Wie du einen Website-Sicherheitsbericht liest — ohne zu erschrecken | Scanthra

Scanthra · 7 Min Lesezeit · Aktualisiert Mai 2026

Warum diese Berichte auf den ersten Blick beängstigend wirken

Die meisten Sicherheitsberichte wurden ursprünglich von Penetrationstestern für andere Penetrationstester geschrieben. Sie benutzen Begriffe wie „Vector", „vulnerable Subdomain-Takeover", „missing HSTS preload", als ob das jeder beim Morgenkaffee liest. Wenn du Inhaber einer kleinen Website bist und gerade ein PDF voller roter Kästen geöffnet hast, ist die natürliche Reaktion: Panik, gefolgt vom Schließen des Tabs.

Mach das nicht. Fast jeder moderne Bericht — auch der von Scanthra — ist unter seiner Oberfläche gleich aufgebaut. Wenn du weißt, wo du schauen musst, kannst du ihn in etwa zehn Minuten lesen.

Die vier Dinge, die jedes gefundene Problem dir sagt

1. Schweregrad — wie schlimm ist es theoretisch?

Der Schweregrad beschreibt den schlimmstmöglichen Schaden, wenn das Problem real ist und jemand es ausnutzt. Es gibt fast immer fünf Stufen:

• KRITISCH — direkter, sofortiger Schaden. Beispiele: eine öffentlich lesbare .env-Datei mit Datenbankpasswörtern; eine Subdomain, die ein Angreifer übernehmen und für Phishing nutzen kann. Behandle das als heute beheben.
• HOCH — ernst, aber nicht sofortig. Beispiele: eine alte WordPress-Version mit bekannten Sicherheitslücken; fehlendes TLS/SSL (Verschlüsselung) auf der Hauptdomain. Diese Woche beheben.
• MITTEL — würde einem Angreifer helfen, der bereits Zugang hat. Beispiele: fehlende Sicherheits-Header, schwache Cookie-Flags. Diesen Monat beheben.
• NIEDRIG — Hygiene. Beispiele: Server-Banner verrät die Software-Version. Beim nächsten regulären Wartungsfenster beheben.
• INFO / Beobachtung — kein Problem, nur etwas, das wir festgestellt haben (z. B. „du nutzt Cloudflare"). Nützlicher Kontext, kein Handlungsbedarf.

2. Trefferquote — wie sicher sind wir uns?

Passive Scanner betrachten deine Website von außen, so wie ein Besucher es tun würde. Sie können nicht immer zu 100 % sicher sein, dass ein gefundenes Problem real ist. Die Trefferquote ist eine Zahl, meist 0–100 %, die angibt, wie sicher das Tool bei der Erkennung selbst ist — unabhängig davon, wie schwerwiegend das Problem wäre.

Scanthra verwendet ein 2D-Modell: Jedes Problem hat sowohl einen Schweregrad als auch eine Trefferquote. Wir zeigen nur Probleme mit einer Trefferquote ≥ 50 %. Alles darunter landet im Bereich Beobachtungen, wo wir sagen „wir haben das bemerkt, sind aber nicht sicher, hier ist der Grund" — anstatt falschen Alarm zu schlagen.

Empfohlene Lesereihenfolge:

1. HOCH oder KRITISCH bei ≥ 80 % Trefferquote — hier beginnen.
2. MITTEL bei ≥ 80 % Trefferquote — in einen Sprint einplanen.
3. HOCH oder KRITISCH bei 50–80 % Trefferquote — erst prüfen, dann beheben.
4. Alles andere — in ein Wartungsfenster bündeln.

3. Die Lösung — ein Absatz auf Deutsch

Jedes nennenswerte Problem enthält einen kurzen Absatz „So behebst du das", auf den ein Entwickler direkt reagieren kann. In Scanthra-Berichten steht dieser unter Selbst beheben: meist ein oder zwei Sätze, manchmal ein kopierbarer Konfigurationsausschnitt. Wenn du die Website nicht selbst betreibst, ist das der Teil, den du an die zuständige Person weiterschickst — deinen Webentwickler, deine Agentur oder den Hosting-Support.

Du musst die Lösung nicht verstehen. Du musst sie nur weitergeben und fragen: „Kannst du das machen, und wann?"

