Zum Inhalt springen
Sicherheits-Audit15 Min. Lesezeit

Website-Sicherheit prüfen – Die kostenlose Checkliste für 2026

Die Sicherheit einer Website hängt von vielen Faktoren ab: SSL-Zertifikat, Security Headers, E-Mail-Authentifizierung, DNS-Konfiguration und mehr. Viele Website-Betreiber wissen nicht, wo sie anfangen sollen oder welche Aspekte am kritischsten sind. Dieser Guide führt Sie systematisch durch alle relevanten Prüfungen – mit konkreten Beispielen und einem kostenlosen Tool, das die meisten Checks automatisiert.

Von Matthias Tichy – IT-Service Matthias Tichy, Berlin

Warum sollte man die Website-Sicherheit regelmäßig prüfen?

Website-Sicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. SSL-Zertifikate laufen ab, neue Sicherheitslücken werden entdeckt, Browser-Anforderungen ändern sich und Konfigurationen können bei Server-Updates versehentlich zurückgesetzt werden. Ein regelmäßiger Sicherheitscheck – idealerweise monatlich – stellt sicher, dass keine Lücken unbemerkt bleiben. Die häufigsten Probleme, die wir bei der Analyse von tausenden Websites mit Webalyzr finden: abgelaufene SSL-Zertifikate, fehlende Security Headers, nicht konfigurierte E-Mail-Authentifizierung und veraltete TLS-Versionen. Jedes dieser Probleme lässt sich in wenigen Minuten beheben, wenn man es rechtzeitig erkennt.

Schritt 1: SSL/TLS-Zertifikat prüfen

Das SSL/TLS-Zertifikat ist die Grundlage jeder sicheren Website. Ohne gültiges Zertifikat zeigen alle modernen Browser eine Warnung an und die Verbindung gilt als unsicher. Prüfen Sie folgende Punkte:

  • Gültigkeit: Ist das Zertifikat noch gültig? Wann läuft es ab? Richten Sie eine automatische Erneuerung ein (z.B. mit Let's Encrypt und Certbot).
  • Zertifikatskette: Wird die gesamte Kette vom Root- bis zum Server-Zertifikat korrekt ausgeliefert? Fehlende Intermediate-Zertifikate führen zu Fehlern auf älteren Geräten.
  • Protokollversionen: TLS 1.0 und 1.1 gelten als unsicher und sollten deaktiviert sein. Nur TLS 1.2 und 1.3 sind empfohlen.
  • HSTS: Ist Strict-Transport-Security aktiviert, damit der Browser ausschließlich HTTPS nutzt?

Der Webalyzr SSL/TLS Checker prüft alle diese Punkte automatisch und zeigt das Ablaufdatum, die Cipher-Suites und die HSTS-Konfiguration an.

Schritt 2: Security Headers konfigurieren

Security Headers sind HTTP-Antwort-Header, die dem Browser mitteilen, wie er mit den empfangenen Inhalten umgehen soll. Sie schützen vor Cross-Site-Scripting (XSS), Clickjacking, MIME-Sniffing und anderen Angriffen. Die wichtigsten Header sind: Content Security Policy (CSP), Strict-Transport-Security (HSTS), X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy. Fehlende Security Headers sind die häufigste Sicherheitslücke, die Webalyzr auf Websites findet – dabei dauert die Konfiguration in Nginx oder Apache weniger als 10 Minuten. Einen detaillierten Guide finden Sie unter Security Headers erklärt.

Schritt 3: E-Mail-Authentifizierung einrichten

Viele Website-Betreiber übersehen, dass die Sicherheit ihrer Domain auch die E-Mail-Konfiguration umfasst. Ohne SPF, DKIM und DMARC kann jeder Angreifer E-Mails im Namen Ihrer Domain versenden und damit Phishing-Angriffe gegen Ihre Kunden oder Partner durchführen. Seit Februar 2024 verlangen Google und Yahoo diese drei Standards für alle Absender – E-Mails ohne korrekte Authentifizierung werden zunehmend abgelehnt oder im Spam-Ordner abgelegt. Die Einrichtung ist mit den richtigen Tools unkompliziert: Der SPF Generator, DKIM Generator und DMARC Generator erstellen die benötigten DNS-Records interaktiv. Einen vollständigen Guide finden Sie unter SPF, DKIM & DMARC einrichten.

Schritt 4: DNS-Konfiguration prüfen

DNS ist das Fundament Ihrer Web-Präsenz. Falsche oder fehlende DNS-Records können dazu führen, dass Ihre Website nicht erreichbar ist, E-Mails nicht zugestellt werden oder Zertifikate nicht ausgestellt werden können. Prüfen Sie: A- und AAAA-Records (zeigen sie auf die richtige IP?), MX-Records (verweisen sie auf gültige Mailserver?), CAA-Records (legen fest, welche Zertifizierungsstellen SSL-Zertifikate ausstellen dürfen) und DNSSEC (schützt vor DNS-Manipulation). Der DNS Lookup zeigt alle Record-Typen und erkennt automatisch Subdomains über Certificate Transparency Logs.

Schritt 5: Blacklist-Status prüfen

Ein Eintrag auf einer Blacklist (DNSBL) kann schwerwiegende Folgen haben: E-Mails werden nicht zugestellt, Browser zeigen Warnungen an und das Vertrauen in Ihre Domain sinkt. Blacklist-Einträge entstehen häufig durch kompromittierte Server, Spam-Versand oder gehackte Kontaktformulare. Der Webalyzr Blacklist Check prüft Ihre Domain und IP-Adresse gegen über 13 aktive Blacklist-Datenbanken. Wenn ein Eintrag gefunden wird, muss zuerst die Ursache behoben und dann ein Delisting beim jeweiligen Blacklist-Betreiber beantragt werden.

Automatisierter Sicherheitscheck mit Webalyzr

Statt jeden der oben genannten Schritte einzeln durchzuführen, können Sie den Webalyzr Website-Scan nutzen. In wenigen Sekunden analysiert Webalyzr Ihre Website mit über 130 automatisierten Checks in 10 Kategorien: SSL/TLS (20%), Security Headers (20%), HTTP & Performance (20%), SEO (15%), DNS (10%), E-Mail-Authentifizierung (10%), Blacklist-Monitoring (5%), WHOIS und Barrierefreiheit. Das Ergebnis ist ein Gesamtscore von 0 bis 100 mit detaillierten Handlungsempfehlungen pro Kategorie. Kostenlos, ohne Registrierung und ohne Tracking.

Checkliste: Website-Sicherheit

  • SSL Gültiges Zertifikat mit TLS 1.2+ und HSTS aktiviert
  • CSP Content Security Policy konfiguriert
  • XFO X-Frame-Options auf DENY oder SAMEORIGIN
  • XCTO X-Content-Type-Options: nosniff
  • RP Referrer-Policy: strict-origin-when-cross-origin
  • PP Permissions-Policy: camera=(), microphone=()
  • SPF SPF-Record mit -all oder ~all
  • DKIM DKIM-Schlüssel mit 2048+ Bit
  • DMARC DMARC-Record mit p=quarantine oder p=reject
  • DNS DNSSEC aktiviert, CAA-Record gesetzt
  • BL Keine Blacklist-Einträge

Verwandte Guides

SPF, DKIM & DMARC einrichtenSecurity Headers erklärt