Executive Summary
In Deutschland sind kleine und mittlere Unternehmen (KMU) inzwischen ein bevorzugtes Ziel für Cyberangriffe, insbesondere Ransomware, Phishing und Angriffe auf Webanwendungen. Viele dieser Angriffe beginnen über unsichere Websites, veraltete Content-Management-Systeme (CMS) oder schwache Zugangsdaten[1][4].
1. Warum Website-Sicherheit für KMU Chefsache ist
Dieser Leitfaden fasst die wichtigsten Aspekte der Website-Sicherheit für kleine Unternehmen in Deutschland im Jahr 2026 zusammen – mit Schwerpunkt auf typischen Schwachstellen, WordPress-Sicherheit, moderner SSL/TLS-Konfiguration, Backup-Strategien und einem klaren Vorgehen nach einem Hack.
Die Bedrohungslandschaft 2026
Bedrohungslandschaft für KMU-Websites 2026
Verteilung der häufigsten Cyberangriffe nach BSI-Berichten
Quelle: BSI Lagebericht 2026 / OWASP
💡 Warum sind KMU attraktive Ziele?
- Fehlende IT-Security-Expertise: Keine eigene IT-Abteilung, externe Dienstleister oft günstig und wenig spezialisiert
- Veraltete Software: Updates werden verzögert oder vergessen (WordPress, Plugins, PHP-Version)
- Schwache Passwörter: Standard-Logins wie „admin" / „password123" noch weit verbreitet
- Keine Backups: Viele KMU haben kein strukturiertes Backup-Konzept → Erpressbarkeit!
Folgen erfolgreicher Angriffe
Ein erfolgreicher Hack kann für kleine Unternehmen existenzbedrohend sein. Zu den häufigsten Folgen gehören:
Geschäftliche Ausfälle
- Website offline → Umsatzverlust
- Kundenvertrauen zerstört
- Google-Ranking-Verlust (Malware-Warnung!)
Datenverlust & Erpressung
- Ransomware verschlüsselt alle Daten
- Lösegeldforderungen (oft 5.000 - 50.000 €)
- DSGVO-Meldepflicht bei Datenpanne!
2. Häufigste Sicherheitslücken bei Business-Websites
2.1 Technische Schwachstellen in Webanwendungen
Die OWASP Top 10 gelten international als Referenz für die kritischsten Sicherheitsrisiken in Webanwendungen und betreffen auch typische KMU-Websites. Zu den wichtigsten Kategorien zählen insbesondere fehlerhafte Zugriffskontrolle, kryptografische Fehler (z. B. unsichere oder fehlende Verschlüsselung), Injection-Schwachstellen sowie Fehlkonfigurationen[2][6].
1. Fehlerhafte Zugriffskontrolle
Problem: Nutzer können auf Bereiche zugreifen, die sie nicht sehen sollten (z.B. Admin-Panel ohne Login).
Beispiel: Ungeschützte WordPress-Verzeichnisse wie /wp-admin/
2. Kryptografische Fehler
Problem: Passwörter werden im Klartext gespeichert, kein SSL/TLS, schwache Hash-Algorithmen.
Folge: Bei Datenbank-Leak sind alle Passwörter kompromittiert!
3. SQL Injection
Problem: Angreifer schleusen SQL-Befehle über Formulare ein und können die Datenbank auslesen/manipulieren.
Schutz: Prepared Statements, Input-Validierung, Web Application Firewall (WAF)
4. Fehlkonfigurationen
Problem: Debug-Modi aktiviert, Standard-Passwörter, unnötige Services laufen.
BSI-Empfehlung: Härtung nach IT-Grundschutz-Bausteinen![5]
2.2 Erweiterungen, Plugins und Themes als Haupteinfallstor
BSI-Analysen zeigen, dass der Großteil der Schwachstellen bei CMS-basierten Websites nicht im Kernsystem, sondern in Erweiterungen und Add-ons liegt: Bei WordPress entfielen in einer BSI-Auswertung etwa 80 Prozent der Sicherheitslücken auf Plugins, während nur rund 20 Prozent den Core betrafen[8][3].
WordPress-Schwachstellen: Plugins vs. Core (BSI-Studie)
80% aller Sicherheitslücken liegen in Plugins, nicht im WordPress-Core
Quelle: BSI-Sicherheitsstudie Content Management Systeme
⚠️ 333 neue Plugin-Schwachstellen in einer Woche!
