Die meisten Webseiten-Inhaber wählen ihren Hoster nach Preis, Empfehlung oder weil der erste Treffer in der Suche schon ganz vernünftig aussah. Was der Anbieter eigentlich für die Sicherheit der Webseite leistet, taucht in dieser Entscheidung selten auf. Und wenn etwas schiefgeht, steht plötzlich die Frage im Raum, wer für Backups, Patches und Wiederherstellung zuständig ist.
Die gute Nachricht: Du kannst das alles vor Vertragsabschluss prüfen, und auch im laufenden Vertrag lässt sich vieles noch nachsteuern. Es braucht keine Server-Erfahrung, sondern eine handvoll konkreter Fragen, die einen guten Hoster von einem schwachen unterscheiden.
Diese Checkliste ist anbieter-neutral. Du kannst sie nehmen, um einen neuen Vertrag zu bewerten, einen Wechsel vorzubereiten oder Deinen aktuellen Hoster fair einzuschätzen. Sie ist Teil der größeren organisatorischen Klammer rund um die Pflege deiner Webseite. Hoster-Wahl heute spart dir später beim Updaten und Backuppen Reibung.
Warum der Hoster zur halben Sicherheit gehört
Die Sicherheit Deiner Webseite teilt sich in zwei Hälften auf. Die eine Hälfte verantwortest Du selbst: gute Passwörter, aktuelle CMS-Versionen, Zwei-Faktor-Authentifizierung, sinnvolle Benutzerrechte. Die andere Hälfte erledigt der Hoster: Server-Patches, Netzwerk-Schutz, Backups, Zugriffskontrollen im Rechenzentrum.
Wenn Du nur Deine Hälfte machst und der Hoster seine vernachlässigt, hilft Dir Dein bestes Passwort wenig, sobald jemand über eine veraltete PHP-Version auf den Server kommt. Umgekehrt nützt Dir auch der beste Hoster nichts, wenn Dein eigenes Backend offen wie ein Scheunentor steht.
Die folgenden Punkte sind die Hoster-Hälfte. Du kannst sie nicht selbst lösen — aber Du kannst sie vor Vertragsabschluss erfragen und im laufenden Betrieb regelmäßig prüfen.
Backup-Politik des Hosters
Die wichtigste Einzelfrage. Backups entscheiden im Ernstfall darüber, ob Du nach einem halben Tag wieder online bist oder eine Woche lang einen Datenverlust reparierst.
Frag konkret nach:
- Automatische Backups im Tarif: sind sie enthalten oder Aufpreis?
- Aufbewahrungszeit: wie viele Tage stehen Wiederherstellungspunkte zurück?
- Sicherungs-Umfang: Webspace und Datenbank, oder nur eines davon?
- Self-Service: kannst Du im Kundenmenü selbst zurückspielen, oder geht jeder Restore über ein Support-Ticket?
Sieben Tage Aufbewahrung sind im Mittelfeld üblich, mehr ist besser. Self-Service ist im Ernstfall Gold wert, weil Du nicht auf Geschäftszeiten angewiesen bist. Die eigene Backup-Strategie ergänzt die Hoster-Backups. Sie ersetzt sie nicht, aber sie schützt Dich, falls beim Hoster selbst etwas verloren geht.
Verschlüsselung und HTTPS aus dem Tarif
HTTPS ist seit Jahren Pflicht. Browser markieren ungesicherte Seiten als unsicher, Suchmaschinen werten sie ab. Ein guter Hoster nimmt Dir das komplett ab.
Die Punkte, die zählen:
- Let's-Encrypt automatisch: kostenfrei, mit ein, zwei Klicks aktivierbar?
- Automatische Erneuerung: Zertifikate laufen alle 90 Tage aus, das soll der Hoster im Hintergrund regeln, nicht Du.
- Subdomains und Aliase: funktioniert die Zertifikats-Logik auch für shop.deine-domain.de, ohne Bastelei?
- HTTPS-Erzwingung: lässt sich ein Redirect von HTTP auf HTTPS sauber im Kundenmenü oder per .htaccess setzen?
Wenn ein Anbieter für ein Standard-Zertifikat extra Geld verlangt oder bei Subdomains zickt, ist das ein Warnsignal. Was dabei technisch im Hintergrund passiert, zeigt der Beitrag was hinter dem Schloss-Symbol steckt — vom TLS-Handshake bis zur Zertifikats-Hierarchie.
Zugriffskontrolle und 2FA für den Hoster-Account
Das Kundenmenü Deines Hosters ist der oft übersehene Schlüssel zum gesamten Setup. Wer da reinkommt, ändert DNS-Einträge, legt neue Mail-Weiterleitungen an, löscht Datenbanken oder leitet Domains um. Das ist deutlich gefährlicher als ein gehacktes CMS-Backend.
Frag nach:
- 2FA im Kundenmenü: wird sie angeboten, und welche Methoden? Authenticator-App ist Pflicht, SMS akzeptabel, FIDO2-Sicherheitsschlüssel ein Plus.
- IP-Whitelisting für FTP/SSH: kannst Du administrative Zugänge auf bestimmte IP-Adressen einschränken?
- Login-Benachrichtigungen: bekommst Du eine Mail, wenn sich jemand neu im Kundenmenü anmeldet?
