Das Internet ist lauter geworden
Eine Erfahrung aus der täglichen Arbeit als Entwickler zeigt, wie stark sich die Rahmenbedingungen im Internet verändert haben:
Während eines Experiments zur Automatisierung von Deployments habe ich eine kleine Test-Website auf einem öffentlich erreichbaren Server betrieben.
Die Website hatte keinen Domainnamen, war nicht verlinkt und enthielt keine produktiven Inhalte oder vertraulichen Daten. Sie diente lediglich dazu, einen Entwicklungsprozess zu testen.
Trotzdem war der Server nach ungefähr 10 Stunden kompromittiert.
Der Grund: Automatisierte Bots durchsuchen das Internet permanent nach erreichbaren Systemen und bekannten Schwachstellen.
Die entscheidende Veränderung der letzten Jahre ist nicht, dass Websites plötzlich angegriffen werden – das war schon immer der Fall. Neu ist die Menge und Automatisierung solcher Angriffe.
Auch bei den von uns betreuten Websites sehen wir täglich tausende blockierte Zugriffsversuche.

Eine Website ist mehr als nur eine Benutzeroberfläche
Viele Unternehmen betrachten eine Website als abgeschlossenes Projekt: Sie wird geplant, entwickelt, getestet und veröffentlicht.
Technisch gesehen ist eine moderne Website jedoch ein System aus vielen verschiedenen Komponenten:
- Frameworks
- Plugins
- Libraries
- Schnittstellen
- Server- und Hosting-Komponenten
Diese Umgebung verändert sich laufend. Neue Sicherheitslücken werden entdeckt, Abhängigkeiten ändern sich und Angriffsmethoden entwickeln sich weiter.
Eine Website, die bei der Veröffentlichung sicher aufgebaut wurde, kann Jahre später neue Risiken aufweisen – nicht unbedingt wegen schlechter Entwicklung, sondern weil sich die technische Umgebung verändert.
In diesem Artikel sprechen wir bewusst allgemein über Websites und Webapplikationen.
Viele Beispiele stammen aus dem WordPress-Umfeld, da WordPress eines der meistgenutzten Content-Management-Systeme weltweit ist und durch sein grosses Plugin-Ökosystem besonders viele Drittanbieter-Komponenten verwendet.
Die grundsätzlichen Herausforderungen gelten jedoch genauso für andere Technologien wie React-Anwendungen oder individuelle Weblösungen.
Komplexität ist oft das eigentliche Risiko
In der Softwareentwicklung gibt es selten eine einzelne Entscheidung, die ein System unsicher macht.
Die grössten Risiken entstehen oft über längere Zeit:
Eine zusätzliche Funktion benötigt ein neues Plugin. Eine Integration benötigt eine weitere Schnittstelle. Eine kleine Anpassung bringt eine weitere Library ins Projekt.
Einzeln betrachtet sind diese Entscheidungen oft sinnvoll.
Über Jahre hinweg kann daraus jedoch ein System entstehen, dessen Abhängigkeiten immer schwerer nachvollziehbar werden.
Das unterschätzte Risiko: Abhängigkeiten
Moderne Software wird selten vollständig selbst entwickelt.
Frameworks, Plugins und Libraries sind ein wichtiger Bestandteil moderner Entwicklung. Sie ermöglichen schnellere Umsetzung und reduzieren unnötigen Entwicklungsaufwand.
Gleichzeitig entsteht dadurch eine neue Risikokategorie: die Software Supply Chain.
Ein Supply-Chain-Angriff bedeutet, dass nicht die eigentliche Anwendung direkt angegriffen wird. Stattdessen wird eine Komponente manipuliert, der viele andere Projekte vertrauen.
Ein vereinfachtes Beispiel:
Eine Anwendung verwendet eine externe Library für eine bestimmte Funktion. Diese Library wird übernommen oder kompromittiert und eine manipulierte Version wird veröffentlicht.
Diese Version wird anschliessend über den normalen Update-Prozess verteilt und kann dadurch in viele Systeme gelangen.
Genau diese Kombination macht Supply-Chain-Angriffe so problematisch: Die Schadsoftware kommt über einen Weg, dem Entwickler normalerweise vertrauen.
Bekannte Beispiele:
Die Schlussfolgerung daraus:
Drittanbieter-Komponenten sind nicht grundsätzlich schlecht. Sie sind ein wichtiger Bestandteil moderner Softwareentwicklung.
Aber jede zusätzliche Abhängigkeit sollte bewusst ausgewählt und regelmässig hinterfragt werden.
Sicherheit betrifft nicht nur Daten
Viele denken beim Thema Website-Sicherheit zuerst an gestohlene Daten.
Ein Angriff kann jedoch auch andere Auswirkungen haben: Eine Website kann langsamer werden oder zeitweise nicht erreichbar sein.
Automatisierte Zugriffe, fehlerhafte Anfragen oder schlecht abgestimmte Systeme können Ressourcen verbrauchen und dadurch die Stabilität einer Anwendung beeinträchtigen.
Gerade bei Systemen mit vielen Erweiterungen, komplexen Datenbankabfragen oder begrenzten Server-Ressourcen kann dies zu Performanceproblemen führen.
Deshalb gehört zu einer sicheren Website nicht nur der Schutz vor unberechtigten Zugriffen, sondern auch ein stabiler und belastbarer Betrieb.
Warum weniger manchmal mehr ist
Besonders sichtbar wird dieses Thema bei Content-Management-Systemen wie WordPress.
Durch die grosse Verbreitung und das umfangreiche Plugin-Ökosystem gibt es für nahezu jede Funktion eine fertige Erweiterung.
Das ist grundsätzlich eine Stärke von WordPress.
Problematisch wird es, wenn eine Website aus immer mehr Erweiterungen besteht, ohne deren langfristige Auswirkungen zu berücksichtigen.
Viele Komponenten bedeuten:
- mehr Fremdcode
- mehr potenzielle Schwachstellen
- mehr Abhängigkeiten
- schwierigere Fehleranalyse
Der gleiche Grundsatz gilt auch für moderne JavaScript-Anwendungen wie React-Projekte.
Ein Projekt mit hunderten Packages ist nicht automatisch besser als eines mit wenigen, gut ausgewählten Abhängigkeiten.
Unser Ansatz: Schlanke Systeme mit kontrollierter Komplexität
Unser Ziel ist nicht, möglichst viele Technologien einzusetzen.
Wir setzen auf Lösungen, die langfristig verständlich, stabil und erweiterbar bleiben.
Bewusste Auswahl von Komponenten
Wir prüfen, welche Plugins, Libraries oder Frameworks tatsächlich benötigt werden.
Jede zusätzliche Komponente sollte einen klaren Mehrwert bieten.
Weniger Abhängigkeiten bedeuten nicht weniger Möglichkeiten – sondern mehr Kontrolle.
Eigene Lösungen statt unnötiger Erweiterungen
Gerade bei WordPress wird häufig für jede zusätzliche Funktion ein weiteres Plugin eingesetzt.
Das ist nicht grundsätzlich problematisch. Ein gut gepflegtes und weit verbreitetes Plugin kann eine sehr sinnvolle Lösung sein.
Unser Ansatz ist jedoch, Abhängigkeiten bewusst auszuwählen.
Wenn eine Funktion zentral für eine Website ist oder ein Plugin unnötige Komplexität einführt, entwickeln wir häufig eine eigene Lösung.
Dadurch behalten wir die Kontrolle über den Code und vermeiden unnötige Abhängigkeiten von Drittanbietern.
Es gibt aber auch Bereiche, in denen etablierte Lösungen sinnvoller sind.
Bei Sicherheits-, Formular- oder Mehrsprachigkeitslösungen setzen wir beispielsweise bewusst auf bewährte Plugins, wenn der Entwicklungsaufwand einer eigenen Lösung nicht im Verhältnis zum Nutzen stehen würde.
Der Grundsatz lautet nicht:
Möglichst keine Plugins verwenden.Sondern:
Jede Abhängigkeit sollte einen klaren Nutzen haben und bewusst ausgewählt werden.Sicherheit ist nicht nur ein technisches Thema
Neben Software-Risiken gibt es weitere Bereiche, die Unternehmen berücksichtigen müssen.
Datenschutz
Werden personenbezogene Daten kompromittiert, können je nach Situation Verpflichtungen nach dem Schweizer Datenschutzgesetz (DSG) oder der europäischen Datenschutz-Grundverordnung (DSGVO) entstehen.
Mögliche Folgen:
- Analyse des Vorfalls
- Bewertung betroffener Daten
- Information betroffener Personen
- rechtliche und finanzielle Konsequenzen
Dabei geht es nicht nur um mögliche Bussen.
Der Aufwand für Untersuchung, Kommunikation und Wiederherstellung kann bereits erheblich sein.
Cyber-Versicherung als zusätzlicher Schutz
Technische Massnahmen können Risiken deutlich reduzieren, aber kein System kann absolute Sicherheit garantieren.
Gerade Unternehmen, die sensible Daten verarbeiten oder auf ihre digitalen Systeme angewiesen sind, sollten deshalb auch die finanziellen Folgen eines Sicherheitsvorfalls betrachten.
Eine Cyber-Versicherung kann beispielsweise Kosten im Zusammenhang mit der Analyse eines Vorfalls, der Wiederherstellung von Systemen oder rechtlicher Unterstützung abdecken.
Sie ersetzt keine gute technische Grundlage – kann aber ein sinnvoller Bestandteil eines umfassenden Risikomanagements sein.
Was Unternehmen konkret tun können
Einige Massnahmen bieten bereits einen grossen Nutzen:
- nur notwendige Plugins und Libraries einsetzen
- Komponenten mit aktivem Support bevorzugen
- Sicherheitsupdates nicht unnötig aufschieben
- regelmässige Backups erstellen und Wiederherstellung testen
- Sicherheitsüberwachung einsetzen
Für WordPress empfehlen wir beispielsweise aus unserer Erfahrung Wordfence als zuverlässige Lösung für Sicherheitsüberwachung und Schutz vor automatisierten Angriffen.
Fazit
Die Sicherheit einer Website hängt nicht davon ab, wie neu sie ist oder wie viele moderne Technologien eingesetzt werden.
Entscheidend ist, ob die Architektur bewusst geplant wurde, Abhängigkeiten kontrolliert eingesetzt werden und die technische Basis langfristig nachvollziehbar bleibt.