Sicherheitsstudien und Berichte aus der WordPress-Sicherheits-Community bestätigen, dass im Ökosystem monatlich Hunderte neuer Schwachstellen entdeckt werden, häufig in schlecht gewarteten oder nicht mehr gepflegten Plugins und Themes[3].
2.3 Veraltete Software, schwache Passwörter und fehlende Mehrfaktor-Authentifizierung
Sowohl BSI als auch Sicherheitsdienstleister weisen seit Jahren darauf hin, dass veraltete Softwareversionen einer der wichtigsten Einfallstore für Angriffe sind. Viele erfolgreiche Hacks nutzen bekannte Schwachstellen, für die längst Sicherheitsupdates verfügbar wären, die aber nicht eingespielt wurden[1][3].
3. WordPress-Sicherheit 2026: Standardmaßnahmen und empfohlene Plugins
3.1 Rolle von WordPress im KMU-Umfeld
WordPress ist mit einem Marktanteil von über 40 Prozent das weltweit meistgenutzte CMS und wird auch von vielen deutschen KMU für Websites, Blogs und kleine Shops eingesetzt. Diese große Verbreitung macht WordPress zu einem attraktiven Ziel für automatisierte Angriffe wie Brute-Force-Loginversuche, das Ausnutzen bekannter Plugin-Lücken oder das Einschleusen von Malware über unsichere Themes[3][7].
✅ BSI: WordPress grundsätzlich sicher!
Sicherheitsstudien von BSI und CMS-Garden bescheinigen WordPress ein grundsätzlich gutes Sicherheitsniveau, wenn Updates zeitnah eingespielt und Härtungsmaßnahmen umgesetzt werden, warnen aber ausdrücklich vor dem Betrieb in Standardkonfiguration und vor unzureichend gewarteten Erweiterungen[8].
3.2 Technische Basismaßnahmen (Stand 2026)
Zu den Basismaßnahmen, die 2026 für eine professionelle WordPress-Installation als Standard gelten sollten, gehören:
Unnötige oder ungenutzte Erweiterungen deinstallieren; bei allen verbliebenen Plugins auf Reputation, Update-Historie und Support achten.
Absicherung der Datei wp-config.php, Nutzung individueller Tabellenpräfixe, Erzwingen von SSL für das Backend (FORCE_SSL_ADMIN), Beschränkung des Backend-Zugriffs.
Ein moderner Hosting-Provider sollte aktuelle PHP-Versionen, gehärtete Serverkonfigurationen und eine Web Application Firewall (WAF) bereitstellen[7].
3.3 Sicherheitsplugins und Standardfunktionen 2026
Professionelle Sicherheitslösungen für WordPress bündeln heute mehrere Schutzebenen: Firewall, Malware-Scanner, Login-Schutz und Überwachungsfunktionen. Ein Beispiel ist das weit verbreitete Plugin Wordfence, das eine Endpoint-Firewall, Malware-Scanning, Schutz vor Brute-Force-Angriffen und Zwei-Faktor-Authentifizierung (2FA) integriert[7].
| Sicherheits-Feature | Zweck | Plugin |
|---|---|---|
| Web Application Firewall (WAF) | Filterung bösartiger Anfragen, Blockierung bekannter Exploits | Wordfence, Sucuri |
| Malware-Scanner | Regelmäßige Prüfung von Dateien und Datenbank auf Schadcode | Wordfence, MalCare |
| Login-Schutz (Brute-Force) | Rate-Limiting, IP-Sperren, Login-Versuche limitieren | Wordfence, Limit Login Attempts |
| Zwei-Faktor-Authentifizierung (2FA) | TOTP-Apps (Google Authenticator), Hardware-Keys (YubiKey) | Wordfence Login Security, WP 2FA |
| Protokollierung (Logging) | Logins, Änderungen an Plugins/Themes, Rollenänderungen tracken | WP Activity Log, Wordfence |
3.4 Organisatorische WordPress-Best Practices
Technische Maßnahmen müssen durch organisatorische Regeln ergänzt werden, damit das Sicherheitsniveau langfristig erhalten bleibt. Dazu gehören insbesondere:
Verbot: Standard-Username „admin"
Niemals „admin" als Benutzernamen verwenden! Einrichtung individueller, schwer zu erratender Loginnamen.
Passwortmanager nutzen
Nutzung eines Passwortmanagers (1Password, Bitwarden) und Vorgabe starker, einzigartiger Passwörter für alle CMS- und Hosting-Konten.
