← Zurück zum Blog Sicherheit

Website-Schwachstellenscan für Einsteiger: Kostenlose Tools und Schritt-für-Schritt-Anleitung

Envestis Team 14 Min. Lesezeit

Sie Können die Sicherheit Ihrer Website Selbst Prüfen (Bis zu Einem Gewissen Punkt)

Die meisten Unternehmer haben die Sicherheit ihrer eigenen Website nie getestet. Sie gehen davon aus, dass die Webagentur, die sie gebaut hat, sich um die Sicherheit gekümmert hat, oder dass ihr Hosting-Provider sich darum kümmert. Manchmal stimmt das. Oft nicht.

Die gute Nachricht: Es gibt kostenlose Tools, mit denen Sie jetzt grundlegende Sicherheitschecks durchführen können, ohne etwas zu installieren, ohne technisches Fachwissen und ohne einen Rappen auszugeben. Diese Tools finden nicht alles, aber sie erkennen die häufigsten Probleme und geben Ihnen ein klares Bild der Sicherheitslage Ihrer Website.

Dieser Leitfaden führt Sie durch fünf kostenlose Tools, erklärt, was jedes testet, wie man es benutzt und was die Ergebnisse bedeuten.

Schwachstellenbewertung vs Penetrationstest: Kennen Sie den Unterschied

Schwachstellenbewertung (Vulnerability Assessment)

Eine Schwachstellenbewertung identifiziert bekannte Schwachstellen in Ihrer Website oder Infrastruktur. Sie verwendet automatisierte Tools, um nach häufigen Problemen zu suchen: fehlende Sicherheits-Header, veraltete Software, schwache SSL-Konfigurationen, offene Ports, bekannte CVEs. Sie sagt Ihnen "hier sind Probleme, die existieren." Sie versucht nicht, diese Probleme auszunutzen.

Penetrationstest

Ein Penetrationstest geht weiter. Ein Sicherheitsexperte versucht aktiv, Schwachstellen auszunutzen, um zu sehen, wie weit er kommt. Penetrationstests erfordern Expertise, Autorisierung und eine strukturierte Methodik.

Wenn Sie das vollständige Bild verstehen wollen, wie Angreifer Unternehmenswebsites ins Visier nehmen, lesen Sie unseren Artikel darüber, wie Unternehmenswebsites gehackt werden.

Tool 1: Mozilla Observatory

Was Es Testet

Mozilla Observatory prüft die HTTP-Antwort-Header, Cookies und andere sicherheitsrelevante Konfigurationen Ihrer Website. Es gibt Ihnen eine Buchstabennote (A+ bis F) und sagt Ihnen genau, was fehlt oder falsch konfiguriert ist.

Wie Man Es Benutzt

  1. Gehen Sie zu observatory.mozilla.org
  2. Geben Sie Ihre Website-URL ein
  3. Klicken Sie auf "Scan Me"
  4. Warten Sie etwa 30 Sekunden auf die Ergebnisse

Was die Scores Bedeuten

  • Content-Security-Policy (CSP): Dieser Header sagt Browsern, welche Ressourcen auf Ihrer Seite geladen werden dürfen. Ohne ihn können Angreifer bösartige Skripte einschleusen.
  • HTTP Strict-Transport-Security (HSTS): Dieser Header sagt Browsern, immer HTTPS zu verwenden.
  • X-Content-Type-Options: Verhindert, dass Browser den Dateityp erraten (MIME-Sniffing). Sollte auf nosniff gesetzt sein.
  • X-Frame-Options: Kontrolliert, ob Ihre Site in einem iframe eingebettet werden kann. Ohne ihn sind Clickjacking-Angriffe möglich.

Wir haben einen detaillierten Leitfaden über Sicherheits-Header und einen weiteren speziell über HTTP-Sicherheits-Header für Ihre Website geschrieben.

Tool 2: Qualys SSL Labs Server Test

Was Es Testet

SSL Labs führt eine eingehende Analyse der SSL/TLS-Konfiguration Ihrer Website durch. Es prüft die Zertifikatsvalidität, unterstützte Protokolle, Cipher-Suiten und bekannte Schwachstellen.

