Wie ein Hackangriff auf unsere Unternehmenswebseite uns die Augen öffnete – Meine 5 Learnings und Tipps für mehr Schutz vor Cyberangriffen

Einleitung

In 2023 wurde die Webseite meines Unternehmens – www.nirgendwo-berlin.de – gehackt und eine Malware in die WordPress-Installation eingeschleust. Zunächst ist nichts weiter passiert und der Hack blieb unbemerkt. Erst ca. 4 Monate später begann dann die Malware aktiv zu werden, versendete Spam von unserer Email-Domain und erstellte neue Admin-Zugänge zu unserer Webseite und störte die Performance der ganzen Seite.

Bis wir das alles bemerkten, war es bereits zu spät: wir konnten uns nicht mehr auf der Webseite einloggen und wenige Stunden später sperrte unser Webseitenhoster die ganze Webseite. Die infizierten Webseiten-Daten wurden in einen „Quarantäne“-Ordner verschoben, die Webseite selbst war nun offline und nun standen wir alleine und ohne die notwendigen Kompetenzen mit dem Problem da.

Cyberangriffe sind längst nicht mehr nur ein Problem für große Unternehmen. Auch kleine und mittelständische Unternehmen sind betroffen. Warum? Oft fehlt es an Bewusstsein für die Gefahren, an entsprechender Kompetenz im Team beim Thema Cybersicherheit und an ausreichenden Sicherheitsmaßnahmen.

Hier teile ich unsere Geschichte, die größten Fehler, die wir gemacht haben und wie wir daraus gelernt haben.

Der Angriff: Was ist passiert?

• Chronologie des Vorfalls:
  • Ca. im März/April 2023 kam es durch veraltete Plugins & Webseiten-Software WordPress zu einer Sicherheitslücke, wodurch sich Malware in unsere Webseitendaten einschleichen konnte. Das blieb zunächst unbemerkt, da es keine Probleme gab.
  • Im Juli 2023 konnten wir uns plötzlich nicht mehr in die WordPress-Installation unserer Webseite einloggen. Die Webseite lies sich zudem nicht mehr richtig laden.
  • Der technische Support des Webhosters prüfte unsere Anfrage und stellte fest, dass unsere kompletten Webseiten-Daten von einer Malware bzw. Schadsoftware infiziert bzw. verändert worden waren und Spammails von unserer Domain verschickt wurden.
  • Aus Sicherheitsgründen wurde daher unsere komplette Webseite (alle Daten), aber auch alle anderen Webseiten im Pakte und selben Webspace offline genommen und in einen Quarantäne-Ordner verschoben.
  • Der technische Support konnte uns nicht sagen, wo und wann unser Webspace und die dort liegenden Webseiten mit der Malware infiziert wurden.
• Entstandener Schaden:
  • Mitten in unserer Hauptsaison war unser umfangreiches Kultur- und Bildungsprogramm (inkl. Ticketsystem) online nicht mehr sichtbar. Zudem konnten uns Menschen keine Anfragen mehr für die Anmietung unserer Location über unsere Formulare schicken.
  • Das dicke Ende!: da ich ein Profi-Paket mit mehreren Inklusiv-Domains beim Webhoster gebucht hatte, hatte ich weitere Domains und Worpress-Webseiten im selben Paket online liegen. Auch diese Webseiten wurden infiziert, vom Webhoster offline genommen und die Daten vom Webserver genommen.
  • Insgesamt waren 3 Webseiten – also neben unserer Webseite noch zwei weitere Projekte – betroffen und vorerst offline!

ACHTUNG: Da mehrere Webseiten in einem Webspace-Paket beim Webhoster lagen, waren direkt drei Webseiten und Projekte betroffen, obwohl sich die Malware nur in eine Webseite eingeschlichen hatte. Die Folgen waren katastrophal, da nun nicht nur eine, sondern DREI Webseiten gerettet werden mussten.

Das Problem mit den Backups – warum diese nicht funktioniert haben!

