Rund 80 Prozent aller im BSI-Lagebericht 2025 dokumentierten Ransomware-Angriffe trafen kleine und mittlere Unternehmen — und die meisten dieser Vorfaelle haetten sich mit drei einfachen Bausteinen verhindern lassen: einem aktuellen TLS-Zertifikat, einer vorgeschalteten Web Application Firewall und einem belastbaren Update-Prozess. Klingt nach IT-Buerokratie, ist aber in Summe an einem Arbeitstag aufgesetzt und kostet im Standardfall weniger als ein einziger Schadensfall. Dieser Beitrag erklaert die drei Saeulen so, dass auch ohne IT-Vorwissen klar wird, was wirklich noetig ist — und welche Begriffe Sie ueberhoeren koennen, weil Ihr Hosting-Provider sie schon abgedeckt hat.
Das Wichtigste in Kuerze
SSL-Zertifikat, Web Application Firewall und Updates sind die drei Saeulen, auf denen jede Unternehmenswebsite 2026 stehen muss. Der BSI-Mindeststandard verlangt TLS 1.2 oder 1.3, kostenlose Zertifikate via Let's Encrypt sind seit Jahren etabliert. Eine WAF wie Cloudflare Free filtert die OWASP-Top-10-Angriffe noch vor Ihrer Anwendung — auch in der kostenfreien Stufe. Updates muessen nach Schichten priorisiert werden: Plugins binnen sieben Tagen, CMS-Core binnen 30 Tagen, Webserver-Runtime binnen 90 Tagen. Wer alle drei Saeulen sauber aufgesetzt hat, schliesst rund 80 Prozent der typischen Angriffsvektoren bei KMU-Websites und liegt damit deutlich ueber dem Branchendurchschnitt.
Warum gerade KMU-Websites zum Ziel werden
Der BSI-Lagebericht 2025 nennt eine unangenehme Zahl: Rund 80 Prozent der dokumentierten Ransomware-Angriffe entfielen im Berichtszeitraum auf KMU. Gleichzeitig wurden durchschnittlich 119 neue Schwachstellen pro Tag entdeckt — ein Plus von 24 Prozent gegenueber dem Vorjahr. Der Grund ist nicht besondere Boswilligkeit, sondern Oekonomie: Angreifer scannen automatisiert das gesamte Netz nach bekannten Schwachstellen und greifen dort an, wo der Aufwand am geringsten ist. Eine vergessene WordPress-Installation in Vilshofen wird genauso gefunden wie ein DAX-Konzern in Frankfurt — nur die Verteidigung ist eine andere.
Drei Punkte machen Mittelstands-Websites besonders attraktiv. Erstens: knappe IT-Ressourcen — viele Sites werden nebenher von Mitarbeitenden gepflegt, die das nicht hauptberuflich tun. Zweitens: kaum Monitoring — ein Einbruch faellt oft erst auf, wenn Kunden anrufen oder Google die Seite als gehackt markiert. Drittens: lohnenswerte Beute — Bestellsystem, Kundendaten, Zugaenge, manchmal sogar Bankverbindungen. Wer hier mit drei sauber aufgesetzten Saeulen arbeitet, hebt sich von 80 Prozent der KMU-Websites positiv ab und ist fuer automatisierte Angriffe schlicht nicht profitabel genug.
Was dieser Beitrag NICHT ist
Dies ist kein vollstaendiger Sicherheits-Audit — fuer den haben wir den 15-Punkte-Leitfaden in einem eigenen Beitrag. Hier geht es um die drei Bausteine, die jede Unternehmenswebsite vor allen weiteren Schritten haben muss. Wenn diese drei Saeulen sauber stehen, koennen Sie sich mit Penetration-Tests, SIEM oder Zero-Trust-Architekturen beschaeftigen. Vorher waere das wie ein Tresor in einem Haus ohne Tueren.
