Website Sicherheitstest: So sicher ist deine Seite

Website gehackt? Montag, 08:14 Uhr. Krise.

Du öffnest Chrome und tippst deine Firmenwebsite ein. Was du siehst, ist nicht die Startseite.

Es ist ein rotes Warnschild. "Diese Website ist möglicherweise nicht sicher."

Dein Handy klingelt. Eine Kollegin: "Kunden fragen, ob wir gehackt wurden." Dann ruft der wichtigste Kunde an: "Was ist bei euch los?"

Das SSL-Zertifikat ist vor drei Tagen abgelaufen.

Kein Hack. Kein Datenleck. Nur eine abgelaufene Datei, die niemand überwacht hat. Drei Stunden Chaos. Vertrauen weg.

SSL-Zertifikat: Das Schloss in der Adressleiste

Das kleine Schloss neben der URL sagt: Diese Verbindung ist verschlüsselt. Kein Schloss? Kein Vertrauen.

Was wir prüfen:

Gültigkeit — Ist das Zertifikat aktuell? Abgelaufen = genauso schlimm wie keines.

Ablaufdatum — Wann läuft es ab? Wir warnen rechtzeitig.

Zertifikatskette — Manchmal ist das Zertifikat selbst gültig, aber ein Zwischenzertifikat fehlt.

Mixed Content — Lädt deine HTTPS-Seite Ressourcen über HTTP nach? Das hebelt den SSL-Schutz aus.

Security-Header: Die unsichtbare Schutzschicht

SSL verschlüsselt die Verbindung. Security-Header schützen den Inhalt.

Stell dir Security-Header wie Verhaltensregeln für den Browser vor: "Führe nichts aus, was nicht von uns kommt." Ohne diese Regeln kann jemand Code in deine Seite einschleusen.

Die meisten Websites haben diese Header nicht. Nicht weil die Betreiber es nicht wollen — sondern weil niemand danach gefragt hat.

X-Frame-Options — Verhindert Einbettung in fremde iFrames. Schutz gegen Clickjacking.

Content Security Policy (CSP) — Die Königsdisziplin. Definiert, welche Ressourcen geladen werden dürfen.

HSTS — Erzwingt HTTPS. Kein Zurückfallen auf unverschlüsselte Verbindungen.

X-Content-Type-Options — Verhindert, dass der Browser Dateitypen rät.

Referrer-Policy — Kontrolliert, welche Infos an Drittseiten weitergegeben werden.

Permissions-Policy — Regelt Zugriff auf Kamera, Mikrofon, Standort.

E-Mail-Sicherheit: Die Rechnung, die du nie geschickt hast

Stell dir vor: Dein Steuerberater bekommt eine E-Mail. Absender: deine Domain. Betreff: "Neue Bankverbindung." Er überweist. Das Geld ist weg. Du hast diese E-Mail nie geschickt.

E-Mail-Spoofing ist erschreckend einfach — wenn eine Domain nicht geschützt ist. Drei Schutzmechanismen existieren:

SPF — legt fest, welche Server E-Mails in deinem Namen versenden dürfen.

DKIM — digitale Signatur für jede ausgehende E-Mail.

DMARC — die Richtlinie, die beides zusammenbindet und sagt, was mit gefälschten E-Mails passieren soll.

Ohne DMARC ist deine Domain ein offenes Werkzeug für Betrüger. Wir prüfen alle drei Einträge.

Cloaking: Dr. Jekyll und Mr. Hyde

Eine gehackte Website zeigt dir die normale Seite. Dem Google-Bot zeigt sie Poker-Seiten, Fake-Apotheken, Phishing. Du siehst nichts. Bis Google deine Domain abstraft. Ranking weg.

Wir vergleichen, wie deine Website für verschiedene User-Agents aussieht — und melden Abweichungen.

Blacklists: Schuldig ohne Grund

Dein Hosting teilt den Server mit Hunderten anderen Websites. Einer davon verschickt Spam. Die IP wird gesperrt — deine IP.

Deine E-Mails landen im Spam-Ordner. Antivirus-Software warnt vor deiner Website. Du hast nichts getan. Es passiert trotzdem.

Wir prüfen deine Domain und IP gegen die wichtigsten Blacklists.

Häufige Fragen