Website gehackt: Anzeichen und Maßnahmen

Die Anzeichen, dass Ihre Website gehackt wurde, können vielfältig sein. Dazu zählen Browser- und Virenscanner-Warnungen, eine nicht erreichbare Webadresse, Spam-Mails, Ladeprobleme oder unerwünschte Weiterleitungen. Nun gilt es, schnell zu handeln und u. a. den Host zu informieren, Anmeldedaten zu ändern und Schwachstellen der Website zu schließen.

Wurde ich gehackt? Website auf Hacking überprüfen

Ein Website-Hack gehört zu den sehr realistischen Gefahren, auf die sich Website-Inhaberinnen und -Inhaber vorbereiten müssen. Trotz intensiver Sicherheitsvorkehrungen können begabte Hackerinnen und Hacker Sicherheitslücken in Websites, Apps oder in E-Mail-Accounts für Cyberangriffe ausnutzen. Mögliche Schwachstellen für Malware oder Datendiebstahl sind zum Beispiel:

• eine ungenügende Cloudsicherheit
• ein Zero-Day-Exploit
• Angriffe per DoS und DDoS
• Phishing

Betraf das Risiko früher vor allem große Unternehmen, sehen sich heute auch kleine und mittelständige Unternehmen durch die zunehmende Digitalisierung vielen Cybergefahren ausgesetzt. Es kommt zudem immer häufiger vor, dass insbesondere WordPress gehackt wird, da viele Websites auf diesem CMS basieren. Sobald Sie ein ungewöhnliches Verhalten bei der Nutzung Ihrer Website feststellen, gilt es daher, die Lage einzuschätzen und wohlüberlegt zu handeln.

Zunächst stellt sich die Frage, wie Sie Anzeichen für einen Website-Hack erkennen. Obwohl es schwer zu erkennende Methoden wie die Man-in-the-Middle-Attack gibt, lassen sich Hacks in der Regel anhand gewisser Anzeichen identifizieren.

Achten Sie auf folgende Hinweise, um Schadsoftware zu erkennen und festzustellen, ob Ihre Internetseite gehackt wurde:

Browserwarnungen

Ein aktueller Browser wie Microsoft Edge, Google Chrome oder Mozilla Firefox bietet Sicherheitsfunktionen, die unsichere Websites erkennen. Dazu zählt die „HTTPS Only“-Funktion, die Seiten ohne SSL bzw. TLS automatisch blockiert oder eine Warnung anzeigt. Safe-Browsing-Funktionen wehren wiederum bösartige Downloads oder Codes ab. Sollten Sie beim Aufrufen Ihrer Website eine Browserwarnung erhalten, liegt ein Sicherheitsproblem vor, bei dem es sich um einen Hack oder abgelaufene Zertifikate handeln kann.

Antivirenprogramme schlagen Alarm

Nutzen Sie aktuelle Antivirenprogramme. Die Warnungen einer Antivirensoftware sind einer der eindeutigsten Hinweise, dass Ihr Computer bzw. Ihre Website gefährdet oder infiziert ist.

Website nicht erreichbar

Hacking-Angriffe bemerken Sie möglicherweise erst, wenn Ihr Webhost die Website deaktiviert. Hosting-Anbieter reagieren in dem Fall auf Warnungen der eigenen IT-Sicherheit oder erhalten von Besucherinnen und Besuchern Ihrer Website Hinweise. Nicht immer bekommen Sie in diesen Fällen vor dem Abschalten der Seite eine Benachrichtigung.

Anmeldedaten funktionieren nicht

Wenn Ihre Anmeldedaten nicht länger funktionieren, deutet das darauf hin, dass jemand Ihren Website-Account übernommen bzw. Benutzerkonten entfernt hat.

Warnungen über Anmeldeversuche

Bei Brute-Force-Attacken versuchen Angreiferinnen bzw. Angreifer Anmeldedaten zu erraten. Sollten Sie Warnungen über unbefugte Anmeldeversuche erhalten, ist Ihr Website-Zugang gefährdet.

Defacing

Beim Defacing tauschen Cyberkriminelle Ihre Website bzw. Ihre index.html gegen eine Website mit einer Stellungnahme der Hacking-Gruppe aus. Dadurch verhindern Angreifende den Zugriff auf Ihre Website. Oft handelt es sich dabei um politisch oder aktivistisch motiviertes Hacking gegen kommerzielle Websites.

