software-wartung24.de
· 5 Min. Lesezeit· Sandor Farkas

Website gehackt: Was tun? Erste Schritte nach einem Angriff

SicherheitHackNotfallPHP

Ihre Website wurde gehackt. Der Angriff ist passiert. Jetzt fragen Sie sich: Website gehackt, was tun?

Die nächsten Stunden entscheiden, wie viel Schaden entsteht. Wer jetzt ruhig und strukturiert vorgeht, begrenzt den Schaden. Wer in Panik handelt oder gar nichts tut, riskiert mehr.

Dieser Artikel gibt Ihnen eine klare Checkliste. Was sofort zu tun ist. Was Sie dokumentieren müssen. Was Sie besser lassen sollten. Und was danach kommt.

Was sofort zu tun ist

System offline nehmen oder isolieren

Erster Schritt: Den Angreifer aus dem System ausperren. Das bedeutet in den meisten Fällen, die Website vorübergehend offline zu nehmen.

Bei einem Shared-Hosting-Account können Sie den Account deaktivieren oder die Website auf eine Wartungsseite umleiten. Bei einem eigenen Server schränken Sie den Netzwerkzugang ein und schließen alle nicht notwendigen Ports.

Das klingt radikal. Es ist aber notwendig. Eine laufende gehackte Website schadet aktiv. Daten können weiter abfließen. Schadcode kann weitere Systeme infizieren. Besucher werden möglicherweise selbst gefährdet.

Beweise sichern, bevor etwas geändert wird

Nichts löschen. Noch nicht.

Sichern Sie zuerst den aktuellen Zustand: Server-Logs, Datei-Zeitstempel, veränderte Dateien. Diese Informationen brauchen Sie, um zu verstehen, was passiert ist. Möglicherweise brauchen Sie sie auch für eine Meldung an Behörden oder für Ihre Versicherung.

Erstellen Sie ein vollständiges Backup des kompromittierten Systems. Nicht zur Wiederherstellung, sondern als Dokumentation.

Alle Zugangsdaten ändern

Parallel zur Sicherung: Ändern Sie alle Passwörter, die mit dem System zusammenhängen.

Das betrifft Datenbankzugänge, FTP- und SSH-Zugangsdaten sowie das CMS-Admin-Passwort. Auch E-Mail-Konten der Domain und alle API-Keys, die in der Anwendung hinterlegt sind, gehören dazu.

Gehen Sie davon aus, dass alle Zugangsdaten kompromittiert sind. Das ist in den meisten Fällen die sicherere Annahme.

Betroffene Stellen informieren

Wenn personenbezogene Daten betroffen sein könnten, müssen Sie nach DSGVO (Datenschutz-Grundverordnung) innerhalb von 72 Stunden die zuständige Datenschutzbehörde informieren. Das gilt auch bei begründetem Verdacht.

Informieren Sie außerdem Ihren Hosting-Anbieter. Er kann oft helfen und hat möglicherweise eigene Sicherheitsprotokolle, die jetzt greifen.

Was Sie besser nicht tun

Es gibt typische Fehler, die in Panikmomenten entstehen. Sie kosten Zeit und erschweren die spätere Aufklärung.

Alles sofort löschen. Wer kompromittierte Dateien sofort löscht, vernichtet Beweise. Erst sichern, dann aufräumen.

Das System sofort aus einem Backup wiederherstellen. Das klingt logisch, hat aber einen Haken: Wenn die Einfallspforte nicht bekannt ist, stellen Sie unter Umständen dieselbe Schwachstelle wieder her. Der nächste Angriff folgt schnell.

Nichts tun und hoffen. Der häufigste Fehler. Angreifer hinterlassen oft Hintertüren, sogenannte Backdoors, die nach einer oberflächlichen Bereinigung aktiv bleiben. Ein Angriff, der nicht vollständig aufgearbeitet wird, ist kein abgeschlossener Angriff.

Den Sicherheitsvorfall dokumentieren

Gute Dokumentation hilft in mehrfacher Hinsicht. Sie hilft bei der Ursachenforschung. Sie schützt Sie rechtlich. Und sie macht es leichter, den nächsten Schritt zu planen.

Halten Sie fest: wann der Vorfall bemerkt wurde, welche Symptome aufgefallen sind (Weiterleitungen, veränderte Inhalte, Fehlermeldungen), welche Dateien geändert wurden, welche Logdateien vorhanden sind und welche ersten Maßnahmen ergriffen wurden.

Ein kurzer schriftlicher Bericht, auch intern, ist besser als nichts.

Die Lücke finden und schließen

Das ist der schwierigste Teil. Und der wichtigste.

