Eine Webseite besteht aus weit mehr als den Seiten, die Besucher sehen. Im Hintergrund liegen Konfigurationsdateien, Versionsverläufe und Sicherungskopien, die nie für die Öffentlichkeit gedacht waren. Manche davon enthalten Datenbank-Passwörter, Zugangsschlüssel oder den kompletten Quellcode.
Das Problem entsteht, wenn solche Dateien versehentlich über die normale Webadresse erreichbar bleiben. Dann genügt der Aufruf einer bestimmten URL, und ein Fremder liest mit, was eigentlich verborgen sein sollte.
Beruhigend ist, dass Du kein Server-Profi sein musst, um das Risiko einzuschätzen. Dieser Beitrag zeigt Dir, welche Dateien niemals öffentlich erreichbar sein dürfen, wie Dein Hoster sie sperrt und wie Du Deine eigene Domain in wenigen Minuten testest.
Warum vergessene Dateien zum Einfallstor werden
Angreifer durchsuchen das Web nicht von Hand. Automatisierte Programme klappern Tausende Domains pro Stunde ab und fragen gezielt nach Dateinamen, die erfahrungsgemäß sensibel sind. Eine Konfigurationsdatei mit Zugangsdaten ist ein Volltreffer, der ohne jeden Aufwand gefunden wird.
Diese Scans laufen rund um die Uhr und treffen jede erreichbare Seite, ganz gleich wie klein oder unbekannt sie ist. Diese Programme zielen auf die Masse, Dich treffen sie nur als eine Adresse unter vielen. Wer die richtige Datei offen liegen lässt, landet früher oder später in einem Treffer-Protokoll.
Der Schaden ist selten sofort sichtbar. Gestohlene Zugangsdaten werden oft erst Wochen später benutzt, manchmal für Spam-Versand über Deinen Server, manchmal für den stillen Zugriff auf Kundendaten. Genau deshalb lohnt der Blick auf die Dateien, die im Verborgenen liegen sollten.
Die Konfigurationsdatei mit den Schlüsseln zum Haus
Viele Anwendungen bewahren ihre Zugangsdaten in einer zentralen Konfigurationsdatei auf, häufig schlicht .env genannt. Dort stehen das Datenbank-Passwort, Schnittstellen-Schlüssel für Zahlungsdienste und oft auch interne Sicherheits-Token in Klartext.
Diese Datei gehört auf den Server, aber niemals in den öffentlich erreichbaren Bereich. Liegt sie falsch und antwortet beim direkten Aufruf, bekommt der Angreifer die Schlüssel zum gesamten System frei Haus geliefert. Ein Passwortwechsel allein reicht dann nicht, weil häufig gleich mehrere Dienste am selben Schlüssel hängen.
Das Muster gilt für jedes Format mit Zugangsdaten, ob Konfigurationsdatei, Einstellungs-Skript oder Verbindungs-Profil. Entscheidend ist die Frage, ob ein Fremder den Inhalt über die normale Webadresse abrufen kann. Wenn ja, gehört er dringend hinter eine Sperre.
Das .git-Verzeichnis verrät den ganzen Quellcode
Wer seine Webseite mit einem Versionsverwaltungs-System pflegt, hat einen versteckten Ordner namens .git im Projekt. Er speichert die komplette Entwicklungsgeschichte, jede frühere Fassung jeder Datei und nicht selten auch Zugangsdaten aus alten Ständen.
Bleibt dieser Ordner öffentlich erreichbar, kann ein Angreifer daraus den gesamten Quellcode rekonstruieren. Er sieht die innere Struktur Deiner Seite, findet bekannte Schwachstellen schneller und stößt mitunter auf Passwörter, die längst vergessen schienen, im Verlauf aber konserviert sind.
Ähnlich heikel sind automatische Sicherungskopien, die manche Editoren neben der Originaldatei ablegen. Sie tragen oft eine Tilde oder den Zusatz .bak im Namen und liefert der Server als reinen Text aus, statt sie wie ein Programm auszuführen. Damit liegt der Originalinhalt offen.
Diese Dateien gehören niemals ins Schaufenster
Ein paar Datei-Typen tauchen bei solchen Vorfällen immer wieder auf. Sie haben gemeinsam, dass sie für den Betrieb wichtig, für Besucher aber bedeutungslos und für Angreifer hochinteressant sind.
- Konfigurationsdateien: alles mit Zugangsdaten, Datenbank-Verbindungen oder Schnittstellen-Schlüsseln, allen voran die .env.