Least-Privilege-Prinzip
Vergabe von Benutzerrollen nach dem Prinzip der minimalen Berechtigung (least privilege) und regelmäßige Überprüfung inaktiver Konten.
Dokumentierte Update-Prozesse
Dokumentierte Update- und Backup-Prozesse, idealerweise mit Verantwortlichkeiten und Vertretungsregelungen.
4. SSL/TLS 2026: BSI-Anforderungen und Zertifikate
4.1 BSI-Anforderungen und Schlüssellängen
Das BSI legt in der Technischen Richtlinie TR-02102-2 fest, welche kryptografischen Verfahren und Schlüssellängen für TLS-Verbindungen als „BSI-konform" gelten. Seit der Überarbeitung 2023 empfiehlt das BSI für RSA-Zertifikate eine Schlüssellänge von mindestens 3000 beziehungsweise 3072 Bit und betrachtet 2000-Bit-Schlüssel nur noch übergangsweise als ausreichend[9].
BSI TLS-Anforderungen 2026
Bewertung verschiedener TLS-Versionen nach BSI-Richtlinien
Quelle: BSI TR-02102-2 (2023)
💡 BSI-Empfehlung für KMU
Auch wenn KMU rechtlich oft nicht direkt an TR-02102-2 gebunden sind, ist es aus Sicherheits- und Zukunftssicht sinnvoll, sich an diesen Parametern zu orientieren, etwa durch die Wahl von Zertifikaten mit 2048- oder 3072-Bit-RSA und aktuellen TLS-Versionen (TLS 1.2 und 1.3) sowie dem Verzicht auf veraltete Protokolle und schwache Chiffren[9].
4.2 Kostenlose vs. kostenpflichtige Zertifikate
Mit Initiativen wie Let's Encrypt stehen kostenlose Domain-Validation-Zertifikate (DV) zur Verfügung, die technisch dieselbe Transportverschlüsselung bieten wie viele kostenpflichtige Angebote. Let's Encrypt stellt vollautomatisiert TLS-Zertifikate aus, die regelmäßig erneuert werden und sich besonders für KMU mit begrenztem Budget eignen.
| Zertifikatstyp | Prüfung | Kosten | Use Case |
|---|---|---|---|
| DV (Domain Validation) | Nur Domain-Kontrolle | Kostenlos (Let's Encrypt) | KMU-Websites, Blogs |
| OV (Organization Validation) | Domain + Unternehmensidentität | ~50-200 €/Jahr | Business, höheres Vertrauen |
| EV (Extended Validation) | Umfassende Identitätsprüfung | ~200-500 €/Jahr | E-Commerce, Banking |
✅ Let's Encrypt für KMU empfohlen
Für klassische KMU-Websites ohne hochkritische Transaktionen reichen in der Regel DV-Zertifikate mit korrekter Konfiguration aus; für Anwendungen mit erhöhtem Vertrauensbedarf (z.B. Kundenportale mit besonders sensiblen Daten) kann ein OV- oder EV-Zertifikat sinnvoll sein.
4.3 Neue Entwicklungen: Kurzlebige Zertifikate und IP-Zertifikate
Let's Encrypt arbeitet seit 2025 verstärkt mit kurzlebigen Zertifikaten (z.B. Laufzeiten von sechs Tagen) und unterstützt die Aufnahme von IP-Adressen als „Subject Alternative Name" in solche Zertifikate. Dadurch können Dienste, die nur über eine IP-Adresse und nicht über einen Domainnamen erreichbar sind, ebenfalls mit öffentlich vertrauenswürdigen TLS-Zertifikaten abgesichert werden.
⚠️ Wichtig: Zertifikatsgültigkeit überwachen!
Wichtig ist in jedem Fall die kontinuierliche Überwachung der Zertifikatsgültigkeit, um abgelaufene Zertifikate und damit verbundene Browser-Warnungen zu vermeiden, die sowohl Nutzervertrauen als auch Suchmaschinenrankings beeinträchtigen können.
5. Backup-Strategien: 3-2-1-1-0-Regel für KMU
5.1 Anforderungen aus BSI-Grundschutz und Datenschutzrecht
Der BSI-IT-Grundschutz-Baustein CON.3 „Datensicherungskonzept" definiert Mindestanforderungen an Backups, darunter klare Festlegungen zu Umfang, Turnus, Speicherorten und Verantwortlichkeiten sowie regelmäßige Wiederherstellungstests. Auch Aufsichtsbehörden für Datenschutz verweisen bei den „Mindestanforderungen an ein Backup-Konzept" auf diesen Baustein und betonen, dass Backups sowohl Datensicherung als auch Wiederherstellung (Restore) abdecken müssen[10][5].
