Ein Hack trifft einen meist unvorbereitet. Eben lief die Seite noch, jetzt landen Besucher auf einer dubiosen Fremdseite, Google zeigt eine rote Warnung, oder der Hoster droht, den Account zu sperren, weil von dort aus Spam verschickt wird. Das ist nicht nur ärgerlich, es kostet Vertrauen, Sichtbarkeit und im Zweifel Umsatz.
Wichtig zu wissen: Die meisten Hacks sind nicht persönlich gegen Sie gerichtet. Angreifer durchsuchen das Netz automatisiert nach Websites mit bekannten Schwachstellen, oft veraltete Plugins, schwache Passwörter oder ungepatchte Systeme. Wird eine Lücke gefunden, wird sie ausgenutzt, egal ob dahinter ein Konzern oder die Seite vom Sportverein steht. Das macht es nicht besser, hilft aber beim Verstehen.
Was bei einem Hack tatsächlich passiert
Je nachdem, worauf es der Angreifer abgesehen hat, sieht ein Hack ganz unterschiedlich aus. Diese Muster sehen wir am häufigsten:
Weiterleitungen auf fremde Seiten. Besucher, die Ihre Adresse eingeben, landen plötzlich bei einem Fake-Shop, einer Glücksspielseite oder dubioser Werbung. Oft passiert das nur bei Besuchern von Google oder nur auf dem Smartphone, damit Sie selbst es als Betreiber gar nicht bemerken. Das ist Absicht, denn so bleibt der Hack länger unentdeckt.
Eingeschleuste Spam-Inhalte. In Ihren Seiten tauchen plötzlich fremde Texte und Links auf, meist zu Medikamenten, Glücksspiel oder gefälschten Markenprodukten. Der Angreifer nutzt das gute Ranking Ihrer Seite, um seine eigenen Inhalte bei Google nach oben zu bringen. Für Ihre Domain ist das ranking-technisch Gift.
Schadcode-Verteilung. Ihre Seite wird missbraucht, um Besucher mit Schadsoftware zu infizieren oder Massen-Spam zu verschicken. Das ist der Moment, in dem Google die rote Warnung schaltet und der Hoster nervös wird, weil seine Server-IP auf schwarzen Listen landet.
Hintertüren (Backdoors). Das eigentlich Tückische. Selbst wenn der sichtbare Schaden behoben ist, hinterlassen Angreifer oft versteckte Zugänge, mit denen sie jederzeit zurückkommen. Wer nur den offensichtlichen Spam löscht, aber die Hintertür übersieht, ist in zwei Wochen wieder gehackt. Genau hier scheitern viele Selbstreparaturen.
Warum „offline nehmen und neu hochladen" oft nicht reicht
Der verständliche erste Impuls ist, die Seite offline zu nehmen oder ein altes Backup einzuspielen und zu hoffen, dass das Problem damit weg ist. Das greift leider zu kurz. Wenn die Sicherheitslücke, durch die der Angreifer reinkam, weiter offen ist, wird auch die wiederhergestellte Seite einfach erneut gehackt. Und wenn das Backup schon infiziert war, ohne dass es jemand gemerkt hat, holt man sich den Schadcode direkt wieder zurück.
Typische Anzeichen, dass Ihre Seite gehackt wurde
- Fremde Weiterleitungen auf Glücksspiel-, Pillen- oder Fake-Shops
- Spam-Texte oder fremde Links, die plötzlich in Ihren Seiten auftauchen
- Rote Google-Warnung „Diese Website kann Ihrem Computer schaden"
- Warn-E-Mail vom Hoster wegen Schadcode oder Massenversand von Spam
- Unbekannte Admin-Benutzer oder geänderte Passwörter
- Plötzlich extrem langsame Seite oder unerklärlich hohe Serverlast
Wie wir eine gehackte Website bereinigen
Sauberkeit bei einem Hack heißt: nicht nur aufräumen, sondern die Tür schließen. Wir gehen deshalb in mehreren Schritten vor. Zuerst sichern wir den infizierten Zustand für die Analyse und verschaffen uns einen Überblick, was genau passiert ist. Dann entfernen wir den Schadcode, also die Malware, gezielt aus Dateien und Datenbank, statt einfach alles zu löschen, damit Ihre Inhalte erhalten bleiben.
Anschließend suchen wir nach Hintertüren und versteckten Admin-Zugängen, die der Angreifer für ein Comeback hinterlassen hat. Wir schließen die eigentliche Sicherheitslücke, durch die der Hack möglich wurde, erneuern alle relevanten Passwörter und Schlüssel und härten die Installation ab. Erst dann ist die Seite wirklich sauber und nicht nur oberflächlich repariert.
Google-Warnung und Blacklist wieder loswerden
Wenn Ihre Seite bereits eine rote Warnung bei Google hat oder auf einer Blacklist gelandet ist, gehört das Aufräumen dort zur Bereinigung dazu. Nachdem die Seite nachweislich sauber ist, beantragen wir die erneute Überprüfung über die Google Search Console, damit die Warnung wieder verschwindet und Besucher Ihre Seite normal erreichen. Auch beim Hoster sorgen wir dafür, dass die Sperre aufgehoben wird, sobald keine Gefahr mehr vom Account ausgeht. Das passiert nicht über Nacht, aber mit dem richtigen Vorgehen zuverlässig.
Was Sie sofort tun sollten
Solange wir noch nicht draufgeschaut haben, hilft es, ein paar Dinge zu beachten. Ändern Sie nach Möglichkeit von einem sauberen Gerät aus die wichtigsten Passwörter, also Hosting, FTP und E-Mail. Nehmen Sie die Seite aber nicht einfach komplett vom Netz und löschen Sie nichts wahllos, denn für die Analyse brauchen wir den infizierten Zustand. Und vor allem: Spielen Sie kein altes Backup ein, bevor klar ist, ob es nicht selbst schon befallen war. Die 99 € der Notfallanalyse decken die vollständige Untersuchung ab und werden bei einer Beauftragung der Bereinigung angerechnet.
Warum ein sauberer Hack mehr ist als ein gelöschter Spam-Eintrag
Es gibt einen Grund, warum eine professionelle Bereinigung etwas kostet, während ein hektisches Selber-Löschen scheinbar gratis ist: Der eigentliche Aufwand steckt nicht im Wegräumen des Sichtbaren, sondern im Finden des Unsichtbaren. Ein Angreifer, der einmal drin war, streut seine Hintertüren gern über mehrere Dateien und sogar in die Datenbank, getarnt als harmloser Code. Eine ernstgemeinte Bereinigung durchsucht deshalb den gesamten Bestand, vergleicht Dateien mit dem Originalzustand des Systems und schließt am Ende die Lücke, durch die der Angreifer kam. Genau dieser letzte Schritt ist es, der darüber entscheidet, ob Sie in zwei Wochen wieder hier stehen oder dauerhaft Ruhe haben.