Sie zahlen CHF 5 pro Monat fuer Ihr Hosting. Ihre Website funktioniert, Ihre E-Mails kommen an, alles scheint in Ordnung. Was koennte schiefgehen?
Ziemlich viel, tatsaechlich. Diese CHF 5 kaufen Ihnen ein kleines Stueck eines Servers, der mit Dutzenden oder sogar Hunderten anderer Websites geteilt wird. Sie wissen nicht, wer Ihre Nachbarn sind, welche Software sie verwenden oder wie gut sie ihre Websites warten. Und hier liegt das Problem: Deren Sicherheitsversaeumnisse koennen direkt Ihr Geschaeft beeintraechtigen.
Dieser Artikel erklaert, wie Shared Hosting tatsaechlich funktioniert, welche Risiken es mit sich bringt und welche Alternativen existieren. Einige dieser Alternativen sind ueberraschend erschwinglich.
Wie Shared Hosting tatsaechlich funktioniert
Shared Hosting bedeutet genau das, wonach es klingt. Ein einzelner physischer Server (oder virtuelle Maschine) betreibt mehrere Websites verschiedener Kunden. Alle teilen sich CPU, RAM, Speicherplatz, IP-Adresse und oft dieselbe PHP-Installation und denselben MySQL-Server.
Der Hosting-Anbieter verwendet Software wie cPanel, Plesk oder DirectAdmin, um isolierte Benutzerkonten zu erstellen. Jeder Kunde erhaelt sein eigenes Verzeichnis, seine eigenen FTP-Zugangsdaten und seine eigene Datenbank. Die Isolation zwischen Konten wird durch die Dateiberechtigungen des Betriebssystems und in besseren Konfigurationen durch Containerisierungstechnologien wie CloudLinux gehandhabt.
Aber "Isolation" beim Shared Hosting ist relativ. Das Trennungsniveau ist nicht vergleichbar mit dem eines dedizierten Servers oder auch nur eines VPS. Denken Sie daran wie an ein Mehrfamilienhaus. Sie haben Ihre eigene Haustuer, aber Sie teilen die Sanitaerinstallation, die Elektrik, das Fundament und das Dach. Wenn die Wohnung unter Ihnen ueberschwemmt wird, wird Ihre Decke nass.
Die Wirtschaftlichkeit von Shared Hosting
Ein ordentlicher Server kostet zwischen CHF 80 und CHF 300 pro Monat im Betrieb. Wenn ein Hosting-Unternehmen 200 Websites auf diesen Server setzt und jedem Kunden CHF 5 berechnet, kassiert es CHF 1.000 pro Monat. Das ist ihr Geschaeftsmodell. Je mehr Websites pro Server, desto hoeher die Gewinnmarge.
Dieser oekonomische Anreiz steht in direktem Widerspruch zu Ihren Sicherheits- und Leistungsbeduerfnissen. Jeder zusaetzliche Mieter auf dem Server erhoeht Ihr Risiko und verringert Ihre verfuegbaren Ressourcen.
Cross-Site-Kontamination
Dies ist das groesste Risiko von Shared Hosting und dasjenige, das die meisten Geschaeftsinhabern nicht kennen. Wenn eine Website auf Ihrem Shared Server gehackt wird, kann der Angreifer moeglicherweise auch auf Ihre Dateien zugreifen.
Wie es passiert
Wenn ein Angreifer eine schlecht gewartete WordPress-Seite auf Ihrem Server kompromittiert (z.B. eine mit einem Plugin, das eine bekannte Datei-Upload-Schwachstelle hat), erhaelt er die Faehigkeit, Code als Benutzer dieser Seite auszufuehren. Von dort kann er versuchen:
- Dateien anderer Konten zu lesen, wenn die Dateiberechtigungen falsch konfiguriert sind (was bei guenstigem Hosting haeufig vorkommt).
- Auf gemeinsame temporaere Verzeichnisse zuzugreifen wie
/tmp, wo Sitzungsdateien und hochgeladene Dateien voruebergehend gespeichert sein koennen. - Lokale Privilege-Escalation-Schwachstellen auszunutzen im Betriebssystem oder Kernel des Servers, um Root-Zugriff zu erlangen, was Zugriff auf jede Website auf dem Server gibt.
- Auf gemeinsame Datenbankserver zuzugreifen, wo alle Mieter-Datenbanken gehostet werden, manchmal mit vorhersagbaren Namenskonventionen und schwachen Zugangsdaten.