Der Hoster-Account ist genau einer der besonders sensiblen Zugänge, bei denen 2FA keine Verhandlungssache ist. Wie Du 2FA richtig einrichtest, ist in einem eigenen Beitrag im Detail beschrieben. Wenn Dein Hoster die Funktion gar nicht erst anbietet, ist das ein klares Argument für einen Wechsel.
Updates und Server-Pflege
Auf diesen Bereich hast Du als Kunde keinen direkten Einfluss — aber Du kannst und solltest fragen, wie der Anbieter ihn handhabt.
- PHP-Versionen: sind aktuell unterstützte Versionen wählbar, und wie schnell folgt der Hoster neuen Releases?
- Sicherheits-Patches: wie zeitnah werden bekannte Server-Schwachstellen geschlossen?
- DDoS-Schutz: gibt es Schutzmechanismen auf Netzwerk-Ebene, oder bist Du bei einer Attacke einfach offline?
- Mail-Reputation: wie schützt der Hoster gemeinsame IP-Adressen vor Spam-Versendern, damit Deine seriösen Mails nicht unverschuldet im Junk landen?
Antworten in der Form „Wir kümmern uns" reichen nicht. Frag nach konkreten Zeiträumen und Mechanismen.
Support und Reaktionszeit im Ernstfall
Die ehrlichste Test-Frage an jeden potenziellen Hoster lautet: „Wenn meine Webseite gehackt wird, wie schnell und auf welchem Weg antwortet Euer Support?"
Worauf es ankommt:
- Erreichbarkeit: 24/7 oder nur werktags, und wie sehen die Wochenenden aus?
- Sprache: Deutsch verfügbar, oder nur englischer First-Level-Support?
- Form: Telefon, Ticket, Chat, und welche Reaktionszeiten werden zugesichert?
- Eskalation: kommst Du im Ernstfall direkt an einen kompetenten Admin, oder läufst Du erstmal durch drei Standard-Antworten?
Im Ernstfall geht es genau um diese Reaktionszeit — die Schritte nach einem Hackerangriff hängen direkt davon ab, wie schnell Dein Hoster Backups, Logfiles und Restore-Optionen bereitstellen kann.
Standort, Datenschutz und Vertragstransparenz
Ein paar Punkte, die nichts mit Technik im engeren Sinne zu tun haben, im Ernstfall aber genauso wichtig sind.
- Server-Standort: EU oder besser Deutschland vereinfacht die DSGVO-Argumentation deutlich.
- AV-Vertrag: ein Auftragsverarbeitungsvertrag muss vorhanden und ohne Aufpreis abrufbar sein.
- Daten-Export: kannst Du im Kündigungsfall problemlos Webspace und Datenbanken exportieren, oder bist Du an proprietäre Tools gebunden?
- Vertragslaufzeit: kurze Laufzeiten oder monatliche Kündigung sind ein gutes Zeichen, lange Bindung mit hohen Wechselkosten ein schlechtes.
Diese Punkte zeigen, wie ernst ein Anbieter Dich als Kunden nimmt. Gerade wenn Du irgendwann wieder gehen willst.
Wie ich es selbst gelöst habe
Ich nutze für tobias-harig.de und einige Kundenseiten einen klassischen Shared-Hoster: kein VPS, keine Cloud, keine Container-Welt. Wenn Du noch unsicher bist, wie sich die vier Hosting-Modelle im Überblick voneinander abgrenzen, lohnt dort ein kurzer Vor-Check, bevor Du die Checkliste anwendest. Meine Anforderungen sind klein und planbar, und der Aufwand für eigenes Server-Management würde sich nicht rechnen.
Bei der Auswahl waren mir konkret diese Filter wichtig:
- tägliche automatische Backups mit mindestens sieben Tagen Aufbewahrung und Self-Service-Restore
- 2FA im Kundenmenü mit Authenticator-App
- deutscher Support per Ticket und Telefon, mit nachvollziehbaren Reaktionszeiten
- Server-Standort Deutschland und ein AV-Vertrag, den ich mit zwei Klicks herunterladen kann
- automatisches Let's-Encrypt für Hauptdomain und beliebige Subdomains
Das ist keine Empfehlung für einen bestimmten Anbieter. Die Konstellation gibt es bei mehreren seriösen Hostern. Es ist die Liste, die ich angelegt habe, bevor ich verglichen habe, und an der ich heute regelmäßig die Vertragsverlängerung prüfe.
Fazit — fünf Jahre Ruhe statt eine Stunde Vergleich
Die Hoster-Wahl gilt fünf Jahre, nicht nur eine Stunde. Ein Wechsel mitten im Betrieb ist mühsam, eine schwache Sicherheitsbasis fällt Dir irgendwann auf die Füße. Eine halbe Stunde mit dieser Checkliste vor Vertragsabschluss spart Dir später Tage.
Wenn Du jetzt anfängst, sind die zwei sinnvollsten nächsten Schritte eine eigene Backup-Strategie unabhängig vom Hoster und konsequente Zwei-Faktor-Authentifizierung für alle administrativen Zugänge — Hoster, CMS, E-Mail. Damit sind beide Hälften der Sicherheit auf einem soliden Stand, und Du kannst Dich wieder um die Inhalte Deiner Webseite kümmern.