Wir nutzen ein Plugin (UpdraftPlus) in WordPress, um je nach Webseite und Situation entweder wöchentliche oder tägliche Sicherungen bzw. Backups von Webseiten zu erstellen. Daher gingen wir zunächst davon aus, dass wir alle drei Webseiten über diese Sicherungen einfach wieder herstellen können. Leider ging das nicht und zwischenzeitlich mussten wir davon ausgehen, alle drei Webseiten komplett verloren zu haben. Warum?

• Die Grundeinstellung solcher automatischen Sicherungen bzw. Backups ist meist so eingestellt, dass maximal 10 Sicherungen oder 30 Tage rückwirkend Sicherungen bzw. Backups gespeichert und ältere automatisch gelöscht werden, damit sich keine Unmengen an Daten ansammeln.
• Bei unseren Versuchen die Webseiten aus Sicherungen wieder herzustellen, stellte sich heraus, das die Malware schon länger in unseren Daten schlummerte. D.h. jedes Mal wenn wir eine ältere Sicherung der Webseiten wiederhergestellt hatten, dauerte es keine 2 Stunden, bis die Schadsoftware erneut aktiv wurde und sich in allen Daten ausbreitete.
• Da unsere Sicherungen, die ca. einen Monat zurück reichten, alle nicht funktionierten, lag unsere Hoffnung noch auf einem älteren Backup, das wir ca. 4 Monate zuvor manuell direkt im Webhosting-Paket erstellt hatten. Aber auch hier war die Installation bereits infiziert.
• Sicherungen haben nicht funktioniert, da die Malware / Schadsoftware bereits seit vielen Monaten in unserer Webseiten-Installation „inaktiv schlummerte“.
• Der Webhoster konnte technisch nicht weiter helfen und von ihm als auch aus unserem Umfeld wurde uns gesagt, das infizierte Daten nicht mehr bereinigt werden können und im Prinzip nur ein Neubau der Webseite in Frage kommt, sofern keine funktionierende Sicherung da ist.

Die Rettung – Erfolgreiche Bereinigung der Webseitendaten!

Da wir keine ältere Sicherung hatten, die noch frei von Schadsoftware war, unternahmen wir einen letzten Versuch über unser Netzwerk einen Weg zu finden, die Daten doch noch säubern und retten zu können. Ein kompletter Nachbau der Webseite wäre mit erheblichen Kosten (ca. 6.000€) und Aufwand verbunden und für uns erstmal keine Option.

In der Zwischenzeit haben wir eine Notseite eingerichtet, auf der einfach nur ein Hinweis zur Situation – also dem Hack – und unser aktuelles Programm zu finden war. Das hat und erstmal Zeit verschafft, um eine Lösung zu finden.

Über das Netzwerk fanden wir dann Pascal von https://website-bereinigung.de/. Er hat unsere Webseite innerhalb weniger Stunden und für unfassbare unter 1.000€ komplett bereinigt und in ihrer aktuellsten Version wieder online gestellt!
Nicht nur das: dafür gibt es sogar 6 Monate Garantie. Sollte also das Problem nicht vollständig beseitigt sein, wird sich darum sofort gekümmert. Wir haben Pascal direkt noch einen allgemeinen Sicherheitscheck machen lassen und unsere Webseite lief anschließend spürbar stabiler und schneller. Wir sind dankbar, das es Spezialisten wie Pascal gibt und Probleme schnell und bezahlbar behoben werden können.

