Wie Hacker in Ihre Firmenwebsite Einbrechen: Die Vollstandige Angriffskette

Die meisten Unternehmer betrachten Hacking als etwas, das Banken, Regierungen oder Technologiekonzerne betrifft. Die Realitat sieht anders aus. Jeden Tag werden Tausende von Websites kleiner und mittlerer Unternehmen von Angreifern kompromittiert, die diese Ziele nie bewusst ausgewahlt haben. Sie haben sie auf die gleiche Weise gefunden, wie Google Websites findet: durch das Scannen des gesamten Internets.

Dieser Artikel fuhrt Sie durch die genauen Schritte, die ein Angreifer unternimmt, um eine Unternehmenswebsite zu kompromittieren. Keine Theorie. Keine Hollywood-Fiktion. Der tatsachliche, wiederholbare Prozess, den Sicherheitsexperten bei Vorfall nach Vorfall beobachten.

Schritt 1: Aufklarung - Informationen uber Ihre Website Sammeln

Bevor ein Angreifer Ihre Website beruhrt, sammelt er Informationen. Diese Phase heisst Aufklarung und erfordert keinerlei Interaktion mit Ihrem Server. Alles wird aus offentlich zuganglichen Quellen gewonnen.

WHOIS-Abfragen

Die WHOIS-Datenbank speichert Registrierungsdetails fur jeden Domainnamen. Ein Angreifer fragt sie ab, um herauszufinden, wer Ihre Domain registriert hat, wann, welchen Registrar Sie verwenden, und manchmal Ihren Namen, E-Mail und Telefonnummer. In der Schweiz werden .ch-Domains von SWITCH verwaltet.

DNS-Enumeration

DNS-Eintrage sind systembedingt offentlich. Ein Angreifer fragt Ihr DNS ab, um zu finden:

• A/AAAA-Eintrage: Die IP-Adressen Ihres Webservers. Dies verrat Ihren Hosting-Anbieter.
• MX-Eintrage: Ihre E-Mail-Infrastruktur.
• TXT-Eintrage: SPF, DKIM und DMARC-Konfigurationen (oder deren Fehlen).
• Subdomains: Tools wie subfinder, amass oder Certificate-Transparency-Logs enthullen Subdomains. Dies bringt oft vergessene Staging-Sites, Admin-Panels und alte Testumgebungen zum Vorschein.

Shodan und Censys

Shodan wird oft als "die Suchmaschine fur das Internet der Dinge" bezeichnet. Es scannt kontinuierlich jede offentliche IP-Adresse und indexiert, was es findet: offene Ports, laufende Dienste, Software-Versionen, SSL-Zertifikatdetails, HTTP-Response-Header. Ein Angreifer gibt Ihre Domain oder IP in Shodan ein und sieht sofort Ihre Webserver-Software, PHP-Version und welche anderen Ports offen sind.

Das ist kein Hacking. Das ist das Betrachten offentlich verfugbarer Informationen, die Ihr Server an jeden sendet, der fragt.

Wappalyzer und Technologie-Fingerprinting

Wappalyzer identifiziert den Technologie-Stack hinter jeder Website. Jede Technologie hat bekannte Schwachstellen, die an bestimmte Versionen gebunden sind. Wenn Ihre Website WordPress 5.8 mit Contact Form 7 Version 5.3.2 verwendet, kennt ein Angreifer bereits jede zutreffende CVE.

Google Dorking

Google indexiert mehr Ihrer Website, als Sie vielleicht denken. Angreifer verwenden erweiterte Suchoperatoren:

• site:ihrefirma.ch filetype:sql - Findet versehentlich hinterlassene Datenbank-Dumps.
• site:ihrefirma.ch filetype:log - Findet Log-Dateien mit Passwortern oder API-Schlusseln.
• site:ihrefirma.ch inurl:admin - Findet Admin-Login-Seiten.
• site:ihrefirma.ch "index of" - Findet Verzeichnisse mit aktiviertem Directory Listing.

Schritt 2: Automatisiertes Schwachstellen-Scanning

Nach der Aufklarung hat der Angreifer eine detaillierte Karte Ihres Technologie-Stacks. Jetzt scannt er nach spezifischen Schwachstellen. Hier wird es automatisiert, und deshalb halt das Argument "wir sind zu klein als Ziel" nicht stand.

Wie Automatisierte Scanner Funktionieren

Tools wie Nikto, WPScan, Nuclei und Acunetix nehmen eine URL als Eingabe und testen sie gegen Hunderte oder Tausende bekannter Schwachstellen. Ein vollstandiger Scan dauert Minuten. Automatisierte Botnets fuhren diese Scans kontinuierlich uber jede IP-Adresse im Internet durch.