DSGVO + GoBD: Backups sind Pflicht!
Rechtlich spielen neben dem IT-Sicherheitsrecht vor allem DSGVO und GoBD eine Rolle: Unternehmen müssen personenbezogene Daten und aufbewahrungspflichtige Geschäftsdaten vor Verlust schützen, aber auch Löschpflichten und Zugriffsschutz berücksichtigen. Ein durchdachtes Backup-Konzept ist damit sowohl Sicherheits- als auch Compliance-Instrument[10].
5.2 Die 3-2-1-1-0-Regel als moderner Best Practice
Aktuelle Praxisleitfäden für Unternehmens-Backups empfehlen die sogenannte 3-2-1-1-0-Regel:
💡 Warum ist die 3-2-1-1-0-Regel so wichtig?
Diese Regel hilft insbesondere KMU, Ransomware-Risiken zu minimieren, da unveränderliche und ausgelagerte Backups eine Wiederherstellung auch nach einer vollständigen Verschlüsselung der Produktivsysteme ermöglichen. Für Websites bedeutet dies, dass sowohl Dateien (z.B. CMS-Code, Uploads, Konfigurationen) als auch Datenbanken regelmäßig und automatisiert gesichert werden sollten[10].
5.3 Backup-Frequenz und Aufbewahrungsdauer
| Website-Typ | Backup-Frequenz | Aufbewahrung |
|---|---|---|
| E-Commerce | Täglich | 30 Tage |
| Business-Website | Täglich | 14 Tage |
| Statische Website | Wöchentlich | 7 Tage |
| Landing Page | Bei Änderungen | 3 Versionen |
Die optimale Backup-Frequenz hängt von der Änderungsrate der Website und der geschäftlichen Bedeutung der Daten ab. Für typische KMU-Websites mit regelmäßigem Content-Update wird häufig mindestens ein tägliches Backup empfohlen, bei statischeren Seiten können längere Intervalle ausreichend sein, sofern zusätzlich vor größeren Änderungen (z.B. Plugin-Updates) manuelle Sicherungen erstellt werden[10].
5.4 Tests und Dokumentation
BSI und Datenschutzaufsichtsbehörden betonen, dass Backups ohne Wiederherstellungstests und Dokumentation kein vollständiges Sicherheitskonzept darstellen. Unternehmen sollten daher regelmäßig (z.B. quartalsweise) Stichproben-Restores durchführen, idealerweise in einer Testumgebung, und Ergebnisse protokollieren.
✅ Was muss dokumentiert werden?
- Was gesichert wird (Systeme, Datenbanken, Konfigurationen, Protokolle)
- Wo die Backups liegen (physische und logische Standorte, Cloud-Regionen)
- Wie lange Sicherungen aufbewahrt werden
- Wer verantwortlich ist und wie Vertretungen geregelt sind
6. Was tun nach einem Hack? BSI-Notfallkarte
6.1 Erste Hilfe nach BSI-Notfallkarte
Das BSI stellt mit der IT-Notfallkarte und ergänzenden Maßnahmenkatalogen praxisnahe Handlungsanleitungen für den Umgang mit IT-Notfällen wie Cyberangriffen oder kompromittierten Websites bereit. Industrie- und Handelskammern fassen diese Empfehlungen für KMU zusammen und betonen, dass Ruhe, klare Zuständigkeiten und strukturierte Informationsweitergabe entscheidend sind[1][5].
🚨 Sofortmaßnahmen nach Hack
Betroffene Systeme isolieren
NICHT herunterfahren! Netzwerkkabel ziehen, WLAN trennen. Dadurch wird die Ausbreitung gestoppt und forensische Spuren bleiben erhalten.
Dokumentieren
Verdachtsmomente, Uhrzeiten, beobachtetes Verhalten und betroffene Konten dokumentieren. Screenshots machen!
Interne Ansprechpartner informieren
IT-Verantwortliche, Geschäftsführung, Datenschutzbeauftragten informieren und ggf. Krisenstab einrichten.