5 häufige Fehler – und wie man sie vermeidet

• Fehler 1: Keine regelmäßigen und keine älteren Backups
  • Beispiel: Wir hatten zwar aktuelle Updates, allerdings waren diese schon infiziert und wir hätten ein älteres (ca. 3-6 Monate zurück liegend) Backup benötigt, um das Problem selbstständig lösen zu können und einen Neubau oder eine externe Reinigung verhindern zu können
  • Lösung: Automatische Backup-Strategien implementieren (z. B. tägliche Backups in der Cloud, die ca. 1 Monat zurück gehen, sowie regelmäßig im Quartal ein manuelles Backup aller Daten – auch Emailpostfächer – über Webhoster).
• Fehler 2: Schwache Passwörter und keine 2-Faktor-Authentifizierung
  • Beispiel: In unseren Fall konnten sich Hacker über die Schadsoftware Zugang als Admin zur Webseite verschaffen und weitere Adminzugänge anlegen. Da wir keine 2-Faktor-Authentifizierung (2FA) hatten, blieb dies zunächst noch unbemerkt.
  • Lösung: Passwörter regelmäßig ändern, 2FA aktivieren und einen Passwort-Manager nutzen. Durch den 2FA müsste es dann sofort auffallen, wenn weitere Accounts sich anmelden und Zugangsdaten geändert werden. Meine Empfehlungen zum Thema Cybersicherheit und Webseiten-Hosting findest du auf meiner Seite unter: https://www.sarahnock.de/ressourcen/
• Fehler 3: Veraltete Software – speziell Plugins von Webseiten-Systemen wie WordPress
  • Beispiel: Unser Content-Management-System WordPress bzw. bestimmte Plugins waren eine Weile nicht auf dem neuesten Stand. Dadurch entstand eine Sicherheitslücke und Schadsoftware konnte sich in unsere Webseiten-Installation einschleichen.
  • Lösung: Regelmäßige Updates und Sicherheits-Patches von Webseiten-Software (WordPress, PHP etc.) und Plugins einspielen. Vor größeren Updates unbedingt eine Sicherung machen. Manchmal kann es zu Problemen nach Updates mit bestimmten Elementen oder Funktionen der Webseite kommen. So kann ohne Daten/Content-Verlust die letzte Version schnell wiederhergestellt werden und erst das Kompatibilitätsproblem gelöst werden.
  • Tipp: es gibt inzwischen Webhosting-Anbietende, die tägliche Sicherungen für dich übernehmen und auch die Plugins und anderen Software-Elemente (Datenbanken, WordPress etc.) aktuell halten. Zudem bieten diese Webhoster inzwischen auch wertvolle Performance-Checks an, die deine Seite schneller und stabiler machen. Ich nutze selbst raidboxes (Link und Infos unter: https://www.sarahnock.de/ressourcen/) und bin einfach nur happy, da ich mich nicht mehr mit Details rumschlagen muss von denen ich nicht wirklich anhnung habe und die Webseite aktiv gepflegt und gewartet wird.
• Fehler 4: Keine getrennten Webspaces bzw. Verträge pro Webseite!
  • Beispiel: In unserem Webhosting-Paket hatten wir aus Kostengründen mehrere inklusive Domains und WordPress Webseiten laufen lassen. Dadurch hatten wir nur einen Vertrag mit Zugangsdaten zu verwalten, ein weiterer vermeintlicher Vorteil. Allerdings waren die drei Webseiten und deren Daten jedoch dadurch virtuell physisch nicht von einander getrennt und lagen sozusagen im selben Ordner nebeneinander. So konnte sich die Malware, die durch eine Sicherheitslücke in einer Webseite eindringen konnte, ungehindert auch in den Daten der anderen beiden Webseiten verbreiten.
  • Lösung: Achte darauf einen eigenen abgesicherten Webspace pro Webseite zu buchen. Das bieten nicht alle Webhosting-Pakete an. In diesem Fall macht es Sinn jeweils eigene neue Verträge pro Webseite abzuschließen. Es gibt aber auch Anbietende, die getrennte Webspaces in einem Vertrag anbieten. Auch hier empfehle ich raidboxes.
• Fehler 5: Kein Warnsystem aktiviert
  • Beispiel: Wir haben viel zu lange nicht gemerkt, dass die Software und Plugins der Webseite nicht aktuell waren. Das hat zu einer Sicherheitslücke geführt (die auch allgemein in technischen Foren bekannt war – so konnten wir unseren Fall auch rekonstruieren), die unsere Daten mit Malware infiziert hat. Wir haben auch länger nicht bemerkt, das unsere eigene Webseite nicht mehr onlien richtig erreichbar war. Ein Zufall hat uns darauf gebracht, da wir auch nicht selbst jeden Tag schauen ob die Webseite online ist. So kann es durchaus passieren, das deine Webseite mehrere Tage nicht live ist, ohne das du es bemerkst.
  • Lösung: Installiere ein Monitoring-Plugin in WordPress, das alle paar Minuten einen Live-Check durchführt und dir z.B. per Mail eine Warnung schickt, sobald die Webseite nicht erreichbar ist. Mir ist das auch schon mehrfach ohne Malware passiert, das aus teilweise unerfindlichen Gründen Seiten einfach mehrere Stunden nicht online erreichbar waren. Tipp: ich nutze inzwischen den Dienst Uptimerobot (Affiliatelink). Hier werden alle meine Webseiten alle 5 Minuten automatisch geprüft, ob sie online sind. Falls es zu einem Ausfall oder zu zulange Ladezeiten kommt (Performanceprobleme können auch Hinweise für einen Hackangriff sein), erhalte ich sofort eine Email mit entsprechender Information. Ich kann den Dienst sehr empfehlen, die Zeitintervalle sind frei wählbar und die ersten 50 Links/URLs sind kostenfrei.