Ein reales Szenario
Wir haben dies bei Sicherheitsbewertungen selbst gesehen. Die E-Commerce-Website eines Kunden war auf Shared Hosting. Die Seite selbst war gut gewartet, mit aktuellen Softwareversionen und starken Passwoertern. Trotzdem tauchte Malware in ihren Dateien auf. Die Quelle? Eine voellig unverbundene Website auf demselben Server war Wochen zuvor kompromittiert worden. Der Angreifer hatte einen lokalen Privilege-Escalation-Exploit genutzt, um sich lateral ueber den Server zu bewegen.
Die Website des Kunden war sauber. Die des Nachbarn nicht. Aber der Kunde zahlte den Preis.
Laute Nachbarn: Leistung unter der Kontrolle anderer
Die Leistung ist das andere grosse Opfer von Shared Hosting. Da alle Mieter CPU, RAM und Festplatten-I/O teilen, kann eine einzige fehlerhaft arbeitende Website alle anderen verlangsamen.
Was Probleme mit lauten Nachbarn verursacht
- Traffic-Spitzen: Wenn eine andere Website auf Ihrem Server viral geht oder einen DDoS-Angriff erleidet, werden die Serverressourcen verbraucht und Ihre Website wird merklich langsamer.
- Schlecht geschriebener Code: Ein Nachbar, der unoptimierte Datenbankabfragen oder speicherintensive Skripte ausfuehrt, kann CPU und RAM verbrauchen, die Sie brauchen.
- Cron-Jobs und Batch-Prozesse: Schwere geplante Aufgaben (wie Massen-E-Mail-Versand oder grosse Datenbankexporte) durch andere Mieter koennen periodische Verlangsamungen erzeugen, die schwer zu diagnostizieren sind.
- Festplatten-I/O-Konkurrenz: Wenn mehrere Websites gleichzeitig auf dieselbe physische Festplatte lesen und schreiben, wird alles langsamer. Dies ist besonders schlimm fuer datenbankintensive Websites.
Die Auswirkung auf Ihr Geschaeft
Die Seitenladegeschwindigkeit beeinflusst direkt die Konversionsraten. Mehrere Studien haben gezeigt, dass jede zusaetzliche Sekunde Ladezeit die Konversionen um 7-10% reduziert. Wenn Ihre Website wegen der Aktivitaet eines Nachbarn langsam ist, verlieren Sie Geld aus Gruenden, die voellig ausserhalb Ihrer Kontrolle liegen.
Suchmaschinen beruecksichtigen die Seitengeschwindigkeit ebenfalls beim Ranking. Google war diesbezueglich zunehmend deutlich. Eine langsam ladende Seite wird bei sonst gleichen Faktoren schlechter ranken als eine schnelle.
IP-Reputation und E-Mail-Blacklisting
Beim Shared Hosting teilen Sie eine IP-Adresse mit jeder anderen Website auf dem Server. Das ist wichtiger, als die meisten Menschen erkennen, insbesondere fuer E-Mails.
Wie IP-Reputation funktioniert
E-Mail-Anbieter (Gmail, Outlook, Yahoo) fuehren Reputationswerte fuer IP-Adressen. Wenn eine IP-Adresse Spam sendet, sinkt ihre Reputation. Wenn die Reputation unter einen Schwellenwert faellt, landen E-Mails von dieser IP im Spam-Ordner oder werden ganz abgelehnt.
Beim Shared Hosting: Wenn ein Mieter auf Ihrem Server Spam sendet (absichtlich oder weil seine Website gehackt und als Spam-Relay genutzt wird), sinkt die IP-Reputation fuer alle. Ihre voellig legitimen Geschaefts-E-Mails landen im Spam-Ordner.
Der Schaden
- Geschaeftsangebote per E-Mail landen im Spam und werden nie gelesen.
- Bestellbestaetigungen von Ihrem E-Commerce-Shop verschwinden im Junk-Ordner.
- Passwort-Zuruecksetzungs-E-Mails kommen nie an und sperren Ihre Kunden aus ihren Konten aus.
- Ihre E-Mail-Domain wird mit einer geblacklisteten IP assoziiert, und die Behebung kann Wochen oder Monate dauern.
Sie koennen pruefen, ob die IP Ihres Servers geblacklistet ist, mit Tools wie MXToolbox oder Spamhaus. Wir empfehlen, dies regelmaessig zu tun, wenn Sie auf Shared Hosting sind. Die Ergebnisse sind oft unangenehm.