6.2 Einbindung externer Stellen und Meldepflichten
Das BSI verweist in Übersichten zur Vorfallsbearbeitung auf verschiedene externe Unterstützungsmöglichkeiten, darunter Polizei, Landeskriminalämter mit Zentralen Ansprechstellen Cybercrime (ZAC), Verfassungsschutz und spezialisierte Incident-Response-Dienstleister. Für bestimmte Branchen und Unternehmensgrößen können zudem Meldepflichten aus NIS-2 beziehungsweise dem BSI-Gesetz gelten, die eine Meldung erheblicher Sicherheitsvorfälle an das BSI innerhalb kurzer Fristen verlangen[5].
📞 Wichtige Anlaufstellen
- Polizei (Cybercrime): Zentrale Ansprechstellen Cybercrime (ZAC) bei Landeskriminalämtern
- BSI: Meldepflicht für KRITIS-Betreiber und NIS-2-regulierte Unternehmen
- Datenschutzbehörde: Meldung bei Datenpanne mit Risiko für Betroffene (DSGVO Art. 33)
- Incident-Response-Dienstleister: Professionelle forensische Analyse und Bereinigung
6.3 Technische Forensik und Bereinigung
Das BSI hat in Arbeitspapieren und Maßnahmenkatalogen beschrieben, wie eine geordnete Behandlung schwerer Sicherheitsvorfälle durch IT-Personal ablaufen sollte. Für die Bewältigung eines Website-Hacks sind insbesondere folgende technische Schritte relevant:
Kopie der kompromittierten Dateien und Datenbanken zur späteren Analyse erstellen.
Website aus vertrauenswürdigen Quellen (saubere Backups, frische CMS-Installationen) wiederherstellen.
CMS, Datenbank, Hosting, E-Mail, API-Schlüssel – ALLES neu! 2FA aktivieren!
Verwundbare Plugins entfernen, Patches einspielen, Serverkonfiguration härten[7].
⚠️ Wenn keine sauberen Backups existieren
Wenn keine ausreichenden, sauberen Backups existieren, kann eine Neuimplementierung der Website auf Basis aktueller Software oft die sicherste Option sein, auch wenn dies kurzfristig aufwendiger ist.
6.4 Kommunikation, Wiederanlauf und Lessons Learned
Neben der technischen Bewältigung ist eine transparente und sinnvolle Kommunikation wichtig, insbesondere wenn Kundendaten betroffen sein könnten. Unternehmen sollten klären, ob und wie Website-Besucher, Kunden und Partner informiert werden müssen, und dabei mit Datenschutzbeauftragten und Rechtsanwälten zusammenarbeiten.
Im Anschluss an den Vorfall empfiehlt das BSI, ein strukturiertes „Lessons Learned" durchzuführen: Ursachenanalyse, Bewertung der Wirksamkeit von Maßnahmen, Aktualisierung von Sicherheitsrichtlinien, Notfallplänen und technischen Kontrollen. Ein Vorfall sollte genutzt werden, um das Sicherheitsniveau langfristig zu erhöhen – etwa durch Einführung von 2FA, bessere Protokollierung, regelmäßige Schwachstellenscans und Schulungen[1][5].
7. SEO und E-E-A-T: Warum Security für Rankings wichtig ist
7.1 Sicherheit als Qualitäts- und Rankingfaktor
Moderne Suchmaschinen werten technische Sicherheit als Teil der Gesamtqualität einer Website, unter anderem durch Signale wie HTTPS-Nutzung, Abwesenheit von Malware und saubere User-Experience ohne Warnmeldungen. Kompromittierte oder mit Schadcode infizierte Seiten können von Suchmaschinen herabgestuft oder ganz aus den Suchergebnissen entfernt werden, bis die Probleme behoben sind[2].
⚠️ Google Malware-Warnung = SEO-Killer!
Für KMU bedeutet eine sichere Website somit nicht nur Risikoreduktion, sondern auch Schutz der Sichtbarkeit in Suchmaschinen und der eigenen Online-Reputation. Eine gehackte Website mit Google-Warnung verliert innerhalb von Tagen 90%+ ihres organischen Traffics!
7.2 E-E-A-T durch Autoritäten und Praxisbezug
Aus SEO-Sicht können Inhalte zur Website-Sicherheit die wahrgenommene Expertise und Vertrauenswürdigkeit (E-E-A-T: Experience, Expertise, Authoritativeness, Trustworthiness) stärken, wenn sie auf seriösen Quellen basieren und praktische Anleitungen bieten. Die Einbindung und Zitierung offizieller Stellen wie BSI, OWASP oder Industrie- und Handelskammern zeigt, dass sich Unternehmen an anerkannten Standards orientieren, während konkrete Schritt-für-Schritt-Empfehlungen, Beispiele und Checklisten den praktischen Nutzen für Leser erhöhen[6][5].
