Warum diese Checklist existiert
Die meisten Website-Sicherheitsratgeber sind fuer Entwickler und Systemadministratoren geschrieben. Sie setzen voraus, dass Sie wissen, was SSH ist, dass Sie Server-Konfigurationsdateien lesen koennen und Zeit haben, Webanwendungssicherheit vertieft zu studieren. Das ist nicht realistisch fuer einen Unternehmer, der sein Risikoniveau verstehen und handeln muss.
Diese Checklist ist anders. Jeder der 15 Punkte umfasst: was es ist in einfacher Sprache, warum es wichtig ist, wie Sie es selbst mit kostenlosen Tools pruefen koennen, und was zu tun ist, wenn die Pruefung fehlschlaegt.
Wir haben auch eine technischere Website-Sicherheitsaudit-Checklist fuer Entwickler veroeffentlicht. Dieser Leitfaden ist die Version fuer Unternehmer.
Wie Sie diese Checklist nutzen
Fuer jeden Punkt bewerten Sie sich:
- Bestanden (2 Punkte): Die Pruefung besteht vollstaendig.
- Teilweise (1 Punkt): Einige Aspekte bestehen, andere brauchen Arbeit.
- Nicht bestanden (0 Punkte): Die Pruefung schlaegt komplett fehl.
| Punktzahl | Bewertung | Bedeutung |
|---|---|---|
| 25-30 | Gut | Ihre Website hat eine solide Sicherheitsgrundlage. Halten Sie sie aufrecht. |
| 18-24 | Befriedigend | Sie haben einige Schutzmassnahmen, aber erhebliche Luecken bleiben. |
| 10-17 | Schlecht | Ihre Website hat ernste Sicherheitsschwaechen. Handeln Sie sofort. |
| 0-9 | Kritisch | Ihre Website ist hochgradig verwundbar. Kontaktieren Sie heute einen Sicherheitsexperten. |
Pruefung 1: HTTPS ueberall
HTTPS verschluesselt die Verbindung zwischen dem Browser des Besuchers und Ihrem Server. Ohne HTTPS reisen Formulardaten, Login-Daten und persoenliche Daten im Klartext. Besuchen Sie Ihre Website: Gibt es ein Schlosssymbol? Beginnt die URL mit https://? Nutzen Sie SSL Labs (ssllabs.com/ssltest) fuer eine detaillierte Pruefung. Ziel: Note A oder A+.
Pruefung 2: CMS und Plugins aktuell
Ihr CMS und alle installierten Plugins muessen auf dem neuesten Stand sein. Dies ist der haeufigste Einstiegspunkt fuer Website-Kompromittierungen. Loggen Sie sich in Ihr Admin-Panel ein und pruefen Sie die Versionen. Pruefen Sie auch Ihre PHP-Version (8.2 oder hoeher fuer 2025).
Pruefung 3: Admin-Zugang mit 2FA gesichert
Zwei-Faktor-Authentifizierung erfordert einen zweiten Verifizierungsschritt ueber das Passwort hinaus. Pruefen Sie, ob alle Admin-Konten 2FA aktiviert haben, vorzugsweise App-basiert (TOTP), nicht SMS.
Pruefung 4: Sicherheitsheader konfiguriert
Sicherheitsheader sind HTTP-Antwort-Header, die das Browserverhalten steuern. Besuchen Sie securityheaders.com und geben Sie Ihre Domain ein. Suchen Sie nach: Content-Security-Policy, X-Content-Type-Options, X-Frame-Options, Strict-Transport-Security. Mehr dazu in unserem Artikel ueber HTTP-Sicherheitsheader.
Pruefung 5: Kontaktformulare geschuetzt
Ihre Kontaktformulare muessen gegen Spam-Bots und Injektionsangriffe geschuetzt sein. Pruefen Sie auf CAPTCHA, testen Sie Rate-Limiting, und pruefen Sie ob Sie Spam ueber Ihr Formular erhalten. Mehr dazu in unserem Artikel ueber gefaehrliche Kontaktformulare.
Pruefung 6: Backups getestet
Regelmaessige, automatisierte Backups, separat vom Webserver gespeichert und getestet. Fordern Sie einen Test-Restore an. Pruefen Sie, ob Backups sowohl Dateien als auch die Datenbank enthalten. Pruefen Sie, ob sie ausserhalb des Servers gespeichert werden.
Pruefung 7: Datei-Upload-Beschraenkungen
Wenn Ihre Website Datei-Uploads erlaubt, pruefen Sie ob Dateitypen eingeschraenkt sind, Groessenbegrenzungen existieren und Dateien in einem Verzeichnis gespeichert werden, das die Ausfuehrung verhindert. Versuchen Sie, eine .php-Datei hochzuladen: Sie muss abgelehnt werden.