Ihre Website wird gerade gescannt, ob Sie es wissen oder nicht. Die Logs jedes Webservers zeigen einen konstanten Strom automatisierter Anfragen, die nach /wp-login.php, /administrator, /.env und /phpinfo.php suchen.

Die Botnet-Scanning-Okonomie

Kriminelle Organisationen betreiben Botnets, die Millionen von Websites pro Tag scannen. Wenn ein Bot eine Schwachstelle findet, meldet er es zuruck. Das Scanning ist wahllos. Eine Backerei in Bellinzona wird mit der gleichen Frequenz gescannt wie eine Bank in Zurich. Der Unterschied: Die Bank hat ein Sicherheitsteam.

CMS-Spezifische Scanner

WordPress-Seiten werden besonders intensiv gescannt, da WordPress etwa 40% aller Websites betreibt. WPScan hat eine Datenbank mit uber 40.000 bekannten Schwachstellen.

Siehe unsere detaillierte Analyse zu WordPress-Schwachstellen.

Schritt 3: Ausnutzung - Eindringen

SQL-Injection (SQLi)

SQL-Injection geschieht, wenn Benutzereingaben direkt ohne angemessene Bereinigung an eine Datenbankabfrage ubergeben werden. Der Angreifer fugt SQL-Befehle ein, wo die Anwendung normalen Text erwartet.

Betrachten Sie ein Login-Formular mit der Abfrage:

SELECT * FROM users WHERE username = 'INPUT' AND password = 'INPUT'

Wenn der Angreifer ' OR '1'='1 eingibt, wird er als Administrator angemeldet. Echte SQLi ist ausgefeilter und kann ganze Datenbanken extrahieren, Daten andern, Admin-Konten erstellen oder Betriebssystembefehle ausfuhren.

Cross-Site Scripting (XSS)

XSS erlaubt einem Angreifer, JavaScript-Code in Webseiten einzuschleusen, die von anderen Benutzern betrachtet werden:

• Reflektiertes XSS: Das Script ist in einer URL eingebettet. Haufig bei Suchfunktionen.
• Gespeichertes XSS: Das Script ist permanent auf dem Server gespeichert. Gefahrlicher, da jeder Besucher es ausfuhrt.
• DOM-basiertes XSS: Die Schwachstelle liegt im clientseitigen JavaScript-Code.

Mit XSS kann ein Angreifer Session-Cookies stehlen, auf Phishing-Seiten umleiten, Kryptominer einschleusen und Tastatureingaben aufzeichnen.

Datei-Upload-Schwachstellen

Wenn die Upload-Funktionalitat Dateitypen nicht korrekt validiert, kann ein Angreifer eine PHP-Datei als Bild getarnt hochladen. Dies ist einer der haufigsten Angriffsvektoren, die wir bei Tessiner Unternehmenswebsites sehen.

Remote Code Execution uber Plugins

CMS-Plugins sind der Angriffsvektor Nummer eins. Ein einzelnes verwundbares Plugin kann einem Angreifer die vollstandige Kontrolle uber Ihre Website geben.

Authentifizierungsumgehung und Brute Force

Wenn das Admin-Panel vom Internet aus zuganglich ist, werden Angreifer Brute-Force versuchen. Wir finden regelmaessig Admin-Panels Schweizer Unternehmenswebsites unter vorhersagbaren URLs ohne zusatzlichen Schutz. Siehe unseren Artikel uber exponierte Admin-Seiten.

Schritt 4: Persistenz - Drinnen Bleiben

Web Shells

Eine Web Shell ist ein Script (normalerweise PHP), das eine webbasierte Schnittstelle zum Server bietet. Sie sieht aus wie eine normale Datei in Ihrem Website-Verzeichnis, gibt dem Angreifer aber eine Befehlszeile uber seinen Browser. Web Shells sind klein und oft in Verzeichnissen mit Tausenden legitimer Dateien versteckt.

Backdoor-Konten

Der Angreifer erstellt ein neues Administratorkonto mit einem legitim klingenden Namen (wp_maintenance, system_update). Selbst wenn Sie die Kompromittierung entdecken und alle Passworter andern, bleibt dieses Konto bestehen.

Modifizierte Core-Dateien und Cron-Jobs

Angreifer modifizieren manchmal CMS-Core-Dateien und fugen Cron-Jobs hinzu, die ihre Web Shell periodisch wiederherstellen. Deshalb scheitert eine oberflachliche Bereinigung oft.

Schritt 5: Datenexfiltration und Monetarisierung

Datendiebstahl

Kundendatenbanken, personliche Informationen, Zahlungsdetails, interne Dokumente. Unter dem neuen Schweizer Datenschutzgesetz (nDSG) und der DSGVO lost eine Verletzung mit personenbezogenen Daten Meldepflichten und mogliche Bussen aus.