Wie Man Es Benutzt

  1. Gehen Sie zu ssllabs.com/ssltest/
  2. Geben Sie Ihren Domainnamen ein (ohne https://)
  3. Warten Sie 2-3 Minuten auf den vollständigen Scan

Was die Noten Bedeuten

  • A+ oder A: Ihre SSL/TLS-Konfiguration ist solide.
  • B: Allgemein akzeptabel, aber einige ältere Protokolle sind noch aktiviert.
  • C oder darunter: Erhebliche Probleme. Sie unterstützen möglicherweise veraltete Protokolle (TLS 1.0, TLS 1.1).
  • F: Ihr Zertifikat ist abgelaufen, selbst signiert oder es gibt eine schwerwiegende Fehlkonfiguration.

Wir erklären SSL-Zertifikate in einfacher Sprache in unserem Artikel SSL-Zertifikate erklärt, und unser Beitrag warum ein SSL-Zertifikat allein nicht reicht erklärt, was Sie zusätzlich zu HTTPS brauchen.

Tool 3: SecurityHeaders.com

SecurityHeaders.com ist ähnlich wie Mozilla Observatory, konzentriert sich aber speziell auf HTTP-Antwort-Header. Es gibt Ihnen eine schnelle Note und listet auf, welche Header vorhanden sind und welche fehlen. Nutzen Sie es als schnelle Zweitmeinung neben Mozilla Observatory.

Tool 4: OWASP ZAP (Zed Attack Proxy)

Was Es Ist

OWASP ZAP ist ein kostenloses Open-Source-Sicherheitstesttool, das von OWASP gepflegt wird. Im Gegensatz zu den vorherigen Tools läuft ZAP auf Ihrem Computer und scannt Ihre Website aktiv auf Schwachstellen.

Wie Man Es Benutzt

  1. Laden Sie ZAP von zaproxy.org herunter
  2. Installieren Sie es (verfügbar für Windows, macOS und Linux)
  3. Öffnen Sie ZAP
  4. Geben Sie im "Quick Start"-Tab Ihre Website-URL ein
  5. Klicken Sie auf "Attack" (dies startet einen automatisierten Scan)
  6. Warten Sie auf den Abschluss (10-60 Minuten je nach Website-Grösse)

Die Ergebnisse Verstehen

  • Hoch (Rot): Schwerwiegende Schwachstellen, die sofort behoben werden sollten. Beispiele: SQL-Injection, Cross-Site-Scripting (XSS), gebrochene Authentifizierung.
  • Mittel (Orange): Bedeutende Probleme, die Angreifer nutzen könnten.
  • Niedrig (Gelb): Kleinere Probleme oder Verstösse gegen Best Practices.
  • Informativ (Blau): Beobachtungen, die relevant sein könnten.

Wenn ZAP XSS-Schwachstellen findet, hilft Ihnen unser Artikel über XSS-Angriffe zu verstehen, was sie bedeuten.

Vorsicht

Der automatisierte Scan von ZAP sendet viele Anfragen an Ihre Website. Auf einem kleinen Shared-Hosting-Plan kann das Ihre Site verlangsamen. Führen Sie Scans ausserhalb der Spitzenzeiten durch. Scannen Sie nie eine Website, die Ihnen nicht gehört. Unbefugtes Scannen ist in den meisten Rechtsordnungen illegal, auch in der Schweiz.

Tool 5: Nikto

Was Es Ist

Nikto ist ein Kommandozeilen-Webserver-Scanner. Er prüft auf veraltete Server-Software, gefährliche Dateien und Serverkonfigurationsprobleme.

Wie Man Es Benutzt

  1. Installieren Sie Nikto (apt install nikto auf Debian/Ubuntu, brew install nikto auf macOS)
  2. Öffnen Sie ein Terminal
  3. Führen Sie aus: nikto -h https://ihredomain.com
  4. Warten Sie auf den Abschluss (typisch 5-15 Minuten)

Wie Man Korrekturen Priorisiert

Zuerst Beheben (Hohe Priorität)

  • Alle Hochrisiko-Befunde von OWASP ZAP (SQL-Injection, XSS, Authentifizierungsprobleme)
  • SSL/TLS-Note unter B bei SSL Labs
  • Abgelaufenes oder ungültiges SSL-Zertifikat
  • Veraltete Server-Software mit bekannten CVEs von Nikto
  • Exponierte Admin-Panels (unser Leitfaden zu exponierten Admin-Seiten erklärt die Risiken)

