Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Website Security kostenfrei testen und beobachten! - Illustration zu IT-Sicherheitsbewusstsein und Mitarbeiterschulung
Security Awareness

Website Security kostenfrei testen und beobachten!

Mit der Hilfe kostenloser Werkzeuge lässt sich die Website Security überprüfen und nachverfolgen. Sicherheitslücken finden und schließen!

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
Aktualisiert: 20. September 2024 6 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

Kostenlose Tools wie das Mozilla Observatory und die Google Search Console decken kritische Sicherheitslücken auf, ohne dass technisches Vorwissen erforderlich ist. Das Mozilla Observatory analysiert eine Domain in wenigen Sekunden auf HTTP-Security-Header, HTTPS-Zertifikat und Cookie-Konfiguration - und stößt dabei externe Scanner wie ImmuniWeb oder securityheaders.io an. Die Google Search Console ergänzt diesen aktiven Scan durch kontinuierliches Monitoring und warnt automatisch bei Auffälligkeiten. Beide Werkzeuge eignen sich für Unternehmen jeder Größe als Einstieg. Für Webanwendungen mit Schnittstellen und APIs reicht dieser Ansatz nicht aus - dort ist ein professioneller Penetrationstest notwendig.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (2 Abschnitte)

IT-Sicherheit & Website Security ist nicht nur ein großes Thema - sondern es wird auch immer präsenter. Mittlerweile machen täglich Nachrichten die Runde, dass es mal wieder einen Datendiebstahl gab, eine Sicherheitslücke aufgetaucht ist oder es findet ein Defacement einer Website statt. Über letzteres wird nur dann berichtet, wenn das Opfer ausreichend prominent ist. Webseitenbetreiber haben jedoch selten die nötigen Kenntnisse, die Webpräsenz vor Hackern zu härten. Im ersten Schritt gibt es aber für kleine und große Unternehmen die gleichen Tools. Auf der einen Seite gibt es die aktiven Scanner, wie z.B. das Mozilla Obversatory. Auf der anderen Seite gibt es aber auch Werkzeuge von Internetriesen wie z.B. die Google Search Console, die einem einen kontinuierlichen Blick auf die Website verschaffen. Vor allem dann, wenn etwas nicht stimmt. Die Einschätzung von Cyber Risiken sollten sich besonders geschäftsführende Personen zu Eigen machen.

Sicherheitsprobleme mit Mozilla Obversatory aufdecken

Bekannt ist Mozilla vor allem wegen Firefox - dem Web Browser. Doch die Organisation rund um Firefox stellt viele weitere Werkzeuge bereit, um die Sicherheit und Privatsphäre zu erhöhen. Mozilla Observatory ist eines davon und erlaubt es jede beliebige Website zur Überprüfung einzureichen. Website Security einer Website bestimmen

Das Observatorium von Mozilla benötigt nur die Domain, die überprüft werden soll! Quelle: Screenshot observatorium.mozilla.org Nach wenigen Sekunden hat man die Ergebnisse der Analyse. Hierbei werden vielerlei Dinge überprüft. Folgende Ergebnisse sind bei der Analyse des technique-blog.de herausgekommen: Detailiierte Ergebnisse der Website Security Analyse

Ergebnisse der Website Security Analyse durch Mozilla Quelle: Screenshot Observatorium.mozilla.org Seit der Einführung der Datenschutzgrundverordnung ist z.B. die Anzahl der Cookies interessant. Gerade dann, wenn der Zähler “0” erreicht, ist kein Cookie-Banner notwendig. Aber auch die anderen Erkenntnisse erhöhen das Sicherheitsniveau einer Website. Durch diese Liste kann man sich peu à peu durcharbeiten, etwas lernen und außerdem die Sicherheit der Website steigern. Das besondere an dem Observatory von Mozilla ist, dass dort mehrere Website Security Analysetools zum tragen kommen. So wird z.B. das ausgestellte Zertifikat, welches eine verschlüsselte Verbindung ermöglicht, untersucht. Aber auch externe Scanner werden angestoßen. Website Security mit der Hilfe von Mozilla Obersatory

Über das Mozilla Obversatory werden unterschiedliche Scanner angestoßen. Aktuell erreichen wir mit unserer Domain 135/100 Punkte bei dem ImmuniWeb Scanner. Screenshot: observatory.mozilla.org Die Ergebnisse der anderen Scanner werden einem unkompliziert in einer Art Notensystem angezeigt. Interessiert man sich für ausführlichere Ergebnisse der Analysen, dann hat man die Möglichkeit diese durch einen Klick anzusehen. Website Security from securityheaders.io

Die Ergebnisse von Securityheaders.io Quelle: Screenshot Observatorium.mozilla.org   Website Security Scan from hstspreload.appspot.com