Pruefung 8: Fehlermeldungen geben keine Informationen preis
Fehlermeldungen muessen generisch sein. Besuchen Sie eine nicht existierende Seite: Sehen Sie eine benutzerdefinierte 404-Seite oder einen rohen Server-Fehler mit Dateipfaden und Stack-Traces?
Pruefung 9: Verzeichnisauflistung deaktiviert
Versuchen Sie, gaengige Verzeichnisse zu besuchen. Wenn Sie eine Dateiliste sehen, ist die Verzeichnisauflistung aktiv und muss deaktiviert werden.
Pruefung 10: Standard-Zugangsdaten geaendert
Jeder Standard-Benutzername und jedes Standard-Passwort muss geaendert worden sein. Ist Ihr Admin-Benutzername "admin"? Aendern Sie ihn. Gibt es noch aktive Testkonten? Entfernen Sie sie.
Pruefung 11: XML-RPC deaktiviert (WordPress)
XML-RPC ist ein Protokoll in WordPress, das weitgehend unnoetig ist und ein haeufiger Angriffsvektor fuer Brute-Force- und DDoS-Amplifikationsangriffe darstellt. Besuchen Sie ihreseite.com/xmlrpc.php. Wenn es antwortet, ist es aktiv und sollte deaktiviert werden.
Pruefung 12: Benutzer-Enumeration blockiert
Besuchen Sie ihreseite.com/?author=1. Wenn es zu einer URL mit einem Benutzernamen weiterleitet, ist Enumeration moeglich und sollte blockiert werden.
Pruefung 13: Drittanbieter-Skripte geprueft
Oeffnen Sie die Entwicklertools (F12) und listen Sie alle Domains auf, von denen Skripte geladen werden. Erkennen Sie alle? Nutzen Sie wirklich jedes davon? Entfernen Sie jedes unnoetige Skript.
Pruefung 14: Cookie-Einwilligung konform
Besuchen Sie Ihre Website im privaten Modus. Erscheint ein Cookie-Consent-Banner? Laufen vor der Zustimmung bereits Analytics-Skripte? Wenn Sie ablehnen, werden trotzdem nicht-essentielle Cookies gesetzt?
Pruefung 15: Incident-Response-Plan vorhanden
Hat Ihre Organisation ein schriftliches Dokument, das beschreibt, was bei einer Kompromittierung zu tun ist? Enthaelt es Notfallkontakte, Eindaemmungs- und Wiederherstellungsschritte und Ihre Meldepflichten gemaess dem Schweizer revDSG?
Ihre Punktzahl
| Pruefung | Punkte |
|---|---|
| 1. HTTPS ueberall | __ / 2 |
| 2. CMS und Plugins aktuell | __ / 2 |
| 3. Admin-Zugang mit 2FA | __ / 2 |
| 4. Sicherheitsheader | __ / 2 |
| 5. Kontaktformulare geschuetzt | __ / 2 |
| 6. Backups getestet | __ / 2 |
| 7. Upload-Beschraenkungen | __ / 2 |
| 8. Fehlermeldungen sicher | __ / 2 |
| 9. Verzeichnisauflistung deaktiviert | __ / 2 |
| 10. Standard-Zugangsdaten geaendert | __ / 2 |
| 11. XML-RPC deaktiviert | __ / 2 |
| 12. Benutzer-Enumeration blockiert | __ / 2 |
| 13. Drittanbieter-Skripte geprueft | __ / 2 |
| 14. Cookie-Einwilligung konform | __ / 2 |
| 15. Incident-Response-Plan | __ / 2 |
| Gesamt | __ / 30 |
Was Sie mit Ihren Ergebnissen tun sollten
Wenn Sie 25 oder mehr erreicht haben, gut gemacht. Konzentrieren Sie sich darauf, Ihre Sicherheitslage mit regelmaessigen Ueberpruefungen aufrechtzuerhalten (vierteljaehrlich ist ein guter Rhythmus).
Wenn Sie zwischen 18 und 24 erreicht haben, gibt es Arbeit zu tun, aber Sie sind nicht in unmittelbarer Gefahr. Beheben Sie die fehlgeschlagenen Pruefungen innerhalb der naechsten 30 Tage, beginnend mit den Pruefungen 1-6.
Wenn Sie unter 18 erreicht haben, hat Ihre Website erhebliche Sicherheitsluecken. Die Punkte 1-3 (HTTPS, Updates, 2FA) sollten diese Woche angegangen werden.
Wenn Sie unter 10 erreicht haben, brauchen Sie professionelle Hilfe. Kontaktieren Sie einen Sicherheitsexperten sofort.
Sicherheit ist keine einmalige Aktivitaet. Fuehren Sie diese Checklist jedes Quartal durch. Wenn Sie Hilfe benoetigen, kontaktieren Sie uns. Wir arbeiten mit KMU in der gesamten Schweiz zusammen, um Website-Sicherheit praktisch, erschwinglich und effektiv zu gestalten.
Wollen Sie wissen, ob Ihre Website sicher ist?
Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.
Kostenloses Audit Anfordern