Saeule 1: SSL-Zertifikat und TLS
SSL ist die alte Abkuerzung fuer Secure Sockets Layer — die heutige Technik heisst eigentlich TLS (Transport Layer Security), der Begriff SSL-Zertifikat hat sich aber im Sprachgebrauch gehalten. Aufgabe: alle Daten, die zwischen Browser und Server hin- und hergehen, verschluesseln, damit niemand auf dem Weg dazwischen mitlesen kann. Das gruene Schloss in der Adresszeile und das https:// am Anfang der URL sind die sichtbaren Zeichen, dass TLS aktiv ist.
Was passiert ohne TLS?
Ohne TLS landen Formular-Eingaben, Login-Daten und Cookies im Klartext im Netzwerk. In oeffentlichen WLANs kann jeder mit ein paar Minuten Aufwand alles mitlesen. Hinzu kommen drei weitere Effekte: Google stuft unverschluesselte Seiten seit 2018 schlechter, Chrome und Firefox zeigen seit Jahren eine Warnung statt eines Schlosses, und seit der DSGVO ist die Uebertragung personenbezogener Daten ohne dem Stand der Technik entsprechende Verschluesselung ein Compliance-Verstoss. Drei Gruende, weshalb TLS heute schlicht Standardausstattung ist.
TLS-Versionen und Mindeststandard 2026
Das BSI hat im Januar 2026 die technische Richtlinie TR-02102-2 aktualisiert. Erlaubt sind ausschliesslich TLS 1.2 und TLS 1.3 — die aelteren Versionen TLS 1.0 und 1.1 gelten offiziell als veraltet und sollen abgeschaltet werden. Praktisch heisst das: Wer in den letzten zwei Jahren ein Zertifikat installiert und seine Server-Konfiguration nicht aktiv auf alt gestellt hat, ist hier konform. Ueber den Server-Test von Qualys SSL Labs koennen Sie in zwei Minuten kostenlos pruefen, welche Versionen Ihr Server aktuell zulaesst — das Ergebnis sollte ein A oder A+ sein.
Welches Zertifikat brauchen KMU?
Fuer 95 Prozent der Unternehmenswebsites genuegt ein einfaches Domain-Validation-Zertifikat (DV) von Let's Encrypt. Kosten: null Euro, Laufzeit: 90 Tage, Erneuerung: vollautomatisch durch jeden serioesen Hosting-Provider. Plesk, cPanel, Vercel, Hetzner Cloud, Strato und IONOS haben Let's Encrypt direkt integriert — meistens ein Schalter im Adminbereich. Wer Online-Zahlungen ueber das eigene System abwickelt oder einen Behoerdenkontext hat, kann ein Extended-Validation-Zertifikat (EV) erwaegen — fuer typische KMU-Websites ist das jedoch ueberdimensioniert und liefert seit Chrome 77 auch kein gruenes Firmennamen-Badge mehr in der Adresszeile.
Unsicher, ob Ihr TLS-Setup BSI-konform ist?
Wir pruefen Ihr Zertifikat, die Cipher-Suite und die Server-Header in einem kurzen kostenlosen Quick-Check — Sie bekommen einen klaren Ampel-Bericht zurueck und wissen, ob Handlungsbedarf besteht. Teil unseres Cyber-Security-Pakets fuer KMU im DACH-Raum.
Saeule 2: Web Application Firewall
Eine Web Application Firewall — kurz WAF — sitzt zwischen Ihrem Besucher und Ihrer Website und prueft jede Anfrage, bevor sie Ihren Server erreicht. Sie ist nicht zu verwechseln mit der klassischen Firewall, die Ports blockiert: Die WAF versteht das HTTP-Protokoll und kann gezielt nach Angriffsmustern auf Webanwendungen suchen.
Wie eine WAF arbeitet
Die WAF kennt die OWASP Top 10 — eine Liste der zehn haeufigsten Angriffsklassen gegen Webanwendungen, darunter SQL Injection, Cross-Site Scripting (XSS), Path Traversal und Server-Side Request Forgery. Sobald eine eingehende Anfrage Muster aus diesen Klassen enthaelt — etwa SQL-Befehle in einem Suchformular oder JavaScript-Code in einem Kommentarfeld — wird sie geblockt, bevor sie Ihre Anwendung erreicht. Zusaetzlich erkennt die WAF Bot-Traffic, automatisierte Brute-Force-Versuche auf Login-Seiten und auffaellige Anfrage-Frequenzen.