Symlink-Angriffe
Symlink-Angriffe (symbolische Links) sind eine spezifische Angriffstechnik, die Shared-Hosting-Umgebungen betrifft. Sie nutzen die Art und Weise aus, wie Unix/Linux-Dateisysteme symbolische Links handhaben.
Wie Symlink-Angriffe funktionieren
Ein symbolischer Link ist wie eine Verknuepfung. Er zeigt von einem Ort im Dateisystem auf einen anderen. Auf einem Shared Server kann ein Angreifer, der ein Konto kontrolliert, einen Symlink erstellen, der auf die Dateien eines anderen Kontos zeigt. Zum Beispiel:
ln -s /home/ihr-konto/wp-config.php /home/angreifer-konto/gestohlen.txt
Wenn der Server das Folgen von Symlinks ueber Kontogrenzen hinweg nicht ordnungsgemaess einschraenkt, kann der Angreifer Ihre Konfigurationsdateien lesen. Und diese Konfigurationsdateien enthalten Datenbank-Zugangsdaten, API-Schluessel und andere sensible Daten.
Gemeinsame PHP-Sessions
PHP speichert Sitzungsdaten standardmaessig auf der Festplatte, typischerweise in /tmp oder einem gemeinsamen Sitzungsverzeichnis. Beim Shared Hosting koennen mehrere Websites denselben Sitzungsspeicherort verwenden.
Das Risiko
Wenn ein Angreifer Sitzungsdateien Ihrer Anwendung lesen kann, kann er aktive Benutzersitzungen uebernehmen. Das bedeutet, er kann sich als angemeldete Benutzer Ihrer Website ausgeben, einschliesslich Administratoren.
Warum "unbegrenztes" Hosting ein Warnsignal ist
Viele Budget-Hosting-Anbieter bewerben "unbegrenzten" Speicherplatz, "unbegrenzte" Bandbreite und "unbegrenzte" E-Mail-Konten. Das ist Marketing, nicht Realitaet.
Was "unbegrenzt" tatsaechlich bedeutet
Lesen Sie die Allgemeinen Geschaeftsbedingungen aufmerksam (was fast niemand tut). Sie werden Klauseln finden wie:
"Ressourcen unterliegen einer Fair-Use-Richtlinie. Konten, die uebermassig Ressourcen nutzen, koennen gedrosselt oder gesperrt werden."
Es gibt keine unbegrenzten Ressourcen auf einem endlichen Server. Was "unbegrenzt" in der Praxis bedeutet, ist: "Wir setzen kein hartes Limit, aber wenn Sie tatsaechlich signifikante Ressourcen nutzen, drosseln wir Sie oder bitten Sie um ein Upgrade."
Guenstiges Hosting = geteilte Ressourcen = Risiko
Sprechen wir Klartext. Wenn Sie weniger als CHF 10 pro Monat fuer Hosting bezahlen, sind Sie auf einem Shared Server mit aggressiver Mieterdichte. Das Hosting-Unternehmen verdient Geld, indem es so viele Websites wie moeglich auf jeden Server packt und minimalen Support bietet.
Das ist in Ordnung fuer einen persoenlichen Blog oder ein Hobbyprojekt. Es ist nicht akzeptabel fuer eine Geschaeftswebsite, besonders eine, die Kundendaten verarbeitet, Zahlungen abwickelt oder Ihr Unternehmen gegenueber Kunden und Partnern repraesentiert.
Was Sie riskieren
| Risiko | Auswirkung | Wahrscheinlichkeit bei guenstigem Shared Hosting |
|---|---|---|
| Cross-Site-Kontamination | Ihre Website wird ueber einen Nachbarn gehackt | Mittel-Hoch |
| Leistungseinbussen | Langsames Laden, verlorene Kunden | Hoch |
| IP-Blacklisting | E-Mails landen im Spam | Mittel |
| Symlink-Angriffe | Datenbank-Zugangsdaten gestohlen | Mittel |
| Datenschutzverletzung | Kundendaten offengelegt | Mittel |
| Ausfallzeit | Website waehrend der Geschaeftszeiten nicht erreichbar | Mittel-Hoch |
Hosting-Optionen im Vergleich: VPS vs Shared vs Managed vs Statisches Deployment
Schauen wir uns die Alternativen an. Es gibt mehr Optionen, als die meisten Geschaeftsinhaber realisieren, und einige sind nicht so teuer, wie man denken koennte.
