Alarm im Kontrollraum

Unsere Website wurde gehackt – was soll ich tun?

Auf einen Hacker-Angriff sind viele Website-Besitzer nicht vorbereitet. Das ist fatal, denn solche Angriffe sind häufiger, als man denkt. Und sie treffen keineswegs nur Konzerne, Regierungen und Prominente, sondern auch KMU, Vereine und Selbständige, die ihre Websites meist deutlich schlechter schützen. Ist eine Website einmal gehackt worden, ist es entscheidend, dass man schnell und richtig handelt. Dieser Artikel beschreibt, wie Sie im Ernstfall vorgehen müssen, um den Schaden zu begrenzen.

Die erste Herausforderung bei einem Hacker-Angriff besteht darin, ihn überhaupt zu erkennen. Denn in der Regel wollen Hacker eine Website nicht lahmlegen oder sichtbar beschädigen, sondern für ihre eigenen Zwecke missbrauchen. Das wiederum können sie nur so lange, wie sie unentdeckt bleiben.

Oft gibt es deshalb nur indirekte Hinweise auf einen Hack. Vielleicht belegt Ihre Website plötzlich deutlich mehr Speicherplatz, oder Sie sehen seltsame Zugriffe in Ihrer Website-Statistik. Vielleicht gibt es auch Benachrichtigungen von Ihrem Hoster, von Google, von einem Software-Entwickler oder einem Sicherheits-Dienstleister, dass Ihre Website möglicherweise gehackt wurde. Gehen Sie solchen Hinweisen unbedingt nach, denn die gefährlichsten Hacks sind jene, die lange nicht erkannt werden.

Wenn weniger talentierte Hacker am Werk sind, können Hacks aber auch sehr offensichtlich sein. Wenn Sie beispielsweise ein Administratoren-Login mit einer russischen E-Mail-Adresse entdecken, das Sie nicht selbst angelegt haben, dann ist der Fall ziemlich klar. Und falls die Hacker die Website in einer Art und Weise manipulieren, dass sie nicht mehr korrekt funktioniert, dann kommt man ihnen ebenfalls schnell auf die Schliche.

Schritt 1: Spuren sichern

Wenn Sie Grund zur Annahme haben, dass Ihre Website gehackt wurde, dann sollten Sie als erstes Spuren sichern. Suchen Sie in Dateien und Datenbanken nach Dingen, die nicht so sind, wie sie sein sollten, und dokumentieren Sie diese.

Solche Informationen helfen Ihnen zu verstehen, wie die Hacker überhaupt Zugriff auf Ihre Website erhalten haben. Zudem geben sie Hinweise darauf, welche Teile der Website verändert wurden und welche Absichten die Hacker damit verfolgen.

Es ist gut möglich, dass Sie mit diesen Informationen selbst wenig anfangen können. Dokumentieren Sie sie trotzdem. Denn falls Sie bei der Wiederherstellung Ihrer Website scheitern und eine Spezialisten beiziehen müssen, sind solche Informationen vielleicht von entscheidender Bedeutung.

Wichtig ist, dass Sie in diesem Schritt noch rein gar nichts verändern, sondern wirklich nur dokumentieren.

Schritt 2: Kopie erstellen

Als nächstes sollten Sie ein Backup Ihrer Website anlegen. Das mag im ersten Moment nicht einleuchten, denn eine gehackte Website ist letztlich wertlos – wozu also sollte man sie sichern?

Erstens haben Sie vielleicht in Schritt 1 nicht alle Spuren des Hacks gefunden. Falls Sie im weiteren Verlauf plötzlich wissen müssen, ob die Datei X oder die Datenbank-Tabelle Y manipuliert wurde, dann sind Sie froh, auf den Ursprungszustand zurückgreifen zu können.

Zweitens brauchen Sie vielleicht mehr als einen Versuch, um Ihre Website nach einem Hack wiederherzustellen. Das Backup gibt Ihnen die Sicherheit, notfalls nochmals von vorne beginnen zu können, wenn etwas schiefläuft.

Drittens haben Sie wahrscheinlich auch nach dem Hack noch neue Inhalte publiziert oder (wenn Sie einen Shop betreiben) Bestellungen erhalten. Durch das Backup sichern Sie diese Daten und können damit später die Website restaurieren.