Hijacking

Beim Hijacking integrieren Kriminelle eine Hintergrundseite mit z. B. bösartigem Code in Ihre Website. Dadurch wird beim Öffnen Ihrer Website Schadsoftware heruntergeladen. Obwohl aktuelle Virenscanner oder Browser darauf anspringen sollten, kann es passieren, dass die Infektion zu spät auffällt. Sicherheitslücken sind meist unsichere FTP-Passwörter oder ein PHP-Inject.

Ransomware-Angriffe

Ransomware gehört unter Umständen zu den Worst-Case-Szenarien für Unternehmen. Je nach Bösartigkeit der Schadsoftware können sämtliche Unternehmens- und Website-Daten verschlüsselt und unbrauchbar gemacht werden. Hierbei ist das Ziel der Kriminellen, ein Lösegeld im Austausch gegen die Codes zur Entschlüsselung zu erpressen. Folglich sollte viel Wert auf Maßnahmen zum Schutz vor Ransomware gelegt werden.

Google-Warnungen

Die Google Search Console ist ein kostenloses Analysetool von Google, mit dem Sie die Suchmaschinenoptimierung Ihrer Website überprüfen. Sollten Sie hier Warnungen zu Malware oder verdächtigen Backlinks feststellen, gilt es die Sicherheit Ihrer Seite zu überprüfen.

Website taucht auf Google Blocklist auf

Sollte Google Ihre Website als verdächtig oder gefährlich einstufen, landen Sie unter Umständen auf der Google Blocklist. Ihre Website taucht somit nicht mehr in den Suchergebnissen auf. Ob Ihre Website auf der Blocklist steht, lässt sich über die Google Search Console überprüfen.

Ungewöhnliche Ladezeiten

Lädt Ihre Seite plötzlich deutlich langsamer, ist das ein Hinweis auf mögliche Angriffe. So können Website-Infektionen wie Cryptojacking zu einer unnatürlich hohen CPU-Auslastung führen. Beim Cryptojacking infizieren Cyberkriminelle Rechner mit Malware oder integrieren Mining-Programme wie Coinhive in offizielle Websites. Dadurch wird die Rechenleistung von betroffenen Computern oder Website-Besuchenden für illegales Cryptomining genutzt.

Spam-Mails, Weiterleitungen oder Pop-ups

Wenn Ihre Abonnentinnen und Abonnenten sich über massenweise Spam-Mails von einer Ihrer E-Mail-Adressen beschweren, deutet das auf Malware-Befall hin. Außerdem sind unerwünschte Weiterleitungen beim Aufrufen von Webseiten sowie unbekannte Pop-ups und Werbung ebenfalls Hinweise auf Hacking.

Internetseite gehackt: Wie Sie jetzt vorgehen

Im schlimmsten Fall lassen alle Anzeichen nur einen Schluss zu: Cyberkriminelle haben Sicherheitslücken ausgenutzt, um Ihre Website zu hacken. Halten Sie sich an folgende sieben Schritte, um das Problem zu lösen und die Sicherheit für Ihr Unternehmen und Ihre Kundschaft wiederherzustellen:

Schritt 1: Ruhe bewahren

Die wichtigste Regel ganz am Anfang: Ruhe bewahren. Unüberlegte Handlungen können noch mehr Schaden anrichten. Kam es auch zur Infektion Ihrer Endgeräte, sollten Sie nicht zusätzliche Anmeldedaten für externe E-Mail-Accounts oder gar Geschäftskonten auf infizierten Geräten verwenden. Nutzen Sie im Fall eines Angriffs nur externe Computer und Konten für die Kommunikation. Im Zweifel ziehen Sie IT-Expertinnen bzw. -Experten hinzu. Unternehmen wiederum sollten, falls vorhanden, umgehend die IT-Sicherheit informieren.