Bald Beheben (Mittlere Priorität)

  • Fehlender HSTS-Header
  • Fehlender Content-Security-Policy-Header
  • TLS 1.0 oder 1.1 noch aktiviert
  • Mittelrisiko-Befunde von ZAP

Bei Gelegenheit Beheben (Niedrigere Priorität)

  • Fehlender Referrer-Policy-Header
  • Niedrigrisiko-Befunde von ZAP
  • Informative Nikto-Befunde

Was Sie Selbst Beheben Können

  • Sicherheits-Header: Bei WordPress können Plugins die fehlenden Header hinzufügen. Bei Netlify, Vercel oder Cloudflare fügen Sie Header über Konfigurationsdateien hinzu.
  • SSL/TLS-Konfiguration: Die meisten Hosting-Provider haben Control-Panels, wo Sie TLS 1.0/1.1 deaktivieren können.
  • Veraltete Software: Aktualisieren Sie Ihr CMS, Plugins und Themes. Unser Artikel über die Risiken einer nicht aktualisierten Website erklärt, warum das zählt.
  • Standarddateien: Löschen Sie readme.html, license.txt und ähnliche Dateien, die Ihre CMS-Version verraten.

Wann Sie Einen Profi Brauchen

Holen Sie professionelle Hilfe wenn:

  • OWASP ZAP Hochschwere-Befunde meldet und Sie unsicher sind, ob es Fehlalarme sind
  • Sie sensible Kundendaten verarbeiten und Ihre Sicherheitslage für Compliance validieren müssen
  • Sie einen Penetrationstest wollen, nicht nur eine Schwachstellenbewertung
  • Ihre Website Zahlungen verarbeitet und Sie PCI-DSS-Compliance-Verifizierung brauchen

Wenn Ihr Unternehmen in Lugano oder im Tessin ist, bieten wir Sicherheitsbewertungen an, die all dies abdecken. Schauen Sie sich auch unsere Sicherheits-Checkliste für KMU an, die 15 sofort durchführbare Checks bietet.

Eine Scan-Routine Aufbauen

HäufigkeitWas AusführenZeitaufwand
MonatlichMozilla Observatory + SecurityHeaders.com5 Minuten
VierteljährlichSSL Labs + OWASP ZAP Schnellscan30 Minuten
Nach jedem DeploymentMozilla Observatory + SSL Labs10 Minuten
JährlichVollständiger ZAP-Scan + Nikto + professionelle Bewertung erwägen2-4 Stunden

Führen Sie Buch über Ihre Scores im Zeitverlauf. Wenn ein Score sinkt, hat sich etwas geändert und eine Schwachstelle eingeführt. Diese einfache Gewohnheit bringt Sie vor die grosse Mehrheit der KMU, die ihre Sicherheit nie testen.

Wollen Sie wissen, ob Ihre Website sicher ist?

Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.

Kostenloses Audit Anfordern

Verwandte Artikel

Sicherheit

WordPress-Schwachstellen 2025: Warum Ihre Website Immer Noch Gefahrdet Ist

WordPress betreibt uber 40% des Webs, aber seine Popularitat macht es zum grossten Ziel fur Angreifer. Wir analysieren die haufigsten Schwachstellenklassen, echte CVEs und konkrete Schritte zur Hartung Ihrer Installation.

· 18 Min. Lesezeit
Sicherheit

SPF, DKIM und DMARC: Schutzen Sie Ihr Unternehmen vor Email-Spoofing

Email-Spoofing kostet Unternehmen jahrlich Milliarden durch BEC-Betrug und Phishing. SPF, DKIM und DMARC sind drei Protokolle, die korrekt konfiguriert das Falschen Ihrer Domain nahezu unmoglich machen.

· 15 Min. Lesezeit
Sicherheit

Exponierte Admin-Seiten: Ein Geschenk fur Hacker

Ihre /wp-admin, /admin oder /login-Seite ist fur das gesamte Internet sichtbar. Bots scannen sie gerade. CAPTCHA allein wird Sie nicht retten. So nutzen Angreifer exponierte Admin-Panels aus und was Sie dagegen tun sollten.

· 13 Min. Lesezeit

Schnellkontakt