SEO-Spam-Injektion

Eines der haufigsten Ergebnisse bei kompromittierten Schweizer Unternehmenswebsites. Der Angreifer injiziert versteckte Links und Seiten. Google bestraft Ihre Website. Der Eigentumer bemerkt es oft monatelang nicht. Die SEO-Erholung dauert 6 bis 12 Monate.

Cryptojacking, Ransomware und Laterale Bewegung

Der Angreifer kann auch Kryptowahrung uber die Browser Ihrer Besucher minen, Ihre Dateien verschlusseln und Losegeld fordern, oder Ihren Server als Sprungbrett in Ihr internes Netzwerk verwenden.

Warum "Zu Klein als Ziel" Falsch Ist

1. Scanning ist automatisiert. Botnets scannen jede IP-Adresse. Sie wahlen keine Ziele aus.
2. Ausnutzung ist automatisiert. Kein Mensch entscheidet, ob Ihr Unternehmen es "wert" ist, angegriffen zu werden.
3. Kleine Websites sind einfacher. Weniger Abwehr, weniger Uberwachung, langsamere Reaktionszeiten.
4. Ihre Website hat Wert, auch wenn Ihre Daten es nicht haben. Server-Ressourcen, Domain-Reputation und SEO-Autoritat haben alle monetaren Wert fur Angreifer.

Das Web-Agentur-Problem

Die meisten Web-Agenturen sind Design- und Marketing-Unternehmen, keine Sicherheitsunternehmen. Haufige Mangel, die wir bei Sicherheitsbewertungen im Tessin finden:

• Keine Security Headers konfiguriert
• Standard-Admin-URLs ohne IP-Beschrankung
• Ungenutzte Plugins bleiben aktiv
• Kein Wartungsvertrag
• Shared Hosting ohne Isolation
• FTP statt SFTP
• Keine Eingabevalidierung

Wie Sie die Angriffskette Durchbrechen

Angriffsphase	Abwehrmassnahme
Aufklarung	Informationsoffenlegung minimieren. Server-Versions-Header verbergen. WHOIS Privacy. Unnotige DNS-Eintrage entfernen.
Scanning	WAF gegen automatisierte Scanner. Rate Limiting. Fail2ban.
Ausnutzung	Alles aktuell halten. Serverseitige Eingabevalidierung. Security Headers. Uploads einschranken.
Persistenz	Dateiintegritats-Uberwachung. Regelmaessige Benutzerkonten-Audits. Schreibrechte einschranken.
Exfiltration	Netzwerkuberwachung. Datenbank-Zugriffsprotokolle. Egress-Filterung.

Reale Beispiele aus Schweizer Unternehmen

Fall 1: Ein Tessiner Dienstleistungsunternehmen

WordPress-Website uber ein veraltetes Contact Form 7 Plugin kompromittiert. Web Shell hochgeladen, SEO-Spam auf 800 Seiten injiziert. Funf Monate unentdeckt. Organischer Traffic minus 70%. Erholung: neun Monate.

Fall 2: Eine Praxis in Lugano

Kontaktformular ohne Eingabebereinigung. SQL-Injection: gesamte Datenbank extrahiert. Datenschutzverletzung unter nDSG mit Meldepflicht.

Fall 3: Ein E-Commerce im Sopraceneri

Veraltetes WooCommerce, verwundbares Zahlungs-Gateway-Plugin. Kreditkarten-Skimmer in die Checkout-Seite injiziert. Zahlungsdaten drei Wochen lang gestohlen.

Was Sie Jetzt Tun Sollten

1. Lassen Sie ein Sicherheitsaudit durchfuhren. Sie konnen nicht beheben, was Sie nicht kennen. Kontaktieren Sie uns fur ein Website-Sicherheitsaudit.
2. Aktualisieren Sie alles. CMS, Plugins, Themes, PHP/Node.js-Version.
3. Implementieren Sie Security Headers. CSP, HSTS, X-Frame-Options, X-Content-Type-Options.
4. Schutzen Sie Ihr Admin-Panel. IP-Beschrankung, Zwei-Faktor-Authentifizierung, nicht-Standard-URLs.
5. Richten Sie Uberwachung ein. Dateiintegritat, Uptime, Google Search Console.
6. Haben Sie einen Incident-Response-Plan.

Angreifer folgen einem vorhersagbaren Muster. Wenn Sie dieses Muster verstehen, konnen Sie sich verteidigen. Die Frage ist nicht, ob Ihre Website gescannt und getestet wird. Das wird sie bereits. Die Frage ist, ob sie standhalt.