← Zurück zum Blog Sicherheit

Website-Sicherheitsaudit: Die vollstandige Checkliste fur 2025

Envestis Team 19 Min. Lesezeit

Eine Website ohne regelmassige Sicherheitsaudits zu betreiben ist, als wurde man die Burotir offenlassen und hoffen, dass niemand hereinkommt. Fruher oder spater wird jemand es tun. Ein Sicherheitsaudit gibt Ihnen ein klares Bild davon, wo Ihre Abwehr steht und was behoben werden muss, bevor ein Angreifer die Lucken findet.

Bei Envestis in Lugano fuhren wir Sicherheitsbewertungen fur Unternehmen in der ganzen Schweiz und daruber hinaus durch. Dieser Artikel fuhrt Sie durch jede Phase eines professionellen Website-Sicherheitsaudits, damit Sie genau wissen, was Sie erwarten und von Ihrem Sicherheitsanbieter verlangen konnen.

Was ist ein Website-Sicherheitsaudit?

Ein Website-Sicherheitsaudit ist eine systematische Untersuchung Ihrer Webanwendung, Serverkonfiguration und unterstutzenden Infrastruktur. Das Ziel ist es, Schwachstellen, Fehlkonfigurationen und Schwachen zu finden, bevor boswillige Akteure sie ausnutzen.

Ein richtiges Audit geht weit uber das Ausfuhren eines automatisierten Scanners hinaus. Es kombiniert automatisierte Tools mit manueller Analyse und Experteninterpretation. Das Ergebnis ist eine priorisierte Liste von Erkenntnissen mit konkreten Massnahmen zur Behebung.

Externe vs. Interne Bewertung

  • Externe Bewertung: Bewertet Ihre Website von aussen, so wie ein Angreifer im Internet sie sehen wurde. Dies umfasst offentlich zugangliche Dienste, offene Ports, exponierte Dateien und extern sichtbare Fehlkonfigurationen.
  • Interne Bewertung: Untersucht die Serverumgebung von innen, einschliesslich Dateiberechtigungen, Serverkonfiguration, Datenbanksicherheit und interner Netzwerkexposition. Dies erfordert Zugangsdaten.

Die meisten Audits beginnen extern. Wenn das Budget begrenzt ist, starten Sie dort. Eine externe Bewertung finden die Probleme, die am wahrscheinlichsten von opportunistischen Angreifern ausgenutzt werden.

Phase 1: OSINT (Open Source Intelligence)

Bevor Ihre Website direkt beruhrt wird, sammelt ein guter Auditor offentlich verfugbare Informationen. Das ist die OSINT-Phase, und sie enthullt oft mehr als erwartet.

Was OSINT Abdeckt

  • DNS-Einrage: MX, TXT, CNAME, A, AAAA. Diese enthullen Ihren Hosting-Anbieter, E-Mail-Dienste und manchmal interne Hostnamen, die nicht offentlich sein sollten.
  • WHOIS-Daten: Domain-Registrierungsdetails, Registrar, Erstellungs- und Ablaufdaten.
  • Subdomain-Enumeration: Tools wie subfinder, amass oder Certificate-Transparency-Logs enthullen vergessene Subdomains. Staging-Umgebungen, alte Testseiten und Admin-Panels erscheinen hier haufig.
  • E-Mail-Adressen: Durch Breaches geleakte Mitarbeiter-E-Mails konnen fur Credential Stuffing oder Phishing verwendet werden.
  • Code-Repositories: Offentliche GitHub-Repos enthalten manchmal API-Schlussel, Datenbank-Zugangsdaten oder interne Dokumentation.
  • Historische Daten: Die Wayback Machine und gecachte Seiten konnen alte Seitenstrukturen und zuvor exponierte sensible Inhalte enthullen.

Phase 2: Technologie-Fingerprinting

Als Nachstes identifiziert der Auditor den Technologie-Stack Ihrer Website. Die genaue CMS-, Framework-, Server-Software- und Plugin-Version zu kennen ist entscheidend, da jede ihre eigenen bekannten Schwachstellen hat.