Kostenfrei vs. kostenpflichtig
Cloudflare ist der De-facto-Standard fuer KMU-Websites im DACH-Raum. Die kostenfreie Stufe deckt bereits Basis-WAF-Regeln, DDoS-Schutz bis Layer 7 und ein globales CDN ab — das reicht fuer eine klassische Unternehmenswebsite voellig. Wer ein OWASP-managed Ruleset, WordPress-spezifische Regeln, Bot Fight Mode und detailliertes Logging braucht, kommt fuer rund 22 Euro pro Monat auf den Pro-Tarif. Fuer Online-Shops oder Sites mit sensiblen Anwendungen empfiehlt sich die Business-Stufe (ca. 180 Euro pro Monat). Alternativen wie Sucuri oder Wordfence (speziell fuer WordPress) sind valide, aber preislich meist hoeher.
Was eine WAF NICHT kann
Eine WAF ersetzt keine sicheren Passwoerter, keine Updates und keine durchdachte Anwendungsentwicklung. Wer einen unsicheren Datei-Upload programmiert oder Admin-Logins ohne Zwei-Faktor-Authentifizierung anbietet, dem hilft auch die teuerste WAF nur begrenzt. Die WAF ist die Tuer mit dem ordentlichen Schloss — fuer das, was hinter der Tuer steht, ist sie nicht zustaendig.
Saeule 3: Updates und Patch-Management
Die dritte Saeule ist die unauffaelligste — und gleichzeitig diejenige, an der die meisten KMU-Websites scheitern. Veraltete CMS-Versionen, alte Plugins und nicht gepatchte Server-Komponenten sind laut BSI-Lagebericht der haeufigste Einstiegspunkt fuer erfolgreiche Angriffe. Der Punkt: Updates sind keine einzelne Aufgabe, sondern ein laufender Prozess, der nach Schichten organisiert sein muss.
Die Update-Pyramide
Stellen Sie sich Ihre Website als Pyramide aus vier Schichten vor: Unten das Betriebssystem und das Hosting, darueber die Sprach-Runtime (PHP, Node.js) und der Webserver (Nginx, Apache), darueber das CMS oder Framework (WordPress, Payload CMS, Next.js), und ganz oben die Plugins und Libraries. Jede Schicht hat einen eigenen Update-Rhythmus und einen eigenen Verantwortlichen — und genau hier scheitern die meisten Setups: Niemand weiss, wer eigentlich fuer welche Schicht zustaendig ist.
Automatische vs. manuelle Updates
Sicherheits-Patches fuer Plugins und Libraries gehoeren auf Auto-Update. WordPress kann das fuer Minor-Releases von Haus aus, npm-Pakete laufen ueber Renovate oder Dependabot, Composer hat ein eigenes Update-Kommando. Major-Versionen — also Spruenge wie WordPress 6.5 auf 7.0 oder Next.js 14 auf 15 — gehoeren in eine Staging-Umgebung, nicht direkt in den Live-Betrieb. Faustregel: Sicherheits-Releases binnen sieben Tagen, Feature-Releases binnen 30 Tagen, Major-Spruenge nach Plan.
Update-Rhythmus fuer KMU
In der Praxis hat sich ein Drei-Stufen-Rhythmus bewaehrt: Woechentliche automatische Patches fuer Plugins und Libraries, monatliches manuelles Audit des CMS-Core (mit Staging-Test bei Major-Spruenge), quartalsweise Pruefung von Runtime und Webserver. Wer Managed-Hosting nutzt — zum Beispiel Vercel fuer Next.js-Sites oder Hetzner Managed fuer klassische PHP-Setups — kann die unterste Pyramidenebene komplett delegieren. Wer einen eigenen Server betreibt, muss zumindest unattended-upgrades aktivieren, sonst werden Linux-Kernel-Patches nie eingespielt.
Drei Saeulen im direkten Vergleich
Die folgende Uebersicht zeigt Aufgabe, Kosten und Setup-Aufwand der drei Saeulen nebeneinander. Sie ist bewusst auf KMU-Standardfaelle zugeschnitten — Unternehmenswebsites mit bis zu 25 Mitarbeitenden und unter 100.000 Besuchen pro Monat.
