Hosting

Hosting-Sicherheit & Backup-Strategien: Der Complete Guide

Eine gehackte Website oder ein Datenverlust ohne funktionierendes Backup sind die Alpträume jedes Website-Betreibers. Dieser Guide erklärt die wichtigsten Sicherheits- und Backup-Maßnahmen — von SSL/TLS über Firewall-Konfiguration bis zur 3-2-1-Backup-Strategie.

2. Mai 2026 9 Min. Lesezeit Hosting

Die Grundlagen der Hosting-Sicherheit

Webhosting-Sicherheit ist kein optionales Add-on — sie ist ein integraler Bestandteil des Website-Betriebs. Die Bedrohungslandschaft im Internet ist vielfältig: automatisierte Angriffsscanner, die jede neue Website innerhalb von Minuten nach Schwachstellen durchsuchen; Ransomware-Gruppen, die gezielt Webserver kompromittieren; DDoS-Angriffe, die kleine Websites vom Netz nehmen können.

Die wichtigsten Angriffsvektoren für gehostete Websites:

  • Ungepatchte Software: Veraltete WordPress-Versionen, Plugins und Themes mit bekannten Sicherheitslücken sind das häufigste Einfallstor.
  • Schwache Zugangsdaten: Einfache Admin-Passwörter, Standard-Logins und unverschlüsselte FTP-Zugänge.
  • SQL-Injection: Ungefilterte Benutzereingaben in Datenbankabfragen ermöglichen das Einschleusen von SQL-Code.
  • XSS (Cross-Site Scripting): Einschleusen von JavaScript-Code über ungefilterte Eingabefelder.
  • Ungesicherte Dateiuploads: Hochgeladene Dateien, die Schadcode enthalten können.
  • Social Engineering: Phishing-E-Mails, die Zugangsdaten abfischen — besonders gefährlich für kleine Unternehmen ohne dedizierten IT-Support.
Hosting-Anbieter sind nicht für alles verantwortlich

Ein weit verbreiteter Irrtum: Viele denken, der Hosting-Anbieter kümmere sich um alle Sicherheitsaspekte. In Wahrheit ist die Sicherheitsverantwortung geteilt: Der Anbieter sichert die Server-Infrastruktur (physische Sicherheit, Netzwerk, Hypervisor), du bist für die Anwendungssicherheit verantwortlich (Updates, Plugins, Passwörter, Backups).

SSL/TLS: HTTPS als Standard durchsetzen

SSL/TLS (Transport Layer Security) verschlüsselt die Verbindung zwischen dem Besucher-Browser und dem Webserver. HTTPS ist seit 2014 ein offizieller Google-Rankingfaktor — aber der wichtigere Punkt ist der Schutz der Nutzerdaten:Ohne HTTPS können Dritte — auch im selben WLAN — den Datenverkehr mitlesen, Cookies abfangen und manipulierte Inhalte einschleusen.

Ein kostenloses Let's Encrypt-Zertifikat ist heute Standard — praktisch jeder Hosting-Anbieter bietet es automatisch an. Für die meisten Websites ist ein einfaches DV-Zertifikat (Domain Validated) ausreichend. Für E-Commerce, Kundenportale oder Seiten mit Login-Daten lohnt sich ein OV- (Organization Validated) oder EV-Zertifikat (Extended Validation), das den Unternehmenstatus bestätigt.

Zertifikatstyp Validierung Geeignet für Kosten
Let's Encrypt (DV) Domain-Prüfung per E-Mail/DNS Blogs, Portfolios, einfache Websites Kostenlos
DV (kommerziell) Domain-Prüfung Websites mit mehreren Domains/Subdomains 10–100 €/Jahr
OV (Organization) Domain + Unternehmens-Prüfung Business-Websites, E-Commerce 100–300 €/Jahr
EV (Extended) Strenge Unternehmensprüfung inkl. Telefonvalidierung Banken, große E-Commerce-Plattformen 300–1.000 €/Jahr

Neben dem Zertifikat selbst solltest du auf HTTPS-Erzwingung achten: Ein 301-Redirect von HTTP auf HTTPS stellt sicher, dass keine unverschlüsselte Verbindung möglich ist. In der Apache-Konfiguration (.htaccess) oder Nginx-Konfiguration ist das mit wenigen Zeilen Realisierung.

Web Application Firewall (WAF)

Eine Firewall auf Netzwerkebene (Network Firewall) schützt den Server — eine Web Application Firewall schützt die Website-Anwendung. Der Unterschied: Während eine Network Firewall Ports und IP-Adressen filtert, analysiert eine WAF den HTTP-Traffic auf Angriffsmuster.