Schritt 2: Anmeldedaten und Zugriffsrechte ändern

Sollten Sie Warnungen über unbefugte Anmeldeversuche erhalten oder unberechtigte Zugriffe in Ihren Protokollen feststellen, ändern Sie Ihre Anmeldedaten. Achten Sie darauf, neue Kennwörter nur als sicheres Passwort bestehend aus Groß- und Kleinschreibung, Zahlen, Sonderzeichen und möglichst 12 Zeichen zu nutzen. Ändern Sie folgende Zugangsdaten und Accounts:

• Anmeldedaten für Administratoren oder Zugriffsberechtigte
• Account-Kennwörter für das Hosting
• Primäre und sekundäre FTP-Accounts
• Kennwörter und Zugangsdaten für Datenbanken
• Verknüpfte E-Mail-Konten

Überprüfen und ändern Sie falls erforderlich die Zugriffsrechte und Rollenvergabe für alle Personen mit Administratorrechten. Dies ist in der Regel über die Verwaltungskonsole für Admins bzw. über FTP-Accounts möglich. Hierbei sollten Sie auch Zugriffs- und Änderungsrechte für Dateien im Root Directory prüfen.

Schritt 3: Website auf Wartungsmodus stellen

Falls diese Option zur Verfügung steht, empfiehlt es sich, die Website bis zur Lösung des Problems in den Wartungsmodus zu versetzen. Auf diese Weise setzen Sie Userinnen und User keiner unnötigen Gefahr aus und schützen Ihr Image als Unternehmen.

Schritt 4: Website-Backup erstellen

Für den Fall, dass Ihre Website gehackt wird, sollten Sie im Voraus ein Backup Ihrer Website-Daten anlegen. Mit diesem lässt sich Ihre Website in einem früheren, sauberen Zustand wiederherstellen. Achten Sie hierbei darauf, mehr als ein Backup anzulegen und mindestens zwei Backups auf verschiedenen Speichermedien zu sichern.

Schritt 5: Logfiles der Website überprüfen

Sollten Sie Zugang zu Ihrer Verwaltungskonsole haben, überprüfen Sie die Logfiles Ihrer Website. Darin sollten Sie den Zeit- und den Angriffspunkt anhand von Fehlermeldungen und Zugriffsprotokollen identifizieren können. Davon ausgehend lassen sich Sicherheitslücken schließen sowie Malware, schädliche Codes, Plugins, Themes oder andere Drittanbieter-Software entfernen. Sollten Sie keinen Zugriff auf Ihre Weblogs haben, kontaktieren Sie Ihren Hosting-Provider.

Schritt 6: .htaccess-Datei zurücksetzen

Die .htaccess-Datei ist ein häufiges Ziel von Cyberangriffen, da sie wichtige Konfigurationen für Websites auf Apache Web Servern enthält. Angriffe auf .htaccess-Dateien können zu Malware-Weiterleitungen, bösartigen PHP-Dateien, Datendiebstahl, Browser-Fingerprinting oder sogenannten Watering-Hole-Attacken führen. Das Zurücksetzen der .htaccess-Datei sowie eine Beschränkung der Zugriffsrechte können Sicherheitslücken schließen.

Schritt 7: Website auf Malware oder bösartigen Code scannen

Wenn Sie eine WordPress-Seite betreiben, stehen Ihnen kostenfreie und kostenpflichtige Security-Plugins für WordPress zur Verfügung. Mit diesen lassen sich Website-Dateien, Apps und Plugins auf Malware oder bösartigen Code scannen. Bekannte und populäre Sicherheitsplugins sind beispielsweise:

• WPScan
• Jetpack
• Sucuri Security
• BulletProof Security

Für Websites, die mit anderen CMS und WordPress-Alternativen erstellt und verwaltet werden, bieten sich ebenfalls Tools für Sicherheitsscans, Website-Monitoring und optimierte Website- und Netzwerk-Sicherheit an:

• SiteGuarding
• Intruder
• HostedScan Security
• Detectify
• ImmuniWeb

Möchten Sie keine zusätzlichen Drittanbieter-Tools nutzen, haben Sie auch die Möglichkeit, Ihre Website-Dateien manuell mit Ihrem aktuellen Antivirenprogramm zu überprüfen.

Warum wird eine Webseite gehackt?

