Websites sind ebenso anfällig gegenüber Malware wie Desktop-PCs. Und das machen sich Cy­ber­kri­mi­nel­le zunutze, indem sie Schad­soft­ware ein­schleu­sen und dann über in­fi­zier­te Seiten wei­ter­ver­brei­ten. Dazu werden ty­pi­scher­wei­se schäd­li­che Skripte in den ori­gi­na­len Code der Website in­te­griert, die von außen nicht sofort iden­ti­fi­zier­bar sind. Die Website scheint wunsch­ge­mäß zu funk­tio­nie­ren, während sie in Wahrheit – etwa mithilfe des so­ge­nann­ten Cross-Site-Scrip­tin­gs (XSS) – als In­stru­ment der Kri­mi­nel­len fungiert.

Wie lässt sich ein Web­pro­jekt vor Malware schützen? Und welche Maßnahmen helfen, wenn die Website bereits mit Schad­soft­ware infiziert ist?

Wie Sie Ihre Website mit Malware-Schutz absichern

Es gibt einige nützliche Hilfs­mit­tel und Ver­hal­tens­re­geln, mit denen Sie das Risiko, dass Ihr Web­pro­jekt mit Malware infiziert wird, möglichst gering halten. Denn oftmals sind es unsichere Pass­wör­ter, in­fi­zier­te Ar­beits­ge­rä­te, nicht ak­tua­li­sier­te An­wen­dun­gen oder ein über­füll­ter, un­über­sicht­li­cher Webspace, die den Schad­pro­gram­men Zugang zu einem Web­pro­jekt er­mög­li­chen. Wer also einen um­fas­sen­den Malware-Schutz genießen will, sollte sich besonders um die folgenden Bereiche kümmern.

Sichere Logins

Wie so oft spielen auch bei Ihrem Web­pro­jekt Pass­wör­ter eine wichtige Rolle. Indem Sie für einen hohen Pass­wort­schutz sorgen, er­schwe­ren Sie Kri­mi­nel­len den Zugang zu Ihren Seiten. Den best­mög­li­chen Malware-Schutz erreichen Sie an dieser Stelle, wenn Sie für die An­mel­dun­gen in Backend und Co. eine Zwei-Faktor-Au­then­ti­fi­zie­rung ein­rich­ten und verwenden.

Sichere Da­ten­über­tra­gung

Egal, ob Sie Daten zwischen Browser und Website oder Dateien auf den Webspace über­tra­gen möchten: Für einen guten Malware-Schutz ist es es­sen­zi­ell, dass jegliche Art von Da­ten­über­tra­gung ver­schlüs­selt ist. Das ent­schei­den­de Protokoll, das Sie hierfür benötigen – und das im Übrigen seit 2018 Pflicht­pro­to­koll für alle Websites ist, die per­so­nen­be­zo­ge­ne In­for­ma­tio­nen abfragen –, ist TLS bzw. SSL. Ist Ihr Web­pro­jekt mit einem gültigen SSL-Zer­ti­fi­kat verbunden, können Browser mit den Seiten Ihrer Web­an­wen­dung über HTTPS kom­mu­ni­zie­ren. Zudem lassen sich sichere Ver­bin­dun­gen zum Webspace auf Basis von SFTP aufbauen. Auf diese Weise er­schwe­ren Sie Kri­mi­nel­len den Zugriff auf alle wichtigen Über­tra­gungs­ka­nä­le.

Tipp

Sie wollen die sichere Da­ten­über­tra­gung für Ihr Web­pro­jekt ein­rich­ten? Holen Sie sich jetzt ein SSL-Zer­ti­fi­kat von IONOS, um die Webseiten-Kom­mu­ni­ka­ti­on zu ver­schlüs­seln und ein positives Signal an Such­ma­schi­nen und Besucher bzw. Be­su­che­rin­nen aus­zu­sen­den.

Ge­ord­ne­ter Webspace

Veraltete Dateien und An­wen­dun­gen mit ab­ge­lau­fe­nen Si­cher­heits­stan­dards oder bekannten Si­cher­heits­lü­cken zählen zu den häu­figs­ten Tür­öff­nern für Malware. Halten Sie aus diesem Grund unbedingt Ordnung auf Ihrem Webspace. Nur so behalten Sie die Übersicht darüber, ob Sie bestimmte Dokumente und Software unter Umständen ersetzen oder gänzlich entfernen müssen.

Ak­tua­li­sier­te Software

Beim Hosting eines Web­pro­jek­tes ist es häufig gar nicht so einfach bzw. auch nicht unbedingt gewünscht, die ein­ge­setz­ten An­wen­dun­gen auf dem neuesten Stand zu halten. Sind Sie bei­spiels­wei­se mit der aktuell genutzten Edition des Be­triebs­sys­tems zufrieden, gibt es keinen Anlass für ein Upgrade. Auch bei Content-Ma­nage­ment-Systemen gibt es häufig gute Gründe dafür, auf eine ältere Version zu­rück­zu­grei­fen – bei­spiels­wei­se, weil man mit be­stimm­ten Er­wei­te­run­gen arbeitet oder weil die Migration auf eine Nach­fol­ge­ver­si­on un­ver­hält­nis­mä­ßig großen Aufwand bedeutet.

