📄
Wenn Backup-Dateien erreichbar sind
config.php.bak, .env, alte SQL-Dumps
Entwickler legen oft Kopien wie config.php.bak oder .env auf den Server. Diese enthalten Datenbank-Passwörter, API-Keys und SMTP-Zugänge.
- Angreifer lesen Zugangsdaten in Sekunden
- Vollständiger Zugriff auf Ihre Datenbank
- Übernahme von Shop, E-Mails oder Kundendaten
🗄️
Wenn die Datenbank von außen erreichbar ist
Offener MySQL-Port (3306)
Datenbanken sollten nur intern erreichbar sein. Ist Port 3306 im Internet offen, kann jeder weltweit Login-Versuche starten.
- Brute-Force auf Datenbank-Benutzer
- Diebstahl oder Löschung aller Tabellen
- Erpressung („Ransomware“) mit verschlüsselten Daten
🔓
Wenn Admin-Bereiche ungeschützt sind
WordPress, phpMyAdmin, /admin/
Login-Seiten ohne Rate-Limit, ohne 2FA und mit Standard-Passwörtern fallen oft innerhalb weniger Stunden.
- Defacement – Ihre Startseite wird verändert
- Schadcode wird eingeschleust (Malware, Phishing)
- Ihre Domain landet auf Google-Blocklisten
📧
MailCheck · Wenn Firmen-E-Mails in Datenleaks stehen
info@, kontakt@ – Passwörter schon im Umlauf?
Nach großen Datenpannen bei Portalen und Online-Shops kursieren Milliarden Kombinationen aus E-Mail und Passwort. Typische Adressen Ihrer Domain sind oft dabei – auch wenn die Webseite sicher wirkt.
- Betrug mit Ihrer Absender-Adresse (CEO-Fraud)
- Übernahme von Postfächern und Cloud-Zugängen
- Gleiches Passwort gilt oft auch für Shop, WordPress oder Hoster
🛡️
BrandCheck · Wenn Ihre Domain auf Warnlisten steht
Malware-, Spam- oder Phishing-Meldungen
Ist Ihre Seite kompromittiert oder der Server versendet Spam, landen Domain und IP auf Blacklists – Besucher sehen Warnungen, E-Mails kommen nicht an.
- Browser warnt vor Ihrer Webseite
- Firmen-Mails landen im Spam
- Google entfernt Seiten aus dem Index
☁️
CloudCheck · Wenn Cloud-Speicher offen steht
S3-Buckets oder Google Cloud – öffentlich listbar
Viele Firmen nutzen Cloud-Speicher mit Namen wie firma-backup oder firma-media. Ist das Listing öffentlich, können Backups, Rechnungen oder Kundendaten für jedermann sichtbar sein.
- Versehentlich öffentliche Backups
- Interne Dokumente ohne Passwortschutz
- DSGVO-Verstoß durch offene Datenablage
🌍
DomainCheck · Wenn die Domain abläuft oder nachgeahmt wird
Verlängerung vergessen, Tippfehler-Domain registriert
Läuft Ihre Domain ab, kann die Webseite offline gehen – oder jemand anderes registriert sie. Ähnliche Domains (Tippfehler) nutzen Betrüger für Phishing.
- Webseite & E-Mail plötzlich weg
- Kunden landen auf falscher Seite
- Vertrauen und Umsatz Schaden
📁
Wenn Verzeichnisse listen
Offenes Directory Listing (/uploads/, /backup/)
Der Webserver zeigt dann eine Dateiliste statt einer Seite – wie ein offenes Fenster in den Server.
- Rechnungen, Verträge, Backups herunterladbar
- Interne Dokumente für jedermann sichtbar
- DSGVO-Verstoß durch unbeabsichtigte Veröffentlichung
🔗
Wenn Git oder SVN öffentlich liegt
.git/HEAD, .svn/entries
Versionsverwaltung gehört nie ins Webverzeichnis. Ist sie erreichbar, kann der Quellcode rekonstruiert werden.
- Passwörter im Quelltext sichtbar
- Geschäftslogik und Schwachstellen offengelegt
- Gezielte Angriffe auf bekannte Code-Stellen
🔌
Wenn veraltete Software läuft
Alte WordPress-Plugins, bekannte CVEs
Nicht gepatchte Systeme sind die Lieblingsziele automatisierter Bot-Netze. Die suchen 24/7 nach bekannten Lücken.
- Massenangriffe ohne menschliches Zutun
- Heimliche Hintertüren (Web-Shells)
- Ihr Server wird zum Spam-Versand missbraucht
🔐
Wenn SSL/TLS fehlerhaft ist
Abgelaufene Zertifikate, schwache Verschlüsselung
Besucher sehen Warnungen – schlimmer: Angreifer können Daten mitlesen oder umleiten.
- Kunden verlieren Vertrauen sofort
- Login-Daten abfangbar im WLAN
- Google-Ranking sinkt spürbar
🏪
Wenn Sie Shop oder Kundendaten haben
Typisch für Handel, Tankstellen, Dienstleister
Ein erfolgreicher Einstieg bedeutet nicht nur IT-Schaden – es geht um Betrieb, Reputation und Bußgelder.
- Meldung an Datenschutzbehörde (DSGVO Art. 33)
- Schadensersatzforderungen von Kunden
- Tage bis Wochen Ausfall – Umsatz weg
📧
Wenn der Hoster nicht informiert wird
„Wir dachten, das regelt der Provider“
Shared Hosting schützt nicht vor Dateien, die Sie selbst hochgeladen haben – und nicht vor schwachen Passwörtern in Ihrer Anwendung.
- Verantwortung liegt beim Betreiber der Seite
- Hoster-Ticket mit klarem Nachweis beschleunigt Hilfe
- Unser Report liefert fertige Texte für Ihren Provider