SSL, WAF, Updates: Aufgabe, Kosten und Aufwand
| Merkmal |
|---|
Die Tabelle macht ein Muster sichtbar: Die ersten beiden Saeulen sind nahezu kostenlos und in einem halben Arbeitstag erledigt. Die dritte Saeule kostet mehr, weil sie laufenden Aufwand bedeutet — und genau das ist auch der Grund, weshalb sie am haeufigsten vernachlaessigt wird. Wer sich hier ehrlich macht und einen Wartungsvertrag mit klar definierten SLAs abschliesst, hat den groessten Hebel zur Risikoreduktion seiner Site.
30-Tage-Plan fuer den Einstieg
Wenn Ihre Website heute noch keine dieser drei Saeulen sauber abgedeckt hat, koennen Sie das in 30 Tagen aufholen — ohne Spezial-Tools und ohne externen Dienstleister. Der Plan ist bewusst konservativ formuliert, damit auch ohne IT-Vorwissen klar wird, was wann zu tun ist:
30 Tage zur sicheren Website
Lieber an einen Dienstleister abgeben?
Wir uebernehmen das komplette 30-Tage-Setup inklusive WAF, Update-Pipeline und Monitoring fuer Pauschalpreise zwischen 690 und 1.490 Euro netto. Anschliessend monatliche Wartung ab 89 Euro fuer KMU-Standardsites in Niederbayern, Oberpfalz und im DACH-Raum.
Haeufige Fragen (FAQ)
Antworten auf die haeufigsten Fragen
Ja. Auch eine Website ohne Kontaktformular und ohne Login wird von Google ohne https als unsicher markiert. Chrome zeigt seit Jahren bei jeder unverschluesselten Verbindung eine Warnung an. Und da Let's Encrypt kostenlos ist und bei allen serioesen Hostern in wenigen Klicks aktiviert wird, gibt es technisch keinen Grund mehr, darauf zu verzichten.
Fuer klassische Unternehmenswebsites — Visitenkarte, Leistungsdarstellung, Blog, Kontaktformular — reicht Cloudflare Free voellig. Die Free-Stufe enthaelt CDN, DDoS-Schutz bis Layer 7 und Basis-WAF-Regeln. Wer einen Online-Shop, ein Buchungssystem oder Kundenportal betreibt, sollte Pro (ca. 22 EUR / Monat) waehlen, weil hier OWASP Managed Rules, WordPress-spezifische Regeln und detaillierteres Logging dazukommen.
Let's Encrypt-Zertifikate laufen 90 Tage und werden vom Hosting-Provider in der Regel 30 Tage vor Ablauf automatisch erneuert. Kostenpflichtige Zertifikate laufen meist 12 Monate. Wichtig: Verfolgen Sie das Ablaufdatum nicht manuell — verlassen Sie sich auf das Auto-Renewal Ihres Hosters und richten Sie sich eine externe Monitoring-Warnung (z. B. ueber UptimeRobot oder StatusCake) ein, die bei einem Fehler im Renewal anschlaegt.
Mit jedem nicht eingespielten Update waechst die Liste oeffentlich bekannter Schwachstellen, die Ihre Site angreifbar machen. Der typische Verlauf bei automatisierten Angriffen: Innerhalb von 24 bis 72 Stunden nach Veroeffentlichung einer kritischen CVE scannt jeder ernsthafte Angreifer das gesamte Netz nach betroffenen Systemen. Wer drei Monate spaet patched, hat in der Zwischenzeit eine offene Tuer betrieben — auch wenn nichts passiert ist, ist das ein DSGVO-relevanter Verstoss gegen den Stand der Technik.
Teilweise. Managed-Hosting-Anbieter wie Vercel, Netlify oder Hetzner Managed kuemmern sich um TLS, Betriebssystem, Webserver und Sprach-Runtime. CMS, Plugins und Anwendungs-Updates bleiben Ihre oder die Aufgabe Ihres Dienstleisters. Eine WAF ist bei den meisten Hostern nicht inklusive — Cloudflare oder ein vergleichbares Produkt muss zusaetzlich konfiguriert werden. Faustregel: Hosting-Provider macht Saeule 1 und Teile von Saeule 3, Sie oder Ihr Dienstleister sind fuer WAF und Anwendungs-Updates verantwortlich.
