Kosifuchs
IT Security & Hardening for Private Users, SMBs and Organizations
DE EN
Home About IT Security Hardening Monitoring/SOC Email Security Book Blog
Sale
All visible offers Cybersecurity Audits Web Security Reviews Server Security Hardening Infrastructure Security Checks VPN Setup Wi-Fi Security Checks Website Creation Webshop Creation SEO Optimisation IT Security Consulting Security Maintenance Cybersecurity Training E-Books & Guides
Downloads Contact For employers For clients Resources Imprint Privacy Login
Blog
Notes, learnings, projects — defensive mindset
Date: 2026-03-07T20:03:37+00:00

Warum viele Websites unsicher programmiert sind - Ein persönlicher Blick aus der Praxis

Wenn ich mit Menschen über IT-Sicherheit spreche, höre ich oft einen Satz:

„Unsere Website ist doch sicher. Die wurde von einer Agentur gebaut.“

Ich verstehe, warum viele das glauben.

Schließlich kostet eine Website Geld, und man geht davon aus, dass Sicherheit automatisch Teil der Entwicklung ist.
Leider zeigt die Realität etwas anderes.

In meiner täglichen Arbeit sehe ich immer wieder Websites, die zwar modern aussehen, aber unter der Oberfläche massive Sicherheitsprobleme haben. Das liegt meistens nicht daran, dass Entwickler absichtlich unsicher arbeiten, sondern daran, dass Sicherheit oft nicht von Anfang an mitgedacht wird.

Viele Webprojekte entstehen unter Zeitdruck.

Der Fokus liegt darauf, dass die Seite schnell online geht, gut aussieht und funktioniert.

Sicherheit wird dann häufig als etwas betrachtet, das man später noch „hinzufügen“ kann.
Genau hier liegt das Problem.

"Funktioniert" heißt nicht sicher

Eine Website kann technisch perfekt funktionieren und trotzdem unsicher sein.

Ein Login kann korrekt arbeiten, ein Shop kann Bestellungen verarbeiten und ein Kontaktformular kann Nachrichten versenden, und dennoch kann ein Angreifer im Hintergrund Daten stehlen oder Zugriff auf das System bekommen.

Ein typisches Beispiel sind fehlende Sicherheitsmechanismen in Formularen. Ohne Schutzmaßnahmen können Angreifer versuchen, Schadcode einzuschleusen oder automatisierte Angriffe durchzuführen.

Auch fehlende Schutzmaßnahmen gegen sogenannte Cross-Site-Scripting-Angriffe (XSS) oder fehlende CSRF-Absicherung sind leider keine Seltenheit.

Viele dieser Probleme sind unsichtbar für Besucher. Sie zeigen sich erst, wenn jemand gezielt nach Schwachstellen sucht.

Automatisierte Angriffe sind heute Alltag

Ein weit verbreiteter Irrtum ist, dass Hacker gezielt einzelne Websites angreifen.

In Wirklichkeit laufen die meisten Angriffe heute automatisiert. Bots durchsuchen das Internet rund um die Uhr nach typischen Schwachstellen. Sie prüfen zum Beispiel, ob bestimmte Dateien öffentlich erreichbar sind oder ob bekannte Sicherheitslücken existieren.

In Serverlogs sieht man häufig Anfragen wie:

/.env
/.git/config
/wp-login.php
/phpmyadmin
/admin
backup.zip

Diese Anfragen kommen nicht von Menschen, sondern von automatisierten Scannern.

Wenn eine Website schlecht konfiguriert ist oder sensible Dateien öffentlich zugänglich sind, können Angreifer innerhalb von Sekunden Zugriff auf vertrauliche Informationen bekommen.

Sicherheit wird oft erst nach einem Angriff ernst genommen

Ein weiteres Problem ist, dass viele Unternehmen sich erst mit IT-Sicherheit beschäftigen, wenn bereits etwas passiert ist.

Solange alles funktioniert, wird Sicherheit oft als nebensächlich betrachtet.

Erst wenn eine Website kompromittiert wurde oder Daten verloren gehen, wird klar, wie wichtig präventive Maßnahmen gewesen wären.

Dabei sind viele grundlegende Sicherheitsmaßnahmen gar nicht kompliziert.

Ein paar Beispiele:
• sichere Serverkonfiguration
• Multi-Faktor-Authentifizierungen, besonders für Administratoren
• Schutz vor automatisierten Login-Versuchen
• sichere Programmierung von Formularen
• regelmäßige Updates
• Logging und Monitoring

Diese Dinge sind keine Luxusfunktionen. Sie sind heute eine Grundvoraussetzung für sichere Systeme.

Sicherheit muss von Anfang an mitgedacht werden

Aus meiner Sicht gibt es einen entscheidenden Unterschied zwischen zwei Arten von Webprojekten.

Bei der ersten Variante wird Sicherheit erst nachträglich hinzugefügt.
Bei der zweiten Variante wird Sicherheit von Anfang an eingeplant.

Der zweite Ansatz nennt sich „Security by Design“.

Das bedeutet, dass Sicherheitsaspekte bereits während der Entwicklung berücksichtigt werden und nicht erst danach.
Dazu gehört zum Beispiel:
• sichere Session-Verwaltung
• CSRF-Schutz in Formularen
• strikte Content-Security-Policy
• sichere Serverkonfiguration
• kontrollierte Zugriffsrechte
• Monitoring von ungewöhnlichen Aktivitäten

Wenn diese Dinge von Anfang an Teil der Architektur sind, reduziert sich das Risiko von Sicherheitsproblemen erheblich.

Sicherheit ist kein einmaliges Projekt

Ein weiterer wichtiger Punkt ist, dass Sicherheit kein Zustand ist, den man einmal erreicht und dann abhaken kann.

Neue Sicherheitslücken werden ständig entdeckt. Software wird aktualisiert, Angriffstechniken entwickeln sich weiter und Systeme verändern sich.

Deshalb ist IT-Sicherheit immer ein Prozess.

Regelmäßige Prüfungen, Updates und Monitoring sind notwendig, um Systeme langfristig sicher zu halten.

Mein Fazit

Die meisten unsicheren Websites entstehen nicht aus Nachlässigkeit, sondern aus fehlendem Bewusstsein für Sicherheitsrisiken.

Viele Entwickler konzentrieren sich verständlicherweise auf Design und Funktionalität.

Sicherheit wird dabei oft übersehen oder unterschätzt.

Doch in einer Zeit, in der automatisierte Angriffe zum Alltag gehören, kann eine unsichere Website schnell zu einem echten Problem werden.

Deshalb lohnt es sich, Sicherheit nicht als Zusatzfunktion zu betrachten, sondern als festen Bestandteil jeder modernen Webentwicklung.

← Back to list