Ohne Kenntnis der Eintrittspforte können Sie das System nicht dauerhaft absichern. Typische Einfallstore bei PHP-Anwendungen sind:

  • Veraltete PHP-Versionen mit bekannten Sicherheitslücken (CVEs)
  • Ungepatchte Plugins, Themes oder Erweiterungen
  • Unsichere Dateiuploads ohne ausreichende Prüfung
  • SQL-Injection-Lücken in altem Code
  • Schwache oder wiederverwendete Passwörter
  • Zugangsdaten, die im Klartext in Konfigurationsdateien gespeichert sind

CVE steht für "Common Vulnerabilities and Exposures", also öffentlich dokumentierte Sicherheitslücken. Für veraltete PHP-Versionen sammeln sich diese Einträge an, ohne dass Patches erscheinen. Mehr dazu, wie alte Software als Sicherheitsrisiko wirkt, lesen Sie in unserem Artikel zu dem Thema.

Wenn Sie keinen Entwickler mit Sicherheitserfahrung im Haus haben, ist das der Punkt, an dem externe Hilfe sinnvoll ist.

Was nach der Bereinigung zu tun ist

Erst wenn die Lücke bekannt und geschlossen ist, wird das System aus einem sauberen Backup wiederhergestellt oder bereinigt. Danach folgt ein strukturierter Test.

Richten Sie zusätzlich ein einfaches Monitoring ein. Ein Website-Monitoring-Dienst, der Sie bei Ausfällen oder verdächtigem Verhalten benachrichtigt, kostet wenig. Im Ernstfall spart er viel.

Wer nach einem Angriff erkennt, dass das System strukturell veraltet ist, steht vor einer grundsätzlicheren Frage. Technische Schulden, die sich über Jahre angesammelt haben, lassen sich nicht in einem Notfalleinsatz auflösen. Aber man kann einen Plan machen. Und dieser Plan beginnt damit, zu wissen, womit man es zu tun hat.

Was dieser Vorfall über Ihr System sagt

Ein Hack passiert selten aus dem Nichts. In den meisten Fällen war die Schwachstelle vorhanden, bevor der Angriff stattfand. Ungepatchte Software, veraltete Abhängigkeiten, fehlende Sicherheitsmaßnahmen: Das sind keine Überraschungen. Es sind Risiken, die sich über Zeit angesammelt haben.

Ein Sicherheitsvorfall ist unangenehm. Er ist aber auch eine Gelegenheit, endlich hinzuschauen. Was stand auf Ihrer Warteliste? Was wurde immer wieder aufgeschoben?

Manche Unternehmen kommen aus einem Angriff gestärkt heraus. Sie haben danach klare Prozesse, aktives Monitoring und einen Wartungsplan. Das setzt voraus, dass nach dem Notfall auch der strukturelle Teil angegangen wird.

Fazit: Ruhe, Struktur, dann Ursache

Website gehackt, was tun? Zuerst isolieren. Dann sichern. Dann verstehen. Erst dann bereinigen.

Wer in Panik handelt, macht den nächsten Fehler. Wer gar nicht handelt, riskiert den nächsten Angriff.

Wenn Sie gerade in dieser Situation sind oder prüfen möchten, ob Ihr System anfällig ist: Sprechen Sie uns an. Das Erstgespräch ist kostenlos. Wir schauen uns an, was passiert ist und was als nächstes sinnvoll ist.

Weitere Artikel

· 6 Min. Lesezeit

Technische Schulden abbauen: Wo fängt man an wenn alles brennt?

Technische Schulden abbauen fühlt sich an wie einen Schuldenberg abtragen ohne Überblick. Dieser Artikel zeigt, wie man priorisiert, Quick Wins von langfristigen Maßnahmen trennt und einen realistischen Plan erstellt.

Technische SchuldenLegacy GrundlagenModernisierung
· 6 Min. Lesezeit

Warum Entwickler Legacy-Projekte hassen – und wir nicht

Entwickler Legacy Code Ablehnung trifft viele Unternehmen hart. Warum moderne Entwickler alte Systeme ablehnen, was hinter dieser Haltung steckt und warum es Spezialisten gibt, die genau diese Arbeit gerne machen.

Team & EntwicklerLegacy GrundlagenOutsourcing
· 6 Min. Lesezeit

Was passiert wenn der letzte Legacy-Entwickler das Unternehmen verlässt?

Entwickler gekündigt, Software läuft noch - aber wie lange? Wenn der einzige Mensch, der das System wirklich kennt, geht, beginnt eine stille Uhr zu ticken. Dieser Artikel zeigt, was Sie sofort tun können und wie Sie sich künftig absichern.

Team & EntwicklerLegacy GrundlagenWissenstransfer

Bereit, Ihre Software in gute Hände zu geben?

Das Erstgespräch ist kostenlos und unverbindlich. Wir schauen uns an, was Sie haben, und sagen Ihnen ehrlich, was möglich ist.

Kostenlose Erstberatung anfragen →