unnötig geöffnete Netzwerkdienste erhöhen die Angriffsfläche
- Subdomains: Vergessene Test- oder Staging-Subdomains sind häufig ungesichert
- Domain-Ablauf: Ein ablaufender Domain-Name kann von Dritten registriert werden
Web-Konfiguration
- Web Application Firewall (WAF): Ist ein WAF aktiv und korrekt konfiguriert?
- security.txt: Stellt Ihre Website einen standardisierten Sicherheitskontakt bereit?
- Cookie-Konfiguration: Sind Session-Cookies mit Secure-, HttpOnly- und SameSite-Flags geschützt?
- Technologie-Stack: Veröffentlicht Ihr Server versionsdetails, die Angreifern die Arbeit erleichtern?
Warum automatisierte Scans wichtig sind
Ein manueller Security-Review ist gründlich, aber zeitaufwändig und teuer. Automatisierte Scans liefern in Minuten ein vollständiges Bild der öffentlich sichtbaren Sicherheitslage. Sie ersetzen keinen Penetrationstest — aber sie decken die 80 % der Schwachstellen auf, die durch fehlende Konfiguration entstehen.
Der entscheidende Vorteil: Regelmäßige Scans erkennen Verschlechterungen. Ein SSL-Zertifikat, das heute gültig ist, läuft in drei Monaten ab. Ein Security-Header, der heute gesetzt ist, verschwindet beim nächsten Website-Update. Nur regelmäßige Prüfung schafft nachhaltige Sicherheit.
Der Score: Von 0 bis 100
Ein strukturierter Sicherheitscheck fasst alle Ergebnisse in einem Score von 0 bis 100 zusammen. Grün, gelb, rot — auf einen Blick sehen Sie, wo Ihre Website steht und wo Handlungsbedarf besteht. Jeder Befund kommt mit einer konkreten Handlungsempfehlung und Prioritätsstufe.
DSGVO-Relevanz
Die DSGVO verlangt in Art. 32 "geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten. Eine unverschlüsselte Website, fehlende Security-Header oder offene Ports können als Verstoß gegen diese Anforderung gewertet werden — besonders wenn Kontaktformulare oder Kundenportale betroffen sind.
Nächste Schritte
Ein Website-Sicherheitscheck analysiert Ihre öffentliche Web-Präsenz in 15 Kategorien und liefert einen detaillierten Report mit Score und priorisierten Handlungsempfehlungen.
Website-Sicherheitscheck buchen, um den Sicherheitsstatus Ihrer Web-Präsenz zu erfahren.