Websites & Software

Meine Website wurde gehackt – die ersten Schritte in den nächsten 60 Minuten

8 Min. Lesezeit
Kurze Antwort

Nach einem Hack zählt die erste Stunde. Website offline nehmen, Hosting informieren, Passwörter ändern, Backup sichern, Schadcode lokalisieren. Strukturiertes Vorgehen begrenzt den Schaden und ermöglicht eine saubere Bereinigung.

Ein Hack ist kein Weltuntergang — aber die ersten 60 Minuten entscheiden darüber, wie groß der Schaden wird. Wer strukturiert vorgeht, kann den Angriff eindämmen, Beweise sichern und die Website sauber wiederherstellen.

Was man in den ersten Minuten NICHT tun sollte

Nicht sofort alles löschen: Wer in Panik alle Dateien entfernt, vernichtet wichtige Beweise und macht eine saubere Ursachenanalyse unmöglich. Kein Handeln ohne Backup: Niemals Bereinigungsversuche starten, ohne vorher den aktuellen Zustand zu sichern — auch wenn dieser Zustand kompromittiert ist. Nicht einfach ignorieren: Wer den Hack totschweigt und die Website einfach weiterlaufen lässt, gefährdet Besucher und riskiert eine Google-Blacklist sowie DSGVO-Konsequenzen.

Anzeichen eines Hacks erkennen

Nicht jeder Hack ist auf den ersten Blick sichtbar. Einige Angriffe laufen monatelang unbemerkt im Hintergrund. Typische Anzeichen sind: Unbekannte Inhalte auf der Website — etwa Spam-Links, fremde Texte oder Werbung in einer anderen Sprache. Weiterleitungen auf fremde Domains, die nur für mobile Nutzer oder bestimmte Suchmaschinen-Referrer aktiv sind. Warnmeldungen im Browser oder in der Google Search Console mit dem Hinweis "Diese Website wurde möglicherweise gehackt".

Weitere Symptome: Der Admin-Bereich ist nicht mehr zugänglich, weil das Passwort geändert wurde oder ein neuer Admin-Account angelegt wurde. Unbekannte Dateien im Hosting-Verzeichnis, besonders in Upload-Ordnern oder tief verschachtelten Verzeichnissen. Ungewöhnliche Server-Auslastung oder erhöhter Traffic zu ungewöhnlichen Zeiten kann auf einen Missbrauch des Servers als Spam-Relay oder als Teil eines Botnetzes hinweisen.

Im Zweifelsfall gilt: Lieber einen Hack zu früh vermuten und ihn dann ausschließen, als ihn zu spät erkennen und tagelang aktiv sein lassen. Hosting-Provider haben oft eigene Sicherheits-Scans und können schnell Auskunft geben, ob verdächtige Aktivitäten registriert wurden.

Sofortmaßnahmen in den ersten 60 Minuten

  1. 1. Website sofort offline nehmen

    Website in den Wartungsmodus versetzen oder den Webserver temporär stoppen. Damit werden Besucher nicht mehr auf kompromittierte Inhalte weitergeleitet und die weitere Ausbreitung von Schadcode wird verhindert. Hosting-Panel oder .htaccess können für eine Maintenance-Seite genutzt werden.

  2. 2. Hosting-Provider informieren

    Den Support des Hosting-Providers sofort kontaktieren und den Vorfall melden. Viele Provider haben Incident-Response-Teams, die bei der Analyse unterstützen, Zugangsprotokolle bereitstellen und infizierte Dateien identifizieren können. Zugangsprotokolle (Access- und Error-Logs) sofort anfordern und sichern — sie werden oft nur kurz aufbewahrt.

  3. 3. Alle Passwörter sofort ändern

    FTP-Zugänge, SSH-Zugänge, Datenbank-Passwörter, CMS-Admin-Passwörter und E-Mail-Konten, die mit der Website verknüpft sind, sofort ändern. Falls möglich, Zwei-Faktor-Authentifizierung aktivieren. Alle aktiven Sessions im CMS beenden. Nicht dasselbe Gerät verwenden, das möglicherweise mit Malware infiziert ist.

  4. 4. Backup des aktuellen Zustands sichern

    Den kompromittierten Zustand vollständig sichern — alle Dateien per FTP und die Datenbank per Dump. Dieses Backup dient nicht zur Wiederherstellung, sondern zur forensischen Analyse. Ohne dieses Backup ist es schwer zu rekonstruieren, was verändert wurde, wie der Angreifer eingedrungen ist und ob Daten abgeflossen sind.

  5. 5. Schadcode lokalisieren

    Geänderte Dateien identifizieren: Welche Dateien wurden in den letzten Tagen oder Wochen verändert? CMS-Systeme wie WordPress bieten File-Integrity-Plugins. Suche nach bekannten Schadcode-Mustern wie eval(base64_decode()), gzinflate() oder unbekannten PHP-Dateien in Upload-Verzeichnissen. Server-Logs auf verdächtige POST-Requests oder unbekannte IP-Adressen prüfen.

  6. 6. Bereinigung durchführen

    Saubere Dateien vom Hersteller oder aus einem sauberen Backup einspielen. CMS und alle Plugins auf aktuelle Versionen aktualisieren. Schadcode-Fragmente in Datenbankeinträgen (z.B. injizierten JavaScript-Code) bereinigen. Nach der Bereinigung erneut vollständig scannen — Angreifer hinterlassen oft mehrere Backdoors, damit nach einer teilweisen Bereinigung ein erneuter Zugang möglich bleibt.

