Eine Sicherheitswarnung deines Hosters landet im Postfach, darin stehen ein kryptisches Kürzel mit Jahreszahl und eine Zahl zwischen null und zehn. Beides klingt bedrohlich und sagt Dir auf den ersten Blick wenig.
Genau diese beiden Angaben sind aber Dein wichtigstes Werkzeug, um die Lage richtig einzuschätzen. Sie verraten Dir, ob Du sofort handeln musst oder ob ein geplantes Update am nächsten Tag genügt.
Du musst dafür kein Entwickler sein. Es reicht, die Begriffe einordnen zu können und zu wissen, welche Frage Du wem stellst.
Was eine Sicherheitslücke wirklich ist
Eine Sicherheitslücke ist eine Schwachstelle in einer Software, durch die jemand etwas tun kann, das eigentlich nicht vorgesehen war. Das reicht vom Auslesen fremder Daten bis zur vollständigen Übernahme einer Webseite.
Solche Lücken sitzen im Programmcode dahinter, also im CMS, in einer Erweiterung oder im Server. Deine eigenen Texte und Bilder lösen sie nicht aus. Sie entstehen meist unbeabsichtigt, weil moderne Software aus tausenden Bausteinen besteht und niemand jeden Fall vorhersieht.
Wichtig für Dich ist die Unterscheidung zwischen Existenz und Ausnutzbarkeit. Eine Lücke kann monatelang unbemerkt schlummern, gefährlich wird sie erst, wenn ein Angreifer sie kennt und ein passendes Werkzeug dafür hat.
Genau deshalb zählt Geschwindigkeit. Sobald eine Lücke öffentlich dokumentiert ist, suchen automatisierte Scanner das halbe Internet danach ab. Wer früh reagiert, schließt die Tür, bevor diese Suche bei der eigenen Seite ankommt.
Was CVE und der CVSS-Score bedeuten
Sobald eine Lücke öffentlich bekannt wird, bekommt sie einen eindeutigen Namen. Dieser Name ist die CVE-Nummer, ausgeschrieben Common Vulnerabilities and Exposures, ein weltweit gültiger Katalogeintrag.
Eine CVE-Nummer sieht aus wie CVE-2025-12345. Sie enthält das Jahr der Erfassung und eine laufende Nummer, mehr nicht. Der Eintrag selbst ist also nur ein Aktenzeichen, damit alle Beteiligten über dieselbe Lücke sprechen.
Die eigentliche Einschätzung steckt im CVSS-Score, einer Zahl von 0,0 bis 10,0. Sie bewertet, wie schwer eine Lücke wiegt, und teilt sich in vier grobe Stufen.
- 0,1 bis 3,9 (niedrig): meist nur unter seltenen Bedingungen ausnutzbar, geringe Auswirkung.
- 4,0 bis 6,9 (mittel): ernst zu nehmen, oft mit Einschränkungen verbunden.
- 7,0 bis 8,9 (hoch): deutliche Gefahr, zügiges Handeln angebracht.
- 9,0 bis 10,0 (kritisch): leicht ausnutzbar mit großem Schaden, sofortige Reaktion nötig.
Der Score ist eine Orientierung, kein Urteil über genau Deine Webseite. Eine kritische Lücke in einer Funktion, die Du gar nicht nutzt, betrifft Dich womöglich kaum. Genau deshalb folgt als Nächstes die Frage nach der Betroffenheit.
Wie Du erfährst, ob Du betroffen bist
Die Score-Zahl beschreibt die Lücke im Allgemeinen. Ob Du betroffen bist, hängt davon ab, ob die verwundbare Software überhaupt auf Deiner Seite läuft und in welcher Version.
Drei Quellen geben Dir darüber zuverlässig Auskunft.
- Dein CMS-Backend: viele Systeme zeigen im Dashboard direkt an, wenn eine installierte Erweiterung oder der Kern eine bekannte Lücke hat.
- Die Meldung selbst: seriöse Sicherheitshinweise nennen die betroffenen Versionen, sodass Du sie mit Deiner eigenen vergleichen kannst.
- Dein Hoster oder Deine Agentur: wer Deine Seite betreut, kann am schnellsten sagen, ob die Lücke Dein konkretes Setup berührt.
Bei vielen kleinen Webseiten arbeiten zudem dieselben Erweiterungen, die in einer Meldung auftauchen. Ein kurzer Abgleich der genannten Namen mit Deiner Installation grenzt das Risiko oft schon ein, bevor jemand tiefer prüft.
Wenn Du selbst nicht weiterkommst, ist das kein Versagen. Die Versionsnummer Deiner Software sauber abzulesen, ist bereits die halbe Antwort, den Rest klärst Du mit einer kurzen Nachfrage. Regelmäßige Updates halten die Zahl der relevanten Lücken übrigens von vornherein klein, und wie Du sie planvoll statt nach Zufall einspielst, beschreibt der Beitrag zum Patch-Management mit Plan, wie der Beitrag zu CMS-Updates und ihrer Bedeutung zeigt.
Wie Du richtig reagierst
Steht fest, dass Dich eine Lücke betrifft, hast Du drei Wege. Welcher passt, ergibt sich aus dem Score und daraus, ob bereits eine Korrektur bereitsteht.
Der Normalfall ist das Update. Der Hersteller veröffentlicht eine bereinigte Version, Du spielst sie ein, und die Lücke ist geschlossen. Bei hohen und kritischen Scores geschieht das am besten noch am selben Tag.
Manchmal gibt es noch kein Update, aber einen sogenannten Workaround, also eine Zwischenlösung. Dabei wird die verwundbare Funktion vorübergehend abgeschaltet oder eingeschränkt, bis die richtige Korrektur kommt. Solche Schritte gehören in fachkundige Hände, damit nebenbei nichts anderes kaputtgeht. Ein Workaround kauft Dir Zeit, ersetzt aber nie das spätere Update.
Bei kritischen Lücken oder bei Unsicherheit gibst Du die Aufgabe ab. Deine Agentur oder Dein Hoster prüft, spielt ein und kontrolliert anschließend. Wie Du das passende Hosting mit verlässlicher Update-Begleitung auswählst, zeigt die Checkliste für sicheres Hosting. Sollte trotz allem etwas durchrutschen, hilft der ruhige Leitfaden zum Hackerangriff auf Deine Webseite mit klaren Sofortschritten.
Fazit
Eine CVE ist nur ein Aktenzeichen, der CVSS-Score nur eine Orientierungszahl. Beide werden handhabbar, sobald Du sie liest und einordnest, statt sie zu fürchten.
Du schätzt die Schwere am Score ein, klärst über Backend, Meldung oder Hoster Deine Betroffenheit und reagierst mit Update, Workaround oder einem Anruf bei der Agentur. Mit diesem Ablauf wird aus einer beunruhigenden Warnung eine ruhige, strategische Routine.