Zusammenfassung Learnings & was du davon mitnehmen kannst

• Schnelle Reaktion & nicht aufgeben ist entscheidend:
  • Wir haben sofort Kontakt zum technischen Support des Webhosters gesucht, um ein weiteres Ausbreiten der Malware zu verhindern und Spam-Mails über unsere Domain zu stoppen
  • Eine Meldung bei der Datenschutzbehörde innerhalb von 72 Stunden ist gesetzlich vorgeschrieben. Mehr dazu findest Du in meinem Beitrag: Nachhaltigkeit To Go #4: Cybersicherheit – 8 essentielle Faktoren
  • Wir haben über unser Netzwerk mit etwas Zeit einen tollen Spezialisten gefunden
• Technische Maßnahmen:
  • Neues Backup-Konzept erstellt, zugeschnitten auf unsere Bedürfnisse
  • Webhosting mit automatischen Backups und Updates gebucht
  • Neue Anmeldeseite (anderer Link) zum Admin-Zugang eingerichtet
  • 2FA für alle Zugänge aktiviert und Passwort-Management verbessert
  • Warnsystem (extern) installiert, das uns sofort Meldung gibt, wenn Webseite nicht online ist oder stark in Performance schwankt
• Kulturelle Learnings:
  • IT und Cybersicherheit sind höchst komplex und Experten (intern oder extern) sind notwendig!
  • Cybersicherheit gehört jetzt zu unserer Nachhaltigkeitsstrategie, denn nachhaltiges Wirtschaften bedeutet, Risiken für das Unternehmen zu minimieren.

Fazit

• Reflexion: Der Vorfall hat einiges an Zeit und Ressourcen gekostet, mein Umfeld hat mich zunächst davon überzeugt, die Daten nicht retten zu können und ich musste mir selbst eingestehen, dass IT – auch WordPress – inzwischen so komplex geworden sind, das ich selbstständig das Problem nicht mehr lösen konnte. Der Vorfall hat mir aber auch gezeigt, das die Mehrheit der Stimmen nicht immer recht hat und es sich lohnt nach einer Lösung zu suchen, denn – auch wenn dein eigener Webhoster anderer Meinung ist: es gib absolute WordPress-Experten, die helfen können!
• Mach heute den ersten Schritt – überprüfe, ob deine Webseite und Daten aktuell und gesichert sind!

Sarah

Hi, ich bin Sarah – Unternehmerin, Coach und Biodiversitäts-Enthusiastin aus Berlin. Seit über 10 Jahren entwickle ich ein nachhaltiges Bildungs- und Veranstaltungszentrum, engagiere mich für mehr Biodiversität in der Stadtnatur und begleite Unternehmen auf ihrem Weg zu mehr Nachhaltigkeit. Hier teile ich Praxistipps, Erfahrungen und Good Practice Beispiele rund um nachhaltige Unternehmensentwicklung und Förderung der Biodiversität.