Durch hsts preload wird HSTS etwas genauer unter die Lupe genommen. Quelle: Screenshot Observatorium.mozilla.org Tendenziell werden Websites eher schlecht als gut gerankt. Erst wenn man gute Schritte in Sachen Website Security getan hat, lassen sich die ersten Punkte verzeichnen. Neben den Problemen erteilt die Plattform auch umfangreiche Vorschläge und Handlungsempfehlungen. Nach und nach sollte man die eigene Website durch den Scanner überprüfen lassen, die Ergebnisse abwarten und Fortschritte verzeichnen. Diese Scanner kann jeder für Ihre Website verwenden. Probleme die auf dieser Ebene also aufgedeckt werden, sind für jeden offensichtlich. Wenn Sie Ihre Website oder Web App tiefergehend analysieren und schützen lassen wollen, ist ein Penetrationstest das Mittel der Wahl. Schnittstellen und komplexere Anwendungen können und werden an dieser Stelle nicht vom Mozilla Observatory untersucht. Wer also eine umfangreiche Web Anwendung hat und die Schnittstellen (API) untersuchen lassen will, der sollte hier auf einen professionellen Anbieter zurückgreifen.

Website Security mit der Google Search Console feststellen

Die Google Search Console ist ein beliebtes Werkzeug für Webmaster. Im ersten Schritt muss bestätigt werden, dass man Eigentümer der Website ist. Das wird durch ein HTML Tag, DNS Eintrag oder ähnliche, typische Vorgehensweisen verifiziert. Ist das geschafft, verrät euch Google vor allem, über welche Suchbegriffe die Nutzer zu der eingetragenen Website gelangen.

Suchmaschinen Analyse & Warnungen im Dashboard der Search Console

Die Google Search Console ist das Werkzeug für Webmaster. Mit diesem Tool hat man die Möglichkeit, seine Website bei dem Suchmaschinenkonzern einzureichen. Dies hat diverse Vorteile:

  • Über welche Keywords kommen Besucher auf meine Seite?
  • Für welche Keywords rankt meine Seite generell?
  • Wie oft wurde meine Website eingeblendet?
  • Wie viele Seiten meiner Website befinden sich im Index von Google?
  • usw. usf.

Es ist also ein durchaus nützliches Tool, wenn man bedenkt dass Google ein beinahe Monopol in Europa besitzt. Gute Rankings bei Google sprechen häufig für eine hohe Besucheranzahl. Das Dashboard der Google Search Console

Das Dashboard der Google Search Console informiert Euch über die wichtigsten Ereignisse, aus der Sicht von Google (Quelle: Screenshot Google Search Console) Hinter den wenigen Menüpunkten halten sich allerlei Statistiken zu Eurer Website bereit. Diese werden jedoch erst aufgezeichnet, sobald ihr damit begonnen habt, die Website bei Google einzureichen. Die Daten reichen 90 Tage zurück - es ist daher sinnvoll, falls ihr einen Rückblick über einen längeren Zeitraum haben wollt, zu speichern. Diese Informationen sind aus Marketingsicht höchstinteressant, mit Blick auf die Suchmaschinenoptimierung. Es hilft einem bis zu diesem Punkt jedoch wenig bei der Sicherheit der Website. Doch auch dafür hält die Google Search Console Informationen bereit - nämlich dann, wenn diese Fälle eintreten. So ein Fall tritt ein, wenn die Website Malware verteilt. Unsichere Website - Warnung

Wenn diese rote Warnung auftaucht, wenn jemand Ihre Website besuchen will, verlieren Sie einen Großteil der Besucher.

Die Search Console verrät Euch mehr über Sicherheitslücken!

Die Safe Browsing Engine spielt dabei eine zentrale Rolle bei der Entdeckung von Sicherheitsprobleme. Ist Ihre Website betroffen, dann erhalten Sie unverzüglich eine Nachricht in der Google Search Console. Bislang wurde dort mitgeteilt, dass es Sicherheitsprobleme auf Eurer Website gibt. Google will den Webmastern nun entgegenkommen und detailliertere Informationen zu Sicherheitsproblemen liefern. Dabei wird die Search Console um vier Kategorien erweitert:

So kann die Sicherheit einer Website festgestellt werden. Bei auftauchenden Probleme ist also die Google Search Console ein gutes Mittel, um diesen Status festzustellen. Für weiterführende Website Security sollten kostenfreie Scanner wie z.B. das Mozilla Observatory in Anspruch genommen werden. Gerade für klein- und mittelständische Unternehmen sind diese Werkzeuge viel wert. Studien haben ergeben, dass jede zweite Firmenwebsite Sicherheitslücken aufweist.

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung