Wie Website-Pflichtencheck Sicherheitsprozesse sichtbar macht
Viele Website-Risiken entstehen nicht durch spektakuläre Hacks, sondern durch undokumentierte Plugins, fehlende Update-Routinen und unklare Verantwortung. So schafft Website-Pflichtencheck technische Klarheit.
Der Cyber Resilience Act rückt Sicherheitsprozesse für Software-Produkte in den Fokus. Aber viele Risiken im Web entstehen gar nicht durch dramatische Hacks oder gezielte Angriffe. Sie wachsen langsam: ein Plugin, das seit achtzehn Monaten nicht aktualisiert wurde. Ein Tracking-Script, das vor dem Consent-Banner lädt. Ein Hosting-Account, bei dem niemand weiß, wer eigentlich den Zugang hat.
Website-Pflichtencheck verfolgt einen anderen Ansatz als klassische Security-Audits. Ziel ist nicht die Zertifizierung, sondern die Sichtbarmachung: Was läuft technisch auf der Website, welche Risiken sind daraus ablesbar, und was sollte als Nächstes passieren?
Warum die meisten Website-Risiken langweilig sind — und das gefährlich macht
Typische Auffälligkeiten, die bei einer Prüfung sichtbar werden:
- Undokumentierte Plugins und Themes: Besonders bei WordPress sind oft zehn bis fünfzig Erweiterungen aktiv. Ein Teil davon wird nicht mehr gepflegt. Ein Teil davon war schon vor zwei Jahren überflüssig.
- Fehlende Update-Routinen: Kein Rhythmus, kein Verantwortlicher, kein Testprozess. Updates werden aufgeschoben, bis etwas kaputtgeht — oder gar nicht erst wahrgenommen.
- Unklare Verantwortlichkeiten: Wer kümmert sich um Backups? Wer prüft, ob Formulare noch funktionieren? Wer bemerkt, wenn ein externes Script plötzlich auf einer anderen Domain lädt?
- Drift bei Tracking und Cookies: Der Consent-Banner ist vorhanden, aber technisch laden Drittanbieter-Scripts vor der Zustimmung. Das ist kein rein rechtliches Problem — es ist ein technisches Sichtbarkeitsproblem.
- Vergessene Dependencies: Externe Schriftarten, eingebundene Karten, Video-Player, Analytics, Chat-Widgets. Jedes davon ist ein Verbindungspunkt, der geprüft gehört.
- Schwache Hosting-Grundkonfiguration: Fehlende Security-Header, veraltete TLS-Versionen, offene Verzeichnisindizierung, unsichere Upload-Pfade — oft in Minuten prüfbar, monatelang übersehen.
Diese Risiken sind nicht spektakulär. Deshalb werden sie oft ignoriert. Bis etwas passiert.
Was Website-Pflichtencheck technisch prüft
Der Fokus liegt auf der technischen Risikolandkarte einer Website. Nicht auf der Bewertung einzelner Rechtstexte, nicht auf einer Zertifizierung, nicht auf der Garantie, dass eine Website „sicher" ist.
Geprüft werden unter anderem:
- Inventar: CMS, Plugins, Themes, aktive Module, externe Dienste
- Hosting und DNS: Grundkonfiguration, TLS/HTTPS, Security-Header, DNS-Einträge
- Updates und Hygiene: Erkennbare veraltete Komponenten, fehlende Update-Pfade
- Formulare und Uploads: Funktionsfähigkeit, Spam-Schutz, Dateiupload-Risiken
- Tracking und Drittanbieter: Externe Scripts, Cookie-Verhalten, Consent-Technische-Implementierung
- Performance-Signale: Bildgrößen, Ladezeiten, mobile Darstellung — als Risikoindikator, nicht als Ranking-Garantie
- Zugang und Rollen: Admin-Pfade, sichtbare Authentifizierungsrisiken
- KI-Tools und Dateneingaben: Wo werden KI-Dienste eingebunden, welche Daten fließen wo hin?
Das Ergebnis ist ein priorisierter Maßnahmenkatalog: Was ist dringend, was ist mittelfristig relevant, was kann beobachtet werden.
Der Unterschied zwischen technischer Prüfung und Sicherheitszertifizierung
Website-Pflichtencheck ist kein Penetrationstest. Kein ISO-27001-Audit. Keine Rechtsberatung.
Der Unterschied liegt im Anspruch:
| Website-Pflichtencheck | Vollständiges Security-Audit | |
|---|---|---|
| Ziel | Risiken sichtbar machen | Lücken abschließend bewerten |
| Tiefe | Technische Oberfläche und Konfiguration | Infrastruktur, Code, Prozesse |
| Ergebnis | Priorisierte Handlungsempfehlungen | Detaillierter Bericht mit Nachweis |
| Dauer | Tage | Wochen bis Monate |
| Kosten | Festpreis, überschaubar | Projektpreis, deutlich höher |
| Rechtsstatus | Keine Rechtsberatung | Ggf. mit compliance-relevanter Bewertung |
Beide haben ihre Berechtigung. Website-Pflichtencheck ist der pragmatische Erstschritt für Unternehmen, die wissen wollen, wo sie stehen — ohne sofort in ein sechsmonatiges Projekt einzusteigen.
Praxisbeispiel: Was eine Prüfung typischerweise findet
Ein typisches Ergebnis könnte so aussehen:
| Fundstelle | Risiko | Empfehlung |
|---|---|---|
| Externer Font-Service erkannt | mittel | Lokal einbinden oder prüfen |
| Security-Header fehlen | mittel | Header ergänzen |
| Tracking-Signal vor Consent | hoch | Script-Reihenfolge prüfen |
| Bilder zu groß | niedrig/mittel | WebP + Lazy Loading |
| Plugin seit 18 Monaten nicht aktualisiert | mittel | Update oder Ersatz prüfen |
| Backup-Rhythmus unklar | mittel | Prozess dokumentieren |
Diese Tabelle ist kein theoretisches Beispiel. Sie spiegelt wider, was bei einer tatsächlichen Prüfung herauskommt: eine Mischung aus schnell umsetzbaren Verbesserungen und strukturellen Punkten, die jemandem im Unternehmen zugewiesen werden sollten.
Download: Website-Sicherheitscheckliste
Als praktische Ergänzung gibt es eine kostenlose Sicherheitscheckliste zum Download. Sie deckt die wichtigsten technischen Prüfpunkte ab und kann intern verwendet oder an Dienstleister übergeben werden.
Website-Sicherheitscheckliste herunterladen
Die Checkliste umfasst:
- Website-Inventar: CMS, Plugins, Themes, Formulare, Payment, Analytics, Cookie-Tools
- Hosting- und DNS-Grundlagen
- TLS/HTTPS und Security-Header
- Updates und Dependency-Hygiene
- Backups und Wiederherstellungstests
- Formulare, Uploads und Spam-Schutz
- Admin-Zugang, Rollen, MFA, Passworthygiene
- Logging, Monitoring und Incident-Kontaktpfad
- Privacy-nahe technische Prüfungen: Cookies, Tracking, Drittanbieter-Scripts
- KI-Tools und Prompt/Daten-Handling falls zutreffend
- Dokumentation: Wer ist wofür verantwortlich, wann wurde zuletzt geprüft, was hat sich geändert?
Hinweis: Diese Checkliste ist ein technisches Hilfsmittel und ersetzt keine Rechtsberatung, kein Datenschutz-Audit und keine Sicherheitszertifizierung.
Fazit
Der Cyber Resilience Act macht deutlich, dass Sicherheitsprozesse dokumentierbar und wiederholbar sein müssen. Für viele Unternehmen mit Websites ist der erste Schritt nicht ein millionenschweres Compliance-Projekt, sondern die schlichte Frage: Was läuft auf unserer Website, und wer kümmert sich darum?
Website-Pflichtencheck beantwortet diese Frage technisch, pragmatisch und ohne Panikmache. Das Ziel ist Klarheit. Nicht mehr, aber auch nicht weniger.
Hinweis: Dieser Beitrag ist eine technische Einordnung und keine Rechtsberatung.