Typische Angriffe, die eine WAF abwehrt:

  • SQL Injection: Erkennung von SQL-Schlüsselwörtern in URL-Parametern
  • XSS (Cross-Site Scripting): Erkennung von JavaScript-Code in Eingabefeldern
  • Remote File Inclusion (RFI): Blockiert Aufrufe externer Dateien über URL-Parameter
  • Brute-Force-Angriffe: Rate-Limiting auf Login-Seiten
  • CMS-spezifische Angriffe: Bekannte Exploits für WordPress, Joomla, Drupal

WAF-Optionen im Vergleich

Cloudflare WAF: Kostenlos im Free-Tier enthalten, blockiert die häufigsten Angriffe automatisch. Für normale Websites der beste Einstiegspunkt.

AWS WAF: Teil von AWS — flexibel konfigurierbar, aber mit steeper Lernkurve. Gut für bereits in AWS gehostete Websites.

Sucuri / Wordfence: Speziell für WordPress — Wordfence ist ein Plugin mit eingebauter WAF-Funktionalität. Ideal für WordPress-Nutzer ohne Cloudflare.

Cloudflare als erster Schritt zur WAF

Cloudflare bietet im kostenlosen Tier bereits einen soliden Basis-Schutz: DDoS-Abwehr, automatische IP-Blockierung bei verdächtigem Verhalten und ein grundlegendes WAF-Regelwerk. Wenn du noch keine WAF nutzt, ist Cloudflare das schnellste und günstigste Upgrade — in 5 Minuten eingerichtet.

DDoS-Schutz: Verteilte Angriffe abwehren

Ein Distributed-Denial-of-Service-Angriff (DDoS) überflutet deinen Server mit so viel Traffic, dass legitime Besucher nicht mehr zugreifen können. Anders als bei einem gezielten Hackerangriff geht es bei DDoS nur um die Zerstörung der Erreichbarkeit — nicht um Datenklau.

Die meisten DDoS-Angriffe sind heute automatisiert und relativ geringer Intensität — jeder Hosting-Anbieter mit einem Mindestmaß an Infrastruktur kann diese Angriffe ohne manuelle Intervention abwehren. Das Problem sind volumetrische Angriffe: Wenn ein Angreifer Hunderte von Servern gleichzeitig auf deine Domain hetzt, können auch gut geschützte Server überlastet werden.

Angriffstyp Charakteristik Schutzmaßnahme
Volumetrisch (UDP/ICMP Flood) Massiver Traffic, Dutzende Gbit/s Cloudflare, Akamai, AWS Shield
Application Layer (HTTP Flood) Legitim aussehende HTTP-Requests, schwer zu erkennen WAF mit Rate-Limiting, CAPTCHA-Challenges
Slowloris Minimaler Traffic, hält Verbindungen offen bis Timeout Webserver-Konfiguration (Timeouts senken), Load Balancer
Credential Stuffing Gestohlene Login-Daten werden automatisiert durchprobiert Rate-Limiting auf Login-Seiten, 2FA, CAPTCHA

Die 3-2-1-Backup-Strategie

Backups sind der letzte Schutzwall gegen Datenverlust — sei es durch Hackerangriffe, Hardware-Ausfälle, Fehler bei Updates oder versehentliches Löschen. Die bewährte 3-2-1-Regel bietet maximale Absicherung:

  • 3 Kopien: Drei vollständige Kopien deiner Daten — die Arbeitsdaten, das lokale Backup und das Offsite-Backup.
  • 2 verschiedene Medien: Speichere Backups auf mindestens zwei unterschiedlichen Medien (z.B. lokaler Server + Cloud-Speicher).
  • 1 Kopie Offsite: Mindestens eine Sicherungskopie muss an einem physisch getrennten Standort liegen — idealerweise in einer anderen Region oder Cloud.

Was gehört ins Backup?

  • Datenbanken: WordPress-Datenbank (Posts, Kommentare, Einstellungen), E-Mail-Daten, User-Tabellen
  • Dateien: Uploads (/wp-content/uploads bei WordPress), Themes, Plugins, Konfigurationsdateien
  • Konfigurationen: DNS-Einstellungen, SSL-Zertifikate, Cron-Jobs, .htaccess, nginx-Konfiguration
  • E-Mails: Falls du E-Mail-Hosting beim Anbieter nutzt — diese Daten sind oft in keinem Hosting-Backup enthalten

Backup-Frequenz

Daten-Typ Backup-Frequenz Empfehlung
Datenbank (dynamische Inhalte) Mindestens täglich, idealerweise stündlich Automatisiert
Dateien (Uploads, Themes) Wöchentlich + nach größeren Änderungen Automatisiert
Konfigurationsdateien Bei jeder Änderung Manuell mit Versionskontrolle
Vollständiges Server-Backup Monatlich (oder vor größeren Updates) Manuell oder Snapshot
Backups, die man nie getestet hat, sind keine Backups

Der häufigste Fehler bei Backups: Sie werden regelmäßig erstellt, aber nie getestet. EineRestore-Strategie zu haben, die noch nie ausprobiert wurde, ist riskant. Teste mindestens einmal pro Quartal einen vollständigen Restore in einer Testumgebung.