Es ist dennoch wichtig, dass Sie die Ak­tua­li­tät Ihrer An­wen­dun­gen (auch Pro­gram­mier­spra­chen, Frame­works etc.) auf dem Schirm haben. Spä­tes­tens, wenn eine Version veraltet ist und keinerlei Si­cher­heits­sup­port mehr erhält oder eine Ak­tua­li­sie­rung aufgrund bekannter Si­cher­heits­lü­cken empfohlen wird, sind Updates für einen guten Malware-Schutz un­aus­weich­lich.

Malware-Scanner

Auch mit dem besten Hosting und Malware-Schutz können Sie nicht zu 100 Prozent aus­schlie­ßen, dass schäd­li­che Software auf den Webserver gelangt. Sie sollten aus diesem Grund auf pro­fes­sio­nel­le Si­cher­heits­lö­sun­gen setzen und Ihre ver­wen­de­ten Endgeräte sowie Ihre Website ständig auf Malware un­ter­su­chen.

Wer sein Web­pro­jekt bei IONOS hostet, kann mit dem hin­zu­buch­ba­ren Site Scan + Repair bei­spiels­wei­se täglich bis zu 500 Un­ter­sei­ten auf Malware scannen. Zudem können Sie mit dem Tool WordPress auf Schad­soft­ware über­prü­fen, Malware au­to­ma­tisch entfernen und Schwach­stel­len bei WordPress, Drupal und Joomla beheben.

My­De­fen­der
Cyber Security aus Deutsch­land
  • Geplante Viren-Scans
  • Au­to­ma­ti­sche Backups, einfache Wie­der­her­stel­lung

Backups

Si­cher­heits­ko­pien Ihres Web­pro­jek­tes bieten zwar keinen Malware-Schutz – sie können jedoch im Notfall Zeit und Mühe bei der Wie­der­her­stel­lung sparen. Mit re­gel­mä­ßi­gen Backups Ihres Webspaces, die Sie separat speichern, gehen Sie ohne großen Aufwand auf Nummer sicher.

Malware von einer in­fi­zier­ten Website entfernen – so funk­tio­niert’s

Sollten Sie fest­stel­len, dass Ihre Website infiziert ist, müssen Sie sich schnellst­mög­lich darum kümmern, die Malware zu entfernen. Als Betreiber oder Be­trei­be­rin ist es Ihre Pflicht, in einer solchen Situation schnell und kon­se­quent zu handeln. Wenn Sie al­ler­dings nur die Malware entfernen, ohne die Si­cher­heits­lü­cke gefunden zu haben, über die sie ihr System in­fi­zier­te, wird der nächste er­folg­rei­che Angriff nicht lange auf sich warten lassen. Gehen Sie in diesem Fall lieber auf Nummer sicher und be­auf­tra­gen Sie Experten und Ex­per­tin­nen mit der Be­rei­ni­gung Ihrer Website.

Haben Sie trotz um­fas­sen­dem Malware-Schutz eine Infektion Ihrer Website fest­ge­stellt, sollten Sie Folgendes un­ter­neh­men:

  1. De­ak­ti­vie­ren Sie Ihre Website, bis das Problem behoben ist, um den Schaden ein­zu­gren­zen. Nutzen Sie Über­brü­ckungs­lö­sun­gen wie den WordPress-War­tungs­mo­dus, um Ihre Be­su­cher­schaft über die vor­über­ge­hen­de Nicht­ver­füg­bar­keit zu in­for­mie­ren.
  2. Kon­tak­tie­ren Sie Ihren Hosting-Provider und stimmen Sie mit ihm das weitere Vorgehen ab.
  3. Über­prü­fen Sie sämtliche Nut­zer­kon­ten auf Un­ge­reimt­hei­ten wie z. B. neue Konten, die nicht von Ihnen angelegt worden sind; ändern Sie sämtliche Pass­wör­ter (für User und Ad­mi­nis­tra­to­ren und Ad­mi­nis­tra­to­rin­nen).
  4. Versuchen Sie sämtliche Scha­dens­quel­len zu bestimmen und so den Ge­samt­scha­den zu ermitteln.
  5. Be­rei­ni­gen Sie Ihre Website von jeglichem Spam, Malware und schäd­li­chem Code mithilfe passender Tools.
  6. Nutzen Sie erstellte Backups, um verlorene Dateien oder eine un­be­schä­dig­te Version Ihres Web­pro­jek­tes wie­der­her­zu­stel­len.
  7. Ak­tua­li­sie­ren Sie alle in­stal­lier­ten Software-Pakete oder in­stal­lie­ren Sie die wichtigen, von Ihnen genutzten Programme neu.
  8. Ändern Sie alle Pass­wör­ter nach der Be­rei­ni­gung erneut.
Tipp

Malware existiert in ver­schie­dens­ten Arten und Varianten. In unserem Artikel „Schutz vor Ran­som­wa­re, Spyware und Scareware“ verraten wir Ihnen die besten Tipps für den Schutz gegen Typen wie Scareware, Ran­som­wa­re oder Spyware.

Zum Hauptmenü