Shared Hosting
Kosten: CHF 3-15/Monat
Isolation: Minimal
Leistung: Variabel, abhaengig von Nachbarn
Sicherheit: Am niedrigsten
Verwaltung: Anbieter verwaltet den Server, Sie verwalten Ihre Website
Am besten fuer: Persoenliche Projekte, Hobby-Websites
VPS (Virtual Private Server)
Kosten: CHF 10-50/Monat
Isolation: Stark (Hardware-Level-Virtualisierung)
Leistung: Dedizierte Ressourcen, konstant
Sicherheit: Gut, aber Sie verwalten den Server
Verwaltung: Sie verwalten alles (OS-Updates, Sicherheits-Patches, Firewall)
Am besten fuer: Unternehmen mit technischem Personal oder Budget fuer Managed Services
Managed Hosting
Kosten: CHF 30-200/Monat
Isolation: Stark (typischerweise VPS oder dediziert)
Leistung: Gut bis ausgezeichnet
Sicherheit: Gut (Anbieter kuemmert sich um Server-Sicherheit)
Verwaltung: Anbieter kuemmert sich um Server, Updates, Backups, Sicherheit
Am besten fuer: Unternehmen, die WordPress oder andere CMS-Plattformen nutzen
Statisches/CDN-basiertes Deployment
Kosten: CHF 0-20/Monat (oft kostenlos fuer kleine und mittlere Websites)
Isolation: Vollstaendig (kein geteilter Server)
Leistung: Ausgezeichnet (globales CDN, Edge-Caching)
Sicherheit: Am hoechsten (keine serverseitige Code-Ausfuehrung, keine exponierte Datenbank)
Verwaltung: Minimal (deployen und vergessen)
Am besten fuer: Geschaeftswebsites, Marketing-Websites, Landing Pages, Dokumentation
Die Sicherheitsvorteile von CDN-basiertem Hosting
Hier wird es interessant, und hier sind die meisten Geschaeftsinhaber ueberrascht. Dienste wie Cloudflare Pages, Vercel und Netlify bieten ein grundlegend anderes Hosting-Modell, das die meisten der in diesem Artikel besprochenen Risiken eliminiert.
Wie CDN-basiertes Hosting funktioniert
Anstatt Ihre Website auf einem einzelnen Server zu betreiben, wird Ihre Website in statische Dateien (HTML, CSS, JavaScript) gebaut und ueber ein globales Netzwerk von Edge-Servern verteilt. Wenn jemand Ihre Website besucht, wird sie vom naechsten Edge-Standort ausgeliefert. Es gibt keinen Origin-Server, der PHP oder eine Datenbank ausfuehrt.
Fuer eine ausfuehrlichere Erklaerung lesen Sie unseren Artikel ueber moderne Web-Architektur.
Warum es Shared-Hosting-Risiken eliminiert
- Keine Cross-Site-Kontamination: Es gibt keinen geteilten Server, auf dem andere Websites kompromittiert werden koennen. Ihre Dateien werden von einem CDN ausgeliefert, das Millionen von Websites verwaltet, aber die Infrastruktur ist von Grund auf fuer Multi-Tenancy mit angemessener Isolation konzipiert.
- Keine lauten Nachbarn: CDN-Ressourcen sind global verteilt. Ein Traffic-Spike auf einer Website beeinflusst Ihre nicht, weil die Last auf Hunderte von Rechenzentren verteilt wird.
- Kein IP-Blacklisting-Risiko: CDN-IPs werden vom Anbieter verwaltet und sind nicht mit einzelnen Websites verbunden. E-Mail wird separat gehandhabt (wie es sein sollte).
- Keine Symlink-Angriffe: Es gibt kein Dateisystem, das ausgenutzt werden kann. Ihre Website ist nach dem Deployment unveraenderlich.
- Keine serverseitigen Schwachstellen: Kein PHP, kein MySQL, kein Admin-Panel, keine Datei-Upload-Endpunkte. Die Angriffsflaeche ist minimal.
Lesen Sie mehr darueber, wie CDN-Architektur die Sicherheit verbessert, in unserem Artikel ueber CDN-Sicherheitsvorteile.
