Erst denken, dann löschen
Wenn auf der eigenen Website plötzlich fremde Inhalte stehen, Suchmaschinen-Warnungen erscheinen, Spam-Mails von der Firmen-Domain ausgehen oder Kunden auf fremde Seiten weitergeleitet werden, ist die erste Reaktion meist: schnell „aufräumen".
Das ist meistens falsch. Eine kompromittierte Website ist gleichzeitig ein Sicherheits- und ein Beweisthema. Wer sofort alles überschreibt, verliert die Information, die für die Bereinigung und für den Schutz vor Wiederholung nötig wäre.
Sofort-Reihenfolge
- Site offline nehmen (Maintenance-Modus oder 503), nicht löschen
- Logs sichern, Webserver-Logs, FTP-Logs, Datenbank-Logs, idealerweise als Kopie ausserhalb des kompromittierten Servers
- Snapshot anfertigen, Filesystem und Datenbank, datiert und vor jeder Bereinigung
- Zugänge sperren, alle WordPress-Admins, FTP/SSH, Hosting-Account, Datenbankzugänge
- Passwörter neu, Hosting-Account, WordPress, FTP, Datenbank, Mail (wenn beim Webhost)
- DNS prüfen, keine fremden Records, keine fremden MX/TXT-Einträge
- Anfrage an Hoster, Indikatoren teilen, ggf. Server-Schutz aktivieren
- Erst danach bereinigen
Forensik-Mindestmass
Auch ohne forensisches Spezialteam lohnt sich ein Minimum:
- Wann begann der Zugriff? (Logs)
- Welche Dateien wurden geändert oder neu angelegt?
- Welche Plugins/Themes waren veraltet oder unbekannt?
- Gibt es Hintertüren (Webshells)?
- Welche Datenbank-Inhalte wurden manipuliert?
Diese Information bestimmt, ob eine Bereinigung reicht oder ob ein Neuaufbau aus sauberer Quelle nötig ist.
Bereinigung vs. Neuaufbau
| Situation | Empfehlung |
|---|---|
| Bekannter Eintrittspunkt, klarer Umfang | Bereinigung mit Plugin-Audit |
| Unklarer Eintrittspunkt, mehrere Webshells | Neuaufbau aus sauberer Quelle |
| Datenbank kompromittiert | Wiederherstellung aus geprüftem Backup |
| Hosting kompromittiert | Hosting-Wechsel oder vollständiger Reset |
Faustregel: Im Zweifel neu bauen. Es ist meistens schneller und sicherer.
Was oft falsch läuft
Direkt löschen. Beweise weg, Eintrittspunkt unbekannt, Wiederholung wahrscheinlich.
Backup einspielen ohne Prüfung. Wenn die Hintertür schon im Backup ist, wird sie mit eingespielt.
Nur die sichtbaren Defacements entfernen. Webshells und Datenbank-Einträge bleiben.
Keine Kunden-Kommunikation. Wenn Kundendaten betroffen sein könnten, gibt es Meldepflichten.
Beispiel aus dem KMU-Alltag
Eine Vereinswebsite wird kompromittiert: Spam-Inhalte auf 14 Unterseiten. Erste Reaktion: Plugin deaktivieren, Inhalte löschen. Drei Wochen später: Spam wieder da. Ursache: Eine Webshell in einem Theme-File, die beim ersten Bereinigen nicht entdeckt wurde. Hätte ein Snapshot mit Diff vorab existiert, wäre die Webshell sofort sichtbar gewesen.
Wann wir helfen
Wir übernehmen Notfall-Bereinigung mit Logsicherung, Forensik-Mindestmass und sauberem Wiederaufbau, und prüfen anschliessend, was die Wiederholung verhindert. Teil von Web & Commerce und Hosting & Infrastruktur. Siehe auch Cyberversicherung, IT-Nachweise und das Szenario Online-Shop nach Ransomware-Hit.
Häufige Fragen
Müssen wir Behörden informieren? Bei Verdacht auf Datenabfluss von Personendaten: möglicherweise ja (revDSG). Im Zweifel rechtlich klären.
Kann ich die Site einfach aus Backup zurückspielen? Nur wenn das Backup nachweislich vor dem Eintritt liegt, und wenn die Eintrittsursache behoben ist.
Brauche ich Forensik? Ein Minimum (Logs, Snapshots) immer. Volle Forensik nur bei grösserem Schaden oder rechtlicher Relevanz.
Wie verhindere ich die Wiederholung? Plugin-Audit, Updates, Backup-Strategie, getrenntes Hosting für kritische Sites.
Wie schnell sollte reagiert werden? Sofort. Stunden zählen, sowohl für SEO als auch für weitere Ausbreitung.