Fazit und naechste Schritte
Website-Schutz im Jahr 2026 ist kein Thema fuer IT-Spezialisten, sondern Grundausstattung wie eine abschliessbare Eingangstuer. Die drei Saeulen — TLS-Zertifikat, Web Application Firewall, Update-Management — sind in Summe an einem Arbeitstag aufgesetzt, kosten im Standardfall unter 30 Euro pro Monat und schliessen rund 80 Prozent der typischen Angriffsvektoren bei KMU-Websites.
Die wichtigsten drei Schritte fuer die naechsten 14 Tage:
- TLS-Status pruefen — SSL-Labs-Test starten, bei Note B oder schlechter sofort handeln. Investition: 30 Minuten.
- Cloudflare Free aktivieren — Nameserver umstellen, Standard-WAF-Regeln aktivieren. Investition: 90 Minuten.
- Update-Inventar aufnehmen — Liste aller Plugins, CMS-Version, PHP- oder Node-Version dokumentieren und Verantwortliche Person benennen. Investition: 2 Stunden.
Wenn Sie die Saeulen nicht selbst aufsetzen wollen oder vorab eine Standortbestimmung brauchen, machen wir das gerne. Unser Team in Vilshofen an der Donau betreut KMU in Niederbayern, der Oberpfalz und im DACH-Raum mit kompletten Cyber-Security-Paketen — vom TLS-Check bis zum 24/7-Monitoring. Schreiben Sie uns kurz, welches CMS und welcher Hoster im Einsatz sind, wir melden uns innerhalb von 24 Stunden mit einer ersten Einschaetzung.
Erstgespraech zu Ihrem Website-Schutz
Wir besprechen in 20 Minuten kostenfrei den aktuellen Stand Ihrer drei Saeulen und nennen die naechsten konkreten Schritte. Keine Verkaufspraesentation — nur eine fachliche Einschaetzung.
Verwandte Beitraege
Website-Sicherheit pruefen: 15-Punkte-Audit fuer Ihre Unternehmenswebsite (2026)
Der naechste Schritt nach den drei Saeulen: ein vollstaendiger 15-Punkte-Audit, mit dem Sie systematisch alle Schwachstellen Ihrer Site bewerten und priorisieren.
/posts/website-sicherheit-pruefen
DSGVO-konforme Website 2026: Die komplette Checkliste
Cookie-Banner, Datenschutzerklaerung, Auftragsverarbeitung, Google Fonts und Analytics rechtskonform einbinden — die Pflicht-Checkliste fuer Unternehmenswebsites.
/posts/dsgvo-website-checkliste
Core Web Vitals optimieren: Technischer Leitfaden fuer schnelle Websites (2026)
Performance und Sicherheit gehen Hand in Hand — LCP, INP und CLS verstehen und gezielt verbessern, vom Messen bis zur Optimierung.
/posts/core-web-vitals-optimieren
Ähnliche Beiträge
Website-Sicherheit prüfen: 15-Punkte-Audit für Ihre Unternehmenswebsite (2026)
TLS, Updates, 2FA, Backups, WAF, Logs: Das vollständige 15-Punkte-Sicherheits-Audit für KMU-Websites 2026 — mit Risiko-Matrix und Priorisierung.
DSGVO-konforme Website 2026: Die komplette Checkliste für Unternehmen
Ist Ihre Website DSGVO-konform? Cookie-Banner, Datenschutzerklärung, Google Fonts, Analytics - diese Checkliste deckt alle Pflichten ab. Mit Handlungsschritten.
Next.js für Unternehmen: Schneller, sicherer, günstiger im Betrieb (2026)
Warum KMU im DACH-Raum 2026 auf Next.js statt WordPress setzen: Performance, SEO, Sicherheit und 60 Prozent geringere Gesamtbetriebskosten über 3 Jahre — mit TCO-Vergleich und Rendering-Strategien.