Kostenvergleich: Die Ueberraschung
| Hosting-Typ | Monatliche Kosten | Leistung | Sicherheit | Wartung |
|---|---|---|---|---|
| Guenstiges Shared Hosting | CHF 5-10 | Schlecht bis durchschnittlich | Niedrig | Mittel |
| Qualitaets-Shared-Hosting | CHF 15-30 | Durchschnittlich | Niedrig-Mittel | Mittel |
| VPS (unverwaltet) | CHF 10-50 | Gut | Mittel (wenn gewartet) | Hoch |
| Managed WordPress | CHF 30-200 | Gut | Mittel-Hoch | Niedrig |
| Cloudflare Pages | CHF 0 (kostenlose Stufe) | Ausgezeichnet | Hoch | Sehr niedrig |
| Vercel | CHF 0-20 | Ausgezeichnet | Hoch | Sehr niedrig |
| Netlify | CHF 0-19 | Ausgezeichnet | Hoch | Sehr niedrig |
Ja, Sie haben richtig gelesen. Cloudflare Pages hat eine kostenlose Stufe, die die Beduerfnisse der meisten Geschaeftswebsites erfuellt. Vercel und Netlify haben ebenso grosszuegige kostenlose Angebote.
Was sollten Sie tun?
Wenn die Website Ihres Unternehmens derzeit auf Shared Hosting liegt, hier eine praktische Bewertung:
- Pruefen Sie Ihr aktuelles Hosting. Melden Sie sich im Kontrollpanel Ihres Hostings an. Schauen Sie sich die Serverinformationen an. Wie viele andere Websites sind auf Ihrem Server? Welche IP-Adresse haben Sie? Pruefen Sie diese IP auf MXToolbox auf Blacklisting.
- Bewerten Sie Ihren Website-Typ. Ist es eine WordPress-Seite? Ein individuelles CMS? Eine einfache Visitenkarten-Website? Der Website-Typ bestimmt Ihre Migrationsoptionen.
- Beruecksichtigen Sie Ihre tatsaechlichen Beduerfnisse. Die meisten Geschaeftswebsites sind informativ. Sie brauchen kein PHP und keine Datenbank. Sie brauchen schnelles Laden, gutes SEO und zuverlaessige Verfuegbarkeit. Eine statische Website auf einem CDN liefert all das besser als Shared Hosting.
- Berechnen Sie die realen Kosten. Beruecksichtigen Sie nicht nur die Hosting-Gebuehr, sondern auch die Zeit fuer den Umgang mit Verlangsamungen, das Risiko von Sicherheitsvorfaellen und die potenzielle Auswirkung auf Ihr Geschaeft, wenn die Website ausfaellt.
- Planen Sie eine Migration. Der Wechsel von Shared Hosting zu einer besseren Loesung ist nicht so schwierig oder teuer, wie Sie vielleicht denken, besonders wenn Sie mit einem Team zusammenarbeiten, das moderne Web-Architektur versteht.
Wann Shared Hosting akzeptabel sein koennte
Um fair zu sein, Shared Hosting ist nicht immer falsch. Es kann akzeptabel sein fuer:
- Persoenliche Blogs ohne kommerziellen Zweck.
- Temporaere oder Einweg-Websites (Event-Seiten, Testumgebungen).
- Websites ohne sensible Daten und ohne geschaeftliche Auswirkung bei Ausfall.
Aber wenn Ihre Website Ihr Unternehmen repraesentiert, irgendeine Form von Kundendaten verarbeitet oder zu Ihrem Umsatz beitraegt, ist Shared Hosting eine Scheineinsparung.
Naechste Schritte
Bei Envestis helfen wir Unternehmen in Lugano und in der gesamten Schweiz, von riskanten Hosting-Umgebungen zu sicheren, leistungsstarken Alternativen zu migrieren. Ob es darum geht, zu einem Managed VPS zu wechseln, auf einem modernen Stack mit CDN-Deployment neu aufzubauen oder einfach Ihre aktuelle Konfiguration zu haerten: Wir koennen den besten Weg fuer Ihre spezifische Situation empfehlen.
Wenn Sie die Risiken Ihres aktuellen Hostings verstehen moechten, kontaktieren Sie uns fuer eine kostenlose Bewertung. Wir sagen Ihnen genau, welchen Risiken Sie ausgesetzt sind und was noetig waere, um sie zu beheben.
Wollen Sie wissen, ob Ihre Website sicher ist?
Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.
Kostenloses Audit Anfordern