💡 SEO-Vorteil durch Security-Content
Wer als KMU oder Agentur fundierte Sicherheitsguides veröffentlicht, kann sich so in einer Nische positionieren, organischen Traffic generieren und gleichzeitig das eigene Sicherheitsbewusstsein im Unternehmen stärken.
8. Konkrete To-do-Liste für KMU in Deutschland
Abschließend lassen sich für kleine Unternehmen folgende priorisierte Schritte ableiten, um die Website-Sicherheit 2026 deutlich zu verbessern:
Schritt 1: Ist-Analyse durchführen
Ist-Analyse durchführen (z.B. nach DIN SPEC 27076 oder IHK-Checklisten) und Website-Risiken erfassen. Welche CMS-Version läuft? Welche Plugins sind installiert? Wann war das letzte Backup?
Schritt 2: Updates einspielen
CMS, Plugins, Themes und Serversoftware auf aktuellen Stand bringen und künftig regelmäßige Updates einplanen. Automatische Updates für WordPress Core und Plugins aktivieren!
Schritt 3: HTTPS mit TLS 1.3 sicherstellen
HTTPS mit zeitgemäßer TLS-Konfiguration (TLS 1.2/1.3, starke Schlüssellängen, vertrauenswürdiges Zertifikat) sicherstellen. Let's Encrypt kostenlos nutzen!
Schritt 4: Sicherheitsplugin installieren
Sicherheitsplugin mit WAF, Malware-Scanner und 2FA installieren und korrekt konfigurieren (Wordfence, Sucuri, iThemes Security).
Schritt 5: Backup-Konzept nach 3-2-1-1-0 aufsetzen
Backup-Konzept nach 3-2-1-1-0-Prinzip aufsetzen, Backups automatisieren und Wiederherstellung testen. Täglich, extern, unveränderlich!
Schritt 6: Notfallplan erstellen
Notfallplan nach BSI-Vorgaben erstellen, IT-Notfallkarte verteilen und Ansprechpartner festlegen. Was tun bei Hack? Wer ist verantwortlich?
Schritt 7: Mitarbeitende schulen
Mitarbeitende regelmäßig zu Phishing, sicheren Passwörtern und Meldewegen bei Verdachtsfällen schulen. Der Mensch ist oft die größte Schwachstelle!
Ihre Website ist unsicher? Wir machen sie hackerfest!
WordPress-Security, SSL/TLS, Backups, Malware-Scan – wir prüfen Ihre Website auf Schwachstellen, implementieren BSI-konforme Sicherheitsmaßnahmen und schützen Sie vor Ransomware, Phishing und Datenverlust. Vermeiden Sie Ausfälle und Google-Ranking-Verluste!
Quellen
- [1] So geht Cybersicherheit für kleine und mittlere Unternehmen - Service-Verband. Service-Verband Deutschland. Abgerufen am 25. März 2026.
- [2] OWASP Top Security Risks & Vulnerabilities 2021 - Sucuri. Sucuri Security. Abgerufen am 25. März 2026.
- [3] WordPress-Sicherheit 2026: 333 neue Schwachstellen in einer Woche. Startklar Oldenburg. Abgerufen am 25. März 2026.
- [4] Leitfaden Informationssicherheit - BSI. Bundesamt für Sicherheit in der Informationstechnik. Abgerufen am 25. März 2026.
- [5] BSI: IT-Grundschutz umfassend modernisiert - IHK Hannover. IHK Hannover. Abgerufen am 25. März 2026.
- [6] OWASP Top 10 2021 - Interactive Web Application Security. OWASP Foundation. Abgerufen am 25. März 2026.
- [7] WordPress Security: 6 Vital Security Layers - Wordfence. Wordfence. Abgerufen am 25. März 2026.
- [8] BSI-Sicherheitsstudie Content Management Systeme (CMS). BSI / Fraunhofer. Abgerufen am 25. März 2026.
- [9] BSI: Hohe Anforderungen an RSA-Schlüssellängen bei TLS - heise.de. heise online. Abgerufen am 25. März 2026.
- [10] Backup-Pflicht in Deutschland: Das müssen Sie wissen - serverstart. serverstart.de. Abgerufen am 25. März 2026.