Schritt 3: Website abschotten

Im nächsten Schritt geht es darum, die Hacker auszusperren, damit sie keinen weiteren Schaden anrichten können. Dies bedeutet, dass man alle Logins mit neuen (sicheren!) Passwörtern versieht oder deaktiviert (vgl. Benutzer löschen – Rolle ändern – Login sperren: 3 Methoden, um einen WordPress-Benutzer zu deaktivieren). Damit sind nicht nur diejenigen Logins gemeint, welche den Zugang zum Website-Backend ermöglichen, sondern auch das Login für das Control Panel Ihres Hosting Providers, FTP-Zugänge und API-Verknüpfungen mit anderen Diensten. Zudem wäre dies ein guter Moment, um 2-Faktor-Authentifizierungen zu installieren.

Ob dies ausreicht, hängt ganz davon ab, wie sich die Hacker Zugriff verschafft haben. Falls sie normale Logins benutzt haben, dürften die obigen Massnahmen bereits ziemlich wirksam sein. Falls sie hingegen eine Schwachstelle im Code ausnutzen oder sich eine Backdoor eingerichtet haben, könnten Sie weiterhin ungebetenen Besuch auf Ihrer Website haben.

Bis die Rettungsarbeiten abgeschlossen sind, sollten Sie deshalb jegliche Zugriffe auf Ihre Domain komplett unterbinden, indem Sie Ihren Webserver geeignet konfigurieren.

Schritt 4: Website aus Backup restaurieren

Die beste Methode, eine Website nach einem Hacker-Angriff wiederherzustellen, ist das Einspielen eines Backups. Allerdings funktioniert diese Methode nur dann, wenn man weiss, wann der Hacker-Angriff stattgefunden hat. Denn wenn Sie ein Backup einspielen, das bereits kontaminiert ist, haben Sie nichts gewonnen.

Wie aber kann man das Datum des Angriffs rekonstruieren? Oft liefert die Spurensicherung in Schritt 1 wertvolle Hinweise: Achten Sie beispielsweise auf das Datum, an dem zentrale Konfigurationsdateien letztmals angepasst, Ihnen unbekannte Dateien angelegt oder verdächtige Logins eingerichtet wurden. Konsultieren Sie alle verfügbaren Logs, in denen Sie z.B. Logins oder Programmfehler aufzeichnen. Werfen Sie einen Blick in die Google Search Console, insbesondere in die Berichte «Seitenindexierung» und «Sicherheitsprobleme». Und besuchen Sie die Websites von Software-Komponenten, die Sie für Ihre Website verwenden, um zu erfahren, ob kürzlich eine Sicherheitslücken bekanntgeworden ist.

Auch wenn Sie ein sauberes Backup besitzen und dieses erfolgreich zurückspielen können: Ganz aus dem Schneider sind sie damit noch nicht. Denn das Sicherheitsproblem, das die Hacker ausgenutzt haben, besteht höchst wahrscheinlich bereits in dieser früheren Version Ihrer Website.

Schritt 5: Sicherheitsprobleme beheben

Bevor Sie nun also den Zugriff auf Ihre Website wieder freischalten, sollten Sie alle gängigen Massnahmen ergreifen, um Ihre Website abzusichern. Insbesondere sollten Sie alle Passwörter erneuern und alle verfügbaren Software-Updates installieren. Auch ein Mechanismus gegen Brute-Force-Angriffe und ein SSL-Zertifikat, das Website-Zugriffe über HTTPS verschlüsselt, sind zwingend notwendig.

Website-Sicherheit hat allerdings noch viele weitere Aspekte und braucht ein gutes technisches Verständnis. Gerade wenn Sie schon einmal einen Hacker-Angriff erlebt haben, würde es sich anbieten, hierfür eine Fachperson beizuziehen.

Worst Case: Kontaminierte Website säubern

Falls Sie kein sauberes Backup zur Verfügung haben, dann haben Sie eigentlich nur noch zwei Optionen, die beide ziemlich aufwändig sind: Entweder bauen Sie Ihre Website komplett neu – oder Sie versuchen, die Manipulationen der Hacker in den Dateien und in der Datenbank rückgängig zu machen. Letzteres ist höchst anspruchsvoll und ein Fall für einen Spezialisten. Zudem bleibt immer ein gewisses Restrisiko, dass man nicht alle Manipulationen findet.

Datenschutz beachten

Wird eine Website gehackt, dann hat dies unter Umständen auch datenschutzrechtliche Konsequenzen. Sofern auf der Website Personendaten gespeichert werden, dann haben durch den Hack Unbefugte Zugriff auf diese Personendaten erhalten. Unter Umständen müssen Sie dann die betroffenen Personen und/oder eine Behörde informieren. Dies gilt insbesondere dann, wenn Sie besonders schützenswerte Personendaten verarbeiten, welche etwa Gesundheit, Finanzen, Religion und ähnliche Themen betreffen.