- Versionsverläufe: der .git-Ordner und vergleichbare Verzeichnisse anderer Verwaltungs-Systeme.
- Sicherungskopien: Dateien mit Endungen wie .bak, .old, .save oder einer angehängten Tilde.
- Datenbank-Abzüge: Export-Dateien mit der Endung .sql, die den kompletten Inhalt enthalten.
- Protokoll- und Notizdateien: Logbücher und To-do-Listen, die interne Pfade und Fehlermeldungen offenlegen.
Die Liste vermittelt ein Gespür für das Muster und erhebt keinen Anspruch auf Vollständigkeit. Sobald eine Datei interne Informationen trägt und nicht aktiv vom Besucher gebraucht wird, gehört sie aus dem öffentlichen Bereich heraus oder hinter eine Zugriffssperre.
Wie der Zugriff per Serverkonfiguration gesperrt wird
Die saubere Lösung liegt in der Serverkonfiguration. Dort lässt sich festlegen, dass bestimmte Dateinamen und Ordner von außen grundsätzlich nicht ausgeliefert werden, selbst wenn jemand die genaue Adresse kennt. Der Server antwortet dann mit einer Fehlermeldung statt mit dem Inhalt.
Bei den meisten Baukasten- und Hosting-Angeboten ist dieser Schutz bereits ab Werk eingerichtet, gerade für die bekanntesten Verdächtigen wie .env und .git. Bei individuell aufgesetzten Seiten oder älteren Installationen ist das keine Selbstverständlichkeit und muss aktiv geprüft werden.
Du musst diese Konfiguration nicht selbst anfassen, das ist Sache Deines Hosters oder Deiner Agentur. Wichtig ist, dass Du die richtige Frage stellst: Sind sensible Dateien und versteckte Ordner über die Serverkonfiguration vom direkten Aufruf ausgeschlossen? Eine klare Antwort darauf ist mehr wert als jede Vermutung.
Der schnelle Selbsttest für Deine Domain
Einen ersten Eindruck bekommst Du in wenigen Minuten selbst, ganz ohne Technikwissen. Du rufst dazu im Browser Deine Domain auf und hängst hinten den verdächtigen Dateinamen an, etwa Deine Adresse gefolgt von /.env oder von /.git/.
Erscheint eine Fehlermeldung, dass die Seite nicht gefunden wurde oder der Zugriff verweigert ist, arbeitet die Sperre. Lädt dagegen ein Download oder erscheint lesbarer Inhalt mit Passwörtern oder Code, hast Du ein akutes Problem und solltest umgehend Deinen Hoster einschalten.
Wenn Du dabei etwas Heikles entdeckst, wechsle anschließend die betroffenen Passwörter und Schlüssel, denn die Datei könnte längst ausgelesen sein. Bei einem konkreten Verdacht auf einen bereits erfolgten Zugriff hilft Dir der Beitrag Hackerangriff auf Deine Webseite mit den richtigen Sofortmaßnahmen.
Wo dieser Schutz aufhört und andere Themen anfangen
Das Sperren vergessener Dateien schützt davor, dass Geheimnisse hinausgehen. Ein verwandtes, aber eigenes Thema ist die umgekehrte Richtung, also wenn Besucher selbst Dateien auf Deinen Server laden. Wie Du solche Formulare absicherst, behandelt der Beitrag Sichere Datei-Uploads.
Eine Datei darf dagegen ausdrücklich öffentlich liegen: die security.txt. Sie lädt Sicherheitsforscher bewusst dazu ein, Dir gefundene Lücken zu melden, und ist damit ungefährlich. Warum das sinnvoll ist, erklärt der Beitrag security.txt.
Den größeren Rahmen liefert die Wahl des Hosters selbst, denn ein guter Anbieter hat viele dieser Sperren von Haus aus gesetzt. Worauf Du dabei achtest, steht in der Checkliste für sicheres Hosting.
Fazit
Die gefährlichsten Lücken sind selten spektakulär, sondern schlicht vergessen. Eine offene Konfigurationsdatei oder ein erreichbares .git-Verzeichnis kostet Angreifer keine Mühe und Dich womöglich die Kontrolle über das ganze System.
Mach den kurzen Selbsttest, stell Deinem Hoster die eine klare Frage zur Serverkonfiguration und Du hast eine der lautlosesten Schwachstellen geschlossen, bevor sie jemand findet.