Website Sicherheit & SSL Zertifikat: Was KMU wirklich wissen müssen

SSL steht für Secure Sockets Layer, der Nachfolgestandard heißt TLS – Transport Layer Security. Im Alltag spricht trotzdem jeder von SSL. Was das Zertifikat tut: Es verschlüsselt die Verbindung zwischen dem Browser deines Besuchers und deinem Webserver. Daten wie Kontaktformular-Eingaben, Passwörter oder Zahlungsinformationen werden so übertragen, dass niemand dazwischen mitlesen oder manipulieren kann. Das kleine Schloss-Symbol in der Adressleiste und das HTTPS-Präfix sind das sichtbare Zeichen dafür, dass eine solche Verbindung besteht.

Wichtig zu verstehen: HTTPS bedeutet nur, dass die Verbindung verschlüsselt ist – nicht, dass die Website selbst sicher oder vertrauenswürdig ist. Eine Phishing-Seite kann problemlos ein gültiges SSL-Zertifikat haben. Für dich als Unternehmer heißt das: SSL ist eine notwendige Grundlage, aber kein Freifahrtschein. Wer seinen Kunden wirklich Sicherheit bieten will, muss mehrere Schichten denken.

Es gibt drei Haupttypen von SSL-Zertifikaten, die sich in Validierungstiefe und Kosten unterscheiden. DV-Zertifikate (Domain Validated) prüfen nur, ob du die Domain kontrollierst. Sie sind kostenlos über Anbieter wie Let's Encrypt erhältlich und für die meisten KMU-Websites völlig ausreichend. OV-Zertifikate (Organization Validated) bestätigen zusätzlich, dass das Unternehmen real und rechtlich eingetragen ist. Das dauert einige Tage und kostet zwischen 50 und 200 Euro pro Jahr. EV-Zertifikate (Extended Validation) sind die strengste Stufe – früher zeigten Browser den Firmennamen in grüner Leiste an, heute ist dieser visuelle Unterschied weitgehend verschwunden.

Für einen lokalen Handwerksbetrieb, eine Marketingagentur oder einen Dienstleister reicht ein DV-Zertifikat vollkommen aus. Wer einen eigenen Onlineshop mit Kreditkartenzahlung betreibt, sollte über ein OV-Zertifikat nachdenken – nicht weil es technisch mehr verschlüsselt, sondern weil es im Ernstfall – etwa bei einem Streitfall mit dem Zahlungsanbieter – belegen kann, dass das Unternehmen legitim ist.

Der klassischste Fehler: Das Zertifikat läuft ab und niemand hat es gemerkt. Let's Encrypt-Zertifikate laufen nach 90 Tagen aus. Die meisten Hosting-Anbieter verlängern sie automatisch – aber nur, wenn die technischen Voraussetzungen stimmen. Ändert sich die DNS-Konfiguration oder wird die Domain umgezogen, bricht die automatische Verlängerung still und leise ab. Das Ergebnis ist eine rote Warnung im Browser, die potenzielle Kunden sofort abschreckt. Richte dir einen Kalender-Reminder oder einen kostenlosen Monitoring-Dienst wie SSL Labs oder UptimeRobot ein, der dich per E-Mail warnt, wenn das Zertifikat in 30 Tagen ausläuft.

Ein weiterer häufiger Fehler ist Mixed Content: Die Website läuft auf HTTPS, aber einzelne Ressourcen – Bilder, Schriften, eingebettete Scripts – werden noch über HTTP geladen. Der Browser stuft die Seite dann als unsicher ein, obwohl das Zertifikat gültig ist. Das passiert oft nach einem Relaunch oder einer Migration. Tools wie Why No Padlock oder die Chrome-Entwicklerkonsole zeigen dir genau, welche Ressourcen betroffen sind. Fix: Alle internen Links und eingebetteten Medien auf relative oder HTTPS-Pfade umstellen, am besten über einen Suchen-und-Ersetzen-Lauf in der Datenbank.

SSL ist der Anfang, nicht das Ende. Ein sicheres CMS – also etwa WordPress – braucht regelmäßige Updates für Core, Themes und Plugins. Veraltete Plugins sind der häufigste Einstiegspunkt für Angreifer. Deaktiviere Plugins, die du nicht mehr nutzt, und lösche sie vollständig. Nutze starke, einmalige Passwörter für alle Admin-Zugänge und aktiviere Zwei-Faktor-Authentifizierung. Ein kompromittiertes WordPress-Adminpanel kostet dich im Worst Case die komplette Website, alle Kundendaten und deine Google-Rankings – weil Google gehackte Seiten aktiv aus dem Index entfernt.

Weitere unterschätzte Maßnahmen: Richte eine Web Application Firewall (WAF) ein – Anbieter wie Cloudflare bieten das in der kostenlosen Variante an. Aktiviere automatische Backups, am besten täglich, auf einem externen Speicher der nicht mit deinem Webserver verbunden ist. Setze HTTP Security Header – X-Content-Type-Options, X-Frame-Options und eine Content Security Policy verhindern gängige Angriffsvektoren wie Clickjacking oder Cross-Site-Scripting. Diese Headers kosten nichts, werden aber von den meisten KMU-Websites schlicht vergessen.

Google hat HTTPS seit 2014 offiziell als Rankingfaktor bestätigt. In der Praxis ist der direkte SEO-Effekt eines einzelnen SSL-Zertifikats überschaubar – aber die indirekten Effekte sind erheblich. Wenn Besucher auf einer Sicherheitswarnung landen und sofort zurückklicken, steigt deine Absprungrate messbar. Google interpretiert das als Signal, dass deine Seite für Nutzer wenig Mehrwert bietet. Bei Google Search Console kannst du prüfen, ob deine Seite vollständig als HTTPS indexiert ist – häufig existieren doppelte Versionen mit HTTP und HTTPS, was Crawling-Budget verschwendet und für Duplicate-Content-Probleme sorgen kann.

Zusätzlich bewertet Google Core Web Vitals und Page Experience als Rankingfaktoren – und Sicherheit ist ein Teil davon. Eine Website, die regelmäßig gehackt wird und manipulierte Inhalte ausliefert, wird aktiv aus den Suchergebnissen entfernt. Wer also Sicherheit als reines IT-Thema abtut, ignoriert die direkte Verbindung zu organischer Sichtbarkeit und damit zu Neukunden über Suchmaschinen.