KomponenteErkennungsmethodeRelevanz
WebserverHTTP-Antwort-Header (Server-Header)Versionsspezifische Exploits
CMSMeta-Tags, Dateipfade, Login-SeitenWordPress, Joomla, Drupal haben einzigartige Schwachstellenprofile
JavaScript-FrameworksQuellcode-Analyse, spezifische DateipfadeVeraltete jQuery-, Angular- oder React-Versionen konnen XSS-Fehler haben
Plugins/ErweiterungenURL-Muster, HTML-Kommentare, CSS/JS-ReferenzenPlugins sind Angriffsvektor Nr. 1 bei CMS-basierten Seiten
Server-seitige SpracheDateiendungen, Fehlermeldungen, CookiesPHP, Python, Node.js haben verschiedene Fehlkonfigurationsrisiken

Phase 3: Schwachstellenscan

Mit identifiziertem Technologie-Stack fuhrt der Auditor gezielte Schwachstellenscans durch.

Automatisierte Scan-Tools

  • Nmap: Port-Scanning und Diensterkennung.
  • Nikto: Webserver-Scanner, der gefahrliche Dateien und veraltete Software pruft.
  • OWASP ZAP oder Burp Suite: Webanwendungsscanner fur Injection, XSS, CSRF und andere OWASP Top 10-Schwachstellen.
  • WPScan / CMSScan: CMS-spezifische Scanner fur verwundbare Plugins, Themes und Core-Versionen.
  • SSLyze / testssl.sh: Dedizierte SSL/TLS-Konfigurationsanalyse.

Manuelle Tests

Automatisierte Scanner erkennen etwa 60-70% der gangigen Schwachstellen. Der Rest erfordert manuelle Tests: Authentifizierungsmechanismen, Autorisierungskontrollen, Geschaftslogik-Missbrauch, Datei-Upload-Funktionalitat und API-Endpunkte.

Phase 4: SSL/TLS-Analyse

Die SSL/TLS-Konfiguration ist einer der kritischsten Aspekte der Website-Sicherheit.

  • Zertifikatsgultigkeit: Ist das Zertifikat aktuell? Deckt es alle Subdomains ab? Ist die Vertrauenskette vollstandig?
  • Protokollversionen: TLS 1.2 und 1.3 sollten die einzigen aktivierten Protokolle sein.
  • Cipher Suites: Schwache Chiffren mussen deaktiviert sein. Forward Secrecy sollte unterstutzt werden.
  • HSTS: HTTP Strict Transport Security sollte aktiviert sein.

Phase 5: E-Mail-Authentifizierungsprufung

Ihre Website und Ihre E-Mail teilen dieselbe Domain. Schwache E-Mail-Authentifizierung macht Ihre Domain anfallig fur Spoofing.

SPF, DKIM und DMARC bilden die Grundlage der E-Mail-Authentifizierung. Wir finden regelmassig Schweizer Unternehmen ohne jeglichen DMARC-Eintrag, was ihre Domain vollig offen fur Spoofing lasst.

Phase 6: Security Headers

HTTP-Security-Header sind eine kritische Verteidigungsschicht, die viele Websites komplett ignorieren.

HeaderZweckEmpfohlener Wert
Content-Security-PolicyVerhindert XSS und Daten-InjectionStrikte Policy, die Script-Quellen begrenzt
X-Content-Type-OptionsVerhindert MIME-Type-Sniffingnosniff
X-Frame-OptionsVerhindert ClickjackingDENY oder SAMEORIGIN
Referrer-PolicyKontrolliert Referrer-Informationenstrict-origin-when-cross-origin
Permissions-PolicyKontrolliert Browser-FunktionenUngenutzte Funktionen deaktivieren
Strict-Transport-SecurityErzwingt HTTPSmax-age=31536000; includeSubDomains

Phase 7: CMS-spezifische Prufungen

WordPress-Checkliste

  • Core-Version aktuell
  • Alle Plugins aktualisiert und aktiv gepflegt
  • Unbenutzte Plugins und Themes entfernt (nicht nur deaktiviert)
  • Standard-Admin-Benutzername geandert
  • Login-Seite geschutzt (Rate Limiting, 2FA oder IP-Beschrankung)
  • XML-RPC deaktiviert wenn nicht benotigt
  • Dateibearbeitung in wp-config.php deaktiviert (DISALLOW_FILE_EDIT)
  • Datenbank-Prafix vom Standard wp_ geandert
  • Verzeichnislisting deaktiviert
  • Debug-Modus in Produktion deaktiviert

Phase 8: Performance- und SEO-Auswirkung

Sicherheit und Performance sind enger verknupft als die meisten denken. Sicherheitsprobleme konnen Ihr Suchmaschinen-Ranking direkt schadigen.