Disaster Recovery: So planst du den Notfall

Ein Disaster-Recovery-Plan (DRP) ist ein schriftliches Dokument, das festlegt, was im worst case passiert — und wie du die Website so schnell wie möglich wiederherstellst. Er ist das Bindeglied zwischen Backup-Strategie und tatsächlicher Wiederherstellung.

Ein guter DRP enthält:

  • RTO (Recovery Time Objective): Wie schnell muss die Website wieder online sein? Bei einem E-Commerce-Shop: Stunden. Bei einem Blog: 1–2 Tage.
  • RPO (Recovery Point Objective): Wie viel Datenverlust ist akzeptabel? Maximale Zeit seit dem letzten Backup.
  • Notfallkontakte: Wer wird informiert? Hosting-Support, Entwickler, Datenschutzbeauftragter?
  • Wiederherstellungsschritte: Schritt-für-Schritt-Anleitung für den worst case — von wo Backup holen, wie einspielen, wie verifizieren.
  • Communication Plan: Was sagen wir Kunden/Besuchern während des Ausfalls?

Recovery-Test durchführen

Mindestens einmal pro Quartal: Spiele ein Backup auf einem Testserver oder einer lokalen Umgebung ein. Prüfe, ob alle Daten vollständig sind, ob die Website korrekt lädt und ob E-Mail-Funktionalität erhalten ist. Dokumentiere die Ergebnisse — wenn beim Test etwas schieflief, ist jetzt der Zeitpunkt, es zu beheben, nicht im Ernstfall.

So wählst du einen sicheren Hosting-Anbieter

Die Sicherheit deiner Website beginnt bei der Wahl des Hosting-Anbieters. Nicht jeder Anbieter bietet das gleiche Sicherheitsniveau:

  • Automatische Updates: Bietet der Anbieter automatische Betriebssystem- und PHP-Updates? Das reduziert das Risiko von已知-Schwachstellen erheblich.
  • Backups im Preis: Erstellt der Anbieter automatisch tägliche Backups? Was kostet ein Restore?
  • DDoS-Schutz: Ist ein grundlegender DDoS-Schutz inkludiert oder muss er extra bezahlt werden?
  • SSH-Zugang: Kannst du dich per SSH mit Schlüssel-Authentifizierung verbinden? Das ist sicherer als Passwort-Auth.
  • 2FA für Kundenpanel: Bietet der Anbieter Zwei-Faktor-Authentifizierung für den Login ins Kundenpanel?
  • Uptime-Garantie: Welche Uptime verspricht der Anbieter? 99,5% klingt viel — bedeutet aber fast 44 Stunden Ausfallzeit pro Jahr.
  • Standort der Server: Für deutsche Unternehmen und DSGVO-Pflicht: Serverstandort sollte in Deutschland oder der EU sein.
Managed Hosting vs. VPS: Was ist sicherer?

Ein Managed Hosting (z.B. Kinsta, Gridpane) bietet den höchsten Sicherheitskomfort: Der Anbieter kümmert sich um Updates, Backups, Firewall und Monitoring. Ein VPS (z.B. bei Hetzner, DigitalOcean) gibt dir mehr Kontrolle — aber du trägst die Verantwortung für alle Sicherheitsmaßnahmen selbst. Für geschäftskritische Websites lohnt sich Managed Hosting fast immer.

Fazit

Hosting-Sicherheit ist kein Projekt mit Enddatum — es ist ein laufender Prozess. Die Grundmaßnahmen sind schnell umgesetzt: HTTPS aktivieren (kostenlos mit Let's Encrypt), Cloudflare als WAF+DDoS-Schutz vorschalten, automatische Backups einrichten, 2FA aktivieren. Diese vier Maßnahmen decken 80% der häufigsten Angriffsvektoren ab.

Die 3-2-1-Backup-Strategie und ein schriftlicher Disaster-Recovery-Plan sind die Rückversicherung für den Ernstfall. Ohne getestete Backups und einen Plan, wie du sie einspielst, sind die schönsten Sicherheitsmaßnahmen wertlos — Hackerangriffe und Datenverlust passieren nicht planmäßig.

Wenn du auf der Suche nach einem Hosting-Anbieter bist, der diese Sicherheitsstandards erfüllt, hilft dir unser Anbieter-Vergleich bei der Orientierung. Und für den Fall, dass du eine Domain umziehen musst, weil dein Anbieter die Sicherheitsversprechen nicht hält, zeigt dir die Domain-Suche die verfügbaren Alternativen.

Mehr zum Thema lesen

Hosting vergleichen und sicher starten

Vergleiche die besten Hosting-Anbieter in Deutschland — mit allen Sicherheitsfeatures im Überblick.

Hosting vergleichen Domain suchen →