Warum es wichtig ist
Die meisten Website-Hacks bei kleinen Unternehmen sind nicht dramatisch. Sie sind still, langsam und teuer. Hier ist die ehrliche Version — kein Fear-Mongering, keine Buzzwords.
Du musst kein Ziel sein, um getroffen zu werden
Angreifer suchen sich ihre Opfer nicht einzeln aus. Sie lassen automatisierte Bots laufen, die das gesamte Internet nach den am leichtesten angreifbaren Websites durchsuchen. Eine WordPress-Seite mit einem veralteten Plugin und ohne HTTPS ist genau dieses Ziel — egal ob du Kerzen verkaufst, eine Zahnarztpraxis betreibst oder einen kleinen gemeinnützigen Verein leitest.
Ihr Ziel ist selten, dein Unternehmen zu ruinieren. Das Ziel ist, deine Website zu nutzen, um Spam zu verschicken, Phishing-Seiten zu hosten, Krypto auf deinem Server zu schürfen oder Kundendaten aus deiner Datenbank zu stehlen. Monatelang bemerkst du es vielleicht nicht einmal.
Drei Dinge, die dich unbemerkt schädigen
1. Deine Kunden verlieren das Vertrauen
Wenn ein Browser die rote „Nicht sicher"-Warnung anzeigt, wenn eine E-Mail von dir im Spam landet, weil dein DMARC fehlt, wenn Google deine Seite als „irreführend" markiert, weil jemand Schadsoftware eingeschleust hat — dann gehen Besucher und kommen nicht zurück. Die meisten sagen dir nicht, warum.
2. Ein Datenleck kostet mehr als die Reparatur
Die durchschnittliche Bereinigung einer gehackten Website kleiner Unternehmen kostet 2.000–8.000 €, wenn man Entwicklerstunden, entgangene Umsätze, Kundenbenachrichtigungen und (falls personenbezogene Daten abgeflossen sind) Bußgelder einrechnet. Ein kostenloser Scan, der das Problem vorher aufdeckt, ist eine ganz andere Ausgangslage.
3. Behörden prüfen jetzt aktiv
Zwei Regelwerke sind für kleine Unternehmen in der EU gerade besonders relevant:
- DSGVO (GDPR) (Artikel 32) — du musst „geeignete technische Maßnahmen" zum Schutz personenbezogener Daten auf deiner Website ergreifen. Falls es zu einem Datenleck kommt und du nicht nachweisen kannst, was du getan hast, riskierst du Bußgelder von bis zu 4 % deines Jahresumsatzes.
- NIS2 (EU-Cybersicherheits-Richtlinie) — trat 2024 in Kraft, mit dem ersten Audit-Zyklus bis 2026. Sie erweitert die Liste der Organisationen, die grundlegende Cybersicherheits-Hygiene nachweisen müssen — darunter viele mittelgroße Unternehmen, die früher nicht betroffen waren.
Wir ordnen jedes gefundene Problem in deinem Bericht dem entsprechenden Artikel zu — damit du, wenn dein Steuerberater oder ein Prüfer fragt „Habt ihr das geprüft?", ein PDF mit Datum und Ja als Antwort hast.
Die gute Nachricht
90 % von dem, was Angreifer bei kleinen Unternehmenswebsites ausnutzen, ist bekannt, gut dokumentiert und günstig zu beheben. HSTS (HTTPS-Erzwingung) fehlt? Eine Zeile in der Webserver-Konfiguration. Kein DMARC? Ein DNS-Eintrag. Veraltetes WordPress? Ein Klick. Das Schwierige ist nicht das Beheben — sondern zu wissen, was behoben werden muss.
Genau dafür ist Scanthra da. Wir sagen dir, in verständlicher Sprache, was Bots sehen, wenn sie sich deine Seite ansehen — damit du die einfachen Dinge reparieren kannst, bevor sie es finden.
Was ein Scanthra-Bericht dir gibt
- Eine Gesamtsicherheitsbewertung (A–F), die du einem Kunden oder Vorstand zeigen kannst.
- Eine kurze Executive Summary in Unternehmenssprache.
- Jedes gefundene Problem mit: was es ist, warum es für dein Unternehmen wichtig ist, und wie du es selbst beheben kannst.
- Eine Compliance-Zuordnung (DSGVO (GDPR) Art. 32 · NIS2 (EU-Cybersicherheits-Richtlinie) · OWASP (Anwendungssicherheits-Standard) Top 10).
- Ein Glossar, damit Fachjargon nie im Weg steht.