  7. 7. Ursache klären und schließen

    Der wichtigste und am häufigsten übersprungene Schritt: Wie ist der Angreifer eingedrungen? Veraltetes Plugin, schwaches Passwort, kompromittierter FTP-Zugang, SQL-Injection-Lücke? Ohne Ursachenanalyse wird dieselbe Lücke erneut ausgenutzt — oft innerhalb weniger Tage nach der Bereinigung. Zugangsdaten des Angreifers sperren, Einfallstor schließen.

  8. 8. DSGVO-Meldepflicht prüfen

    Waren personenbezogene Daten von Nutzern, Kunden oder Mitarbeitern betroffen oder könnten betroffen sein, besteht gemäß Art. 33 DSGVO eine Meldepflicht gegenüber der zuständigen Datenschutz-Aufsichtsbehörde — in der Regel innerhalb von 72 Stunden nach Kenntnisnahme. Im Zweifel Datenschutzbeauftragten oder Rechtsanwalt konsultieren.

Sofortzugang braucht man zu...

  • Hosting-Control-Panel: Plesk, cPanel, IONOS, Strato oder entsprechendes Panel — Zugangsdaten parat haben
  • FTP-Zugang: Für direkten Dateizugriff unabhängig vom CMS
  • Datenbank-Zugriff: phpMyAdmin oder direkter MySQL-Zugang für Datenbankanalyse und -bereinigung
  • CMS-Adminbereich: Falls noch zugänglich — alle aktiven Sessions beenden, Passwort ändern
  • SSH-Zugang: Für Server-seitige Analyse und Log-Auswertung, falls beim Provider verfügbar
  • Backup-System: Zugang zum letzten sauberen Backup — lokal oder beim Provider

Wann man einen Fachmann hinzuziehen sollte

Sofort, wenn: Der Hack die Datenbank betrifft, Kundendaten betroffen sein könnten, der Angriff sich wiederholt, die Ursache nicht eindeutig geklärt werden kann oder DSGVO-Meldepflichten im Raum stehen. Ein erfahrener Sicherheitsdienstleister bereinigt gründlicher und schließt Lücken, die Laien übersehen.

Prävention: Wie man sich künftig schützt

Der beste Umgang mit einem Hack ist, ihn zu verhindern. Die wichtigsten Schutzmaßnahmen sind keine Raketenwissenschaft — sie werden nur zu selten konsequent umgesetzt. CMS-Systeme wie WordPress, Joomla oder TYPO3 und alle installierten Erweiterungen müssen immer auf dem aktuellen Stand gehalten werden. Veraltete Plugins sind der häufigste Einfallsweg für Angreifer.

Zwei-Faktor-Authentifizierung gehört für alle Admin-Zugänge aktiviert — für das CMS, für FTP, für das Hosting-Panel. Ein kompromittiertes Passwort allein reicht dann nicht mehr aus. Starke, einzigartige Passwörter in einem Passwort-Manager verwalten.

Tägliche automatisierte Backups sind Pflicht — gespeichert an einem Ort, der vom Webserver getrennt ist. Im Angriffsfall muss ein sauberes Backup aus der Zeit vor dem Hack wiederhergestellt werden können. Eine Web Application Firewall (WAF) — etwa über Cloudflare oder einen Hosting-Provider — filtert gängige Angriffsmuster heraus, bevor sie den Server erreichen. File-Integrity-Monitoring-Tools schlagen Alarm, sobald kritische Dateien verändert werden — und ermöglichen so eine frühe Erkennung eines laufenden Angriffs.

Zusammenfassung

Zusammenfassung
  • Die ersten 60 Minuten nach einem Hack sind entscheidend: Website offline, Passwörter ändern, Backup sichern.
  • Ohne Ursachenanalyse ist jede Bereinigung unvollständig — Angreifer kehren über dieselbe Lücke zurück.
  • DSGVO-Meldepflicht innerhalb von 72 Stunden prüfen, wenn personenbezogene Daten betroffen sein könnten.

Professionelle Hilfe nach einem Hack

Wurde Ihre Website gehackt oder haben Sie Verdacht auf eine Kompromittierung? INREMA unterstützt Sie bei der Analyse, Bereinigung und Absicherung — schnell und strukturiert.

Beratung anfragen

Häufige Fragen

Wie erkenne ich, ob meine Website gehackt wurde?
Typische Anzeichen sind: fremde Inhalte oder Links, Browser-Warnungen, Weiterleitungen auf unbekannte Seiten, gesperrter Admin-Zugang oder unbekannte Dateien im Hosting-Verzeichnis. Google Search Console zeigt oft als erste externe Quelle eine Warnung.
Muss ich einen Hack der Datenschutzbehörde melden?
Wenn personenbezogene Daten betroffen oder potenziell abgeflossen sein könnten, ja — innerhalb von 72 Stunden nach Kenntnisnahme gemäß Art. 33 DSGVO. Im Zweifel immer melden: Eine unterlassene Meldung ist bußgeldbewehrt.
Reicht es, den Schadcode zu löschen und weiterzumachen?
Nein. Ohne Ursachenanalyse wird dieselbe Lücke erneut ausgenutzt — oft innerhalb weniger Tage. Erst Ursache klären und schließen, dann Bereinigung abschließen, dann Website wieder online nehmen.
Was kostet eine professionelle Website-Bereinigung?
Das hängt vom Umfang des Angriffs und der eingesetzten Technologie ab. Eine einfache Bereinigung eines WordPress-Hacks ist in wenigen Stunden möglich. Komplexere Angriffe mit Datenbankmanipulation oder mehrfachen Backdoors können einen Tagesaufwand erfordern.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
IT-Sicherheit für KMU: Der Basis-Schutz den jedes Unternehmen braucht
10 Min. Lesezeit
Websites & Software
Plugin-Update hat die Website zerstört – Schritt für Schritt zurück
7 Min. Lesezeit
Websites & Software
SSL-Zertifikat abgelaufen – was sofort zu tun ist
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen