Webseite gehackt - was tun?

Leider kommt es immer wieder vor, dass Webseiten von Hackern eingenommen werden. Häufig werden durch Viren FTP-Passwörter geklaut, aber auch Sicherheitslöcher in CMS-System bieten Hackern gute Angriffsmöglichkeiten.

Auch wenn Sie keine Kundendaten auf der Webseite haben, ist diese gehackte Webseite eine potentielle Gefahr für jeden im Internet, aber auch für den Webseitenbetreiber! Hacker können Schadsoftware oder Phishingseiten auf dem Webserver platzieren, läuft ein Shop mit auf den Seiten, steht der Webseitenbetreiber ggf. im Haftungsrisiko wegen der persönlichen Daten, die es per Gesetz zu schützen gilt. Wurden hier die Daten nicht ausreichend geschützt, können sich Haftungsansprüche an den Betreiber richten, die neben zivilen, auch strafrechtliche Verfahren mit sich bringen.

Wurde Ihre Webseite gehakt, sollten Sie wie folgt vorgehen:

1. Webseite umgehend deaktivieren!

Deaktivieren Sie die Seite so schnell wie möglich, nachdem Sie Kenntnis von dem Hack haben, um weitere Schäden auch bei Dritten zu vermeiden. Die oberste Pflicht ist, weiteren Schaden umgehend zu vermeiden! ABER, löschen Sie die Seiten nicht um ggf. Beweise zu sichern und auch das Sicherheitsloch ausfindig zu machen und zu beheben!

2. Den Webhoster umgehend davon informieren

Als Hoster müssen wir davon Kenntnis erlangen, wenn einzelne Seiten durch Hacker angegriffen und übernommen wurde. Wir können Ihnen hier ggf. entsprechende Logfiles sichern und gleichzeitig helfen, weiteren Schaden durch Ihre Webseite zu verhindern. Nutzen Sie dafür unbedingt unser Supportformular! Durch die Information entstehen Ihnen keine Kosten, es ist aber für uns eine wichtige Information, für die wir intern geeignete Maßnahmen vorgesehen haben.

3. Alle Passwörter ändern

Um auszuschliessen, dass die Seiten direkt nach dem Hochladen einer sauberen Version wieder überschrieben werden, müssen alle Passwörter geändert werden. Dazu gehören FTP-Passworter, CMS-Passwörter, HTACCESS-Passwörter wie auch Datenbank-Logindaten.

4. Analyse des Hacks und die Lücke finden und ggf. absichern

• Ist die Seite deaktiviert und der Hoster informiert, muss untersucht werden, wie die Hacker es geschafft haben, die Seite zu hacken. Dazu kann man folgende Punkte prüfen:
• Welche Dateien wurden zuletzt verändert (Datum des Zeitstempels)- Prüfen der Serverlogs auf verdächtige Einträge, ggf. auch falsche Passwörter usw.
• Den eigenen PC auf Trojaner untersuchen, nicht selten werden Passwörter von gehackten PCs ausgelesen und damit Dateien auf den Server geladen
• Bei CMS Systemen prüfen, ob die installierte Version eventuell bekannte Sicherheitslöcher hat
• Scan aller Daten mit einem Virenscanner

Sicher erfordert diese Untersuchung einiges an KnowHow und auch eine gewisse Erfahrung. Gerne können wir Sie auf Wunsch hierbei unterstützen. Sprechen Sie uns einfach an

5. Webseite aus Backup wieder online stellen und gefundene Lücken schliessen

Die gehackte Seite sollte keinesfalls wieder verwendet werden. Es ist schlicht unmöglich, alle Dateien zu untersuchen, ob diese von den Hackern verändert wurden und in welchen Unterverzeichnissen die Hacker noch Dateien abgelegt haben. Daher muss die gehackte Seite gelöscht werden (Dateien können zur weiteren Untersuchung oder auch für Ermittlungszwecke lokal archiviert werden). Dann muss aus dem Backup die letzte, saubere Version der Seite wieder online gestellt werden. Wichtig hierbei ist, dass mögliche Löcher vorher unbedingt geschlossen werden, sei es durch zusätzlichen Schutz oder ein Update des CMS-Systems.

Bitte melden Sie sich sofort, wenn Sie feststellen sollten, dass mit Ihrer Webseite etwas nicht stimmt! Wir können Ihnen gerne dabei helfen, die obigen Schritte durchzuführen. Unser Backupsystem bietet die Möglichkeit, auch Sicherungen älteren Datums für die Wiederherstellung zur Verfügung zu stellen.

Wurde Ihre Seite auch gehackt?

Dann nutzen Sie unser Kontaktformular:

HILFE: MEINE WEBSEITE WURDE GEHACKT!