4. Compliance-Tags — wen interessiert das noch außer dir?

Gefundene Probleme tragen oft Tags wie GDPR:Art32, NIS2:Art21, OWASP:A05. Das sind Abkürzungen, die sagen: „Das ist nicht nur unsere Meinung; Behörde/Standard X erwartet, dass du das regelst." Die drei, die du am häufigsten siehst:

• DSGVO (GDPR) Art. 32 — die allgemeine EU-Klausel für „geeignete technische und organisatorische Maßnahmen". Verschlüsselung im Transit (HTTPS) und eine vorfallsresistente Konfiguration fallen hierunter.
• NIS2 (EU-Cybersicherheits-Richtlinie) Art. 21 — die Basismaßnahmen: Risikomanagement, Umgang mit Sicherheitslücken, Supply-Chain-Sicherheit, Verschlüsselung, Zugangskontrolle. Auch wenn du selbst kein reguliertes Unternehmen bist, werden dich größere Kunden zunehmend danach fragen.
• OWASP (Anwendungssicherheits-Standard) Top 10 — die Branchenstandard-Liste der häufigsten Webanwendungsrisiken. A05 ist Fehlkonfiguration, A07 sind Identifikations- und Authentifizierungsfehler und so weiter.

Was ist mit Fehlalarmen?

Kein passiver Scanner ist perfekt. Manchmal markiert ein Tool etwas, das bei deinem spezifischen Setup eigentlich kein Problem ist. Beispiele:

• Ein „fehlender Sicherheits-Header", der tatsächlich von deinem CDN weiter oben gesetzt wird und den Scanner nicht erreicht.
• Eine „CMS-Version ist veraltet"-Warnung, bei der der Versionsstring absichtlich durch ein Hardening-Plugin verfälscht wird.
• Eine „Subdomain verweist nirgendwohin"-Meldung, bei der die Subdomain absichtlich für einen geplanten Launch reserviert ist.

Im Zweifelsfall: trotzdem beheben. Fast jeder Fehlalarm ist günstig zu beseitigen, und damit wird er auch beim nächsten Scan kein Rauschen mehr erzeugen. Ausnahmen sind Fälle, bei denen die Behebung echte Arbeit bedeutet — dort lohnt es sich, den Entwickler zuerst bestätigen zu lassen, bevor du Stunden investierst.

Wie du einen Bericht mit einem Entwickler teilst

Wenn du das PDF weiterleitest, reichen drei Sätze:

„Hi — wir haben einen Sicherheitsscan durchgeführt. Könntest du dir die HOCH- und KRITISCH-Befunde ab Seite 4 ansehen und mir sagen, welche du in diesem Sprint beheben kannst und welche mehr Analyse brauchen? Alles NIEDRIG kann ich erstmal hintenanstellen."

Das reicht. Der Entwickler braucht keine Übersetzung des Berichts; er braucht die Erlaubnis, zu priorisieren.

Wie ein „sauberer" Bericht aussieht

Spoiler: Beim ersten Scan hat niemand null gefundene Probleme. Eine typische kleine WordPress-Website landet bei etwa 8–15 Problemen, meist MITTEL-Level-Header und Cookie-Hygiene. Ein vernünftiges Ziel für „sauber" ist:

• Null KRITISCH.
• Null HOCH älter als 30 Tage.
• Eine Gesamtnote von B oder besser auf der Titelseite.

Alles darüber hinaus ist Gold-Plating — nützlich, aber nicht entscheidend für das Vertrauen deiner Kunden.

Wie Scanthra seine Berichte schreibt

Wir halten die Sprache bewusst einfach. Jedes Problem hat eine Zeile Geschäftliche Auswirkung („wenn ausgenutzt, könnte ein Angreifer Kunden-E-Mails lesen, was ein DSGVO-Verstoß wäre"), einen Absatz Selbst beheben und eine Compliance-Übersicht am Anfang, damit du auf einen Blick siehst, welche Behörden das interessiert. Wenn ein Problem grenzwertig ist, verschieben wir es in die Beobachtungen, anstatt dich zu erschrecken. Ziel ist ein Bericht, den du im Zug nach Hause lesen und am nächsten Morgen handeln kannst — kein 60-seitiges PDF, das du unter „beängstigend, irgendwann" ablegst.