Gründe für Website-Hacks sind vielfältig. In den meisten Fällen versuchen Hackerinnen und Hacker, sich durch das Abfangen sensibler Bank-, Firmen- und Nutzerdaten zu bereichern. Die gewonnenen Daten nutzen sie dann direkt oder verkaufen sie an andere Kriminelle weiter. Weitere Formen der finanziellen Bereicherung durch Hacks sind Ransomware-Attacken, die in der Regel mit einem Lösegeld für verschlüsselte Firmendaten einhergehen. Hacks können auch politisch motiviert sein und z. B. Websites von Unternehmen, Parteien, öffentlichen Personen oder Institutionen unzugänglich machen.

Weitere Motivationen für Hacks sind militärische Cyberangriffe. Hierbei führen staatliche Hacking-Gruppen systematische Angriffe auf digitale Infrastrukturen aus, stehlen Daten, betreiben Spionage oder bringen Systeme zum Absturz. Auch Ehrgeiz und Ruhm spielen eine Rolle, wenn Hacker-Gruppen oder -Individuen Hacks auf große Unternehmen oder prominente Personen als Trophäen betrachten.

Wie lässt sich einem Website-Hack vorbeugen?

Folgende Sicherheitsvorkehrungen und Regeln helfen, Ihre Website vor Malware zu schützen:

• Nutzen Sie nur sichere Passwörter, die aktuellen Empfehlungen in puncto Passwortsicherheit entsprechen.
• Nutzen Sie einen Passwort-Manager, um bei vielen Passwörtern den Überblick über die Passwort-Sicherheit zu behalten.
• Ändern Sie Passwörter und Zugangsdaten regelmäßig und speichern Sie diese nicht in Ihrem Administratorenbereich oder auf Ihrem Computer.
• Verwenden Sie aktuelle PHP-Versionen – die neueste ist PHP 8.
• Halten Sie Plugins, Apps und andere verknüpfte Software durch Updates auf dem neuesten Stand.
• Nutzen Sie eine aktuelle Antiviren-Software.
• Achten Sie auf einen seriösen und sicheren Hosting-Provider mit hohem Datenschutz.
• Nutzen Sie Sicherheitsplugins für Website-Monitoring.
• Achten Sie auf aktuelle SSL-Zertifikate.
• Legen Sie Wert auf eine sichere Dateiübertragung zwischen Ihrem Webspace und verbundenen Rechnern mit Zugriffsrechten per FTP bzw. SFTP.
• Aktivieren Sie Warnungen für unbefugte Anmeldungen und eine Zwei-Faktor-Authentifizierung.
• Legen Sie Backups Ihrer Website-Dateien an.
• Lassen Sie Ihre Website durch professionelle Sicherheitstools oder IT-Experten auf Schwachstellen analysieren.
• Überwachen Sie Zugriffe, Seitenberechtigungen und Nutzerrollen.
• Nutzen Sie eine sichere Firewall für die Website (z. B. über Sucuri oder Cloudflare).
• Große Unternehmen sollten stets über eine eigene IT-Sicherheit verfügen.

Website hacked? Auf richtige Kundenkommunikation achten

Wurde Ihre Webseite gehackt, kommt es nicht nur auf die Wiederherstellung Ihrer Website-Sicherheit an. Auch Nutzerinnen und Nutzer, die Website-Dienste abonniert oder Daten hinterlegt haben, sollten über mögliche Cyberangriffe und gestohlene Daten informiert werden. Eine verspätete, unklare oder sogar verheimlichte Information über einen Angriff kann Ihrer Marke sogar schaden. So informierte Facebook über einen Diebstahl von über 530 Millionen Nutzerdaten im Jahr 2019 erst zwei Jahre später. Wer der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) unterliegt, ist zudem verpflichtet, Nutzerinnen und Nutzer über Datendiebstahl und Sicherheitslücken aufzuklären.

Achten Sie auf eine aktive, transparente Kundenkommunikation, wenn es zum Website-Hack kommt. Idealerweise erfolgt die Bekanntgabe über eine öffentliche Stellungnahme oder E-Mail. Schildern Sie die Situation eindeutig und verständlich. Weisen Sie auf mögliche Auswirkungen und betroffene Daten hin. Geben Sie zudem Hinweise, welche Maßnahmen Kundinnen und Kunden ergreifen müssen, um die Sicherheit und den Datenschutz wiederherzustellen. Weisen Sie beispielsweise auch darauf hin, Kennwörter zu ändern, auf verdächtige Anmeldeversuche zu achten oder eine Zwei-Faktor-Authentifizierung zu nutzen.