  • Blacklisting: Google markiert kompromittierte Seiten mit Warnungen.
  • HTTPS: Google verwendet HTTPS als Ranking-Signal.
  • Seitengeschwindigkeit: Schlecht konfigurierte Sicherheitsmassnahmen verlangsamen Ihre Website.
  • Spam-Injection: Von Angreifern injizierter SEO-Spam lost manuelle Strafen aus.

Audit-Ergebnisse Interpretieren

Ein professioneller Audit-Bericht kategorisiert Erkenntnisse nach Schweregrad: Kritisch (innerhalb 24 Stunden beheben), Hoch (1 Woche), Mittel (1 Monat), Niedrig (3 Monate) und Informativ (in den Wartungszyklus einplanen).

Was Nach dem Audit zu Tun Ist

Sofortmassnahmen (Woche 1)

  1. Alle kritischen Schwachstellen beheben. Keine Ausnahmen.
  2. Kompromittierte oder schwache Zugangsdaten andern.
  3. Alle Software mit bekannten Schwachstellen patchen.
  4. Unnotige Dienste oder Funktionen deaktivieren.

Kurzfristige Massnahmen (Monat 1)

  1. Erkenntnisse hoher Schwere beheben.
  2. Fehlende Security Headers implementieren.
  3. E-Mail-Authentifizierung konfigurieren (SPF, DKIM, DMARC).
  4. Uberwachung und Alarmierung einrichten.

Langfristige Massnahmen (Quartal 1)

  1. Mittlere und niedrige Erkenntnisse beheben.
  2. Regelmassigen Patch-Zeitplan erstellen.
  3. Follow-up-Audit zur Verifizierung planen.
  4. Mitarbeiter in Sicherheitsbewusstsein schulen.

Regelmassige Audits Planen

Ein einzelnes Audit ist eine Momentaufnahme. Wir empfehlen jahrliche umfassende Audits, vierteljahrliche automatisierte Scans und kontinuierliche Uberwachung.

Professionelles Sicherheitsaudit Anfordern

Envestis bietet umfassende Website-Sicherheitsaudits fur Unternehmen in Lugano, der ganzen Schweiz und international. Unsere Audits folgen der in diesem Artikel beschriebenen Methodik und entsprechen Branchenstandards einschliesslich OWASP Testing Guide und PTES.

Kontaktieren Sie uns, um Ihr Website-Sicherheitsaudit zu vereinbaren.

Wollen Sie wissen, ob Ihre Website sicher ist?

Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.

Kostenloses Audit Anfordern

Verwandte Artikel

Sicherheit

WordPress-Schwachstellen 2025: Warum Ihre Website Immer Noch Gefahrdet Ist

WordPress betreibt uber 40% des Webs, aber seine Popularitat macht es zum grossten Ziel fur Angreifer. Wir analysieren die haufigsten Schwachstellenklassen, echte CVEs und konkrete Schritte zur Hartung Ihrer Installation.

· 18 Min. Lesezeit
Sicherheit

SPF, DKIM und DMARC: Schutzen Sie Ihr Unternehmen vor Email-Spoofing

Email-Spoofing kostet Unternehmen jahrlich Milliarden durch BEC-Betrug und Phishing. SPF, DKIM und DMARC sind drei Protokolle, die korrekt konfiguriert das Falschen Ihrer Domain nahezu unmoglich machen.

· 15 Min. Lesezeit
Sicherheit

Exponierte Admin-Seiten: Ein Geschenk fur Hacker

Ihre /wp-admin, /admin oder /login-Seite ist fur das gesamte Internet sichtbar. Bots scannen sie gerade. CAPTCHA allein wird Sie nicht retten. So nutzen Angreifer exponierte Admin-Panels aus und was Sie dagegen tun sollten.

· 13 Min. Lesezeit

Schnellkontakt