Über 40 Prozent aller Websites laufen mit WordPress – auch viele Handwerksbetriebe setzen auf das kostenlose System. Doch veraltete Plugins, vergessene Subdomains und trügerische Auto-Updates öffnen Angreifern Tür und Tor. Worauf Betriebe achten müssen, damit aus der Webseite kein Einfallstor wird.
Wer ein Gewerbe betreibt, verfolgt in der Regel eine Vision. Egal, ob Schreinerei, Friseursalon oder Kfz-Betrieb – das Handwerk will etwas erschaffen, etwas bewegen. Nur müssen kleine und mittlere Betriebe im digitalen Zeitalter auch den Online-Auftritt berücksichtigen – denn wer keinen hat, fliegt zunehmend unter dem Radar und wird von potenziellen Kunden nicht wahrgenommen. Das Aufsetzen einer Homepage, die Content-Erstellung und -pflege, aber auch die finanziellen Ressourcen stellen durchaus eine Hürde für die Betriebe dar. Hinzu kommt der Faktor IT-Sicherheit, den man ebenfalls nicht unterschätzen sollte.
Kompakte Webpräsenz reicht für den Anfang
Grundsätzlich braucht ein mittelständischer Handwerksbetrieb keinen extravaganten Internetauftritt. "Eine kompakte und fokussierte Webpräsenz, die sich auf die Kerninhalte konzentriert und die eigene Botschaft vermittelt, reicht für den Anfang völlig aus", erklärt Frank Schieback, Head of Brand Communications und Chief Marketing Officer beim Mittelstandsnetzwerk Sellwerk. Denn dadurch lasse sich schon eine Verbesserung der Sichtbarkeit in Suchmaschinen erreichen, was wiederum einen stärkeren Zugang zu potenziellen Kunden nach sich ziehe und so dazu beitrage, mehr Leads zu generieren und langfristig die Umsätze zu steigern. "Die Bereitstellung von wichtigen Informationen und die Möglichkeit eines direkten Verkaufs von Produkten oder Dienstleistungen steht für viele Betriebe ebenfalls im Mittelpunkt", so Schieback.
WordPress: Beliebt, kostenlos – und mit Tücken
Viele kleinere Unternehmen stellen ihre Webseite selbst zusammen und greifen dazu auf das System WordPress zurück. WordPress ist das weltweit beliebteste, kostenlose Content-Management-System (CMS) zur Erstellung und Verwaltung von Websites und Blogs. Es ermöglicht Nutzern, Inhalte ohne Programmierkenntnisse über eine Benutzeroberfläche zu veröffentlichen. Über 40 Prozent aller Websites basieren mittlerweile auf dieser flexiblen Software, die durch Themes und Plugins individuell anpassbar ist. "WordPress ist für viele Unternehmen ein sinnvoller und wirtschaftlicher Weg", sagt Thomas Kress, Geschäftsführer des IT-Sicherheitsunternehmens Deutsche CyberKom.
Webseiten regelmäßig pflegen und updaten
Das System birgt aber auch Gefahren für die Unternehmen, die damit ihre Internetseite erstellen. "Die Unternehmens-Webseite ist ein öffentlich erreichbarer Teil der eigenen IT", erklärt IT-Sicherheitsexperte Kress. Wer die eigene Webseite nicht regelmäßig pflegt und entsprechenden Updates unterzieht, riskiert, dass Angreifer Sicherheitslücken ausnutzen. "Im Ernstfall drohen dann nicht nur Ausfälle, sondern auch Datenverlust, Reputationsschäden und sogar der Missbrauch der eigenen Website für Angriffe auf Besucher oder Dritte."
Die unterschätzten Schwachstellen
Gefährlich seien dabei weniger die offensichtlichen Schwachstellen auf der Hauptseite, sondern vor allem veraltete Plugins, alte Website-Versionen, vergessene Subdomains, unsichere Serverkonfigurationen und kompromittierte Zugangsdaten, so Kress. "Das Risiko liegt nicht in WordPress allein, sondern in der mangelnden Pflege und fehlenden laufenden Überwachung. Wichtig ist vor allem ein regelmäßiges Monitoring. Wer WordPress wie ein produktives IT-System betreibt, kann damit sehr gut arbeiten."
Monitoring statt blindes Vertrauen in Auto-Updates
So sollte eine mit Hilfe von WordPress erstellte Webseite nicht nur einmal geprüft, sondern fortlaufend überwacht werden. "Dazu gehört, veraltete WordPress-Versionen, Plugins, Themes, vergessene Subdomains, offen erreichbare Dienste und mögliche Datenlecks regelmäßig zu erkennen und zu bewerten", erläutert der IT-Sicherheitsexperte. "Gerade ältere oder selektiv gepflegte Komponenten stellen oft ein unbekanntes Sicherheitsrisiko dar. Deshalb braucht es nicht nur Updates, sondern auch Sichtbarkeit darüber, ob diese Updates wirklich greifen und ob im Hintergrund alte Schwachstellen weiter bestehen." Problematisch sei vor allem, dass sich viele Unternehmen auf automatische Updates verlassen, die in der Praxis nicht immer vollständig oder zuverlässig greifen. "So entsteht schnell eine trügerische Sicherheit, obwohl im Hintergrund längst bekannte Schwachstellen offenstehen", erklärt Kress.
Die Webpräsenz muss barrierefrei sein
Wichtig beim Erstellen der Unternehmenswebseite ist zudem, auf Barrierefreiheit zu achten. Das schreibt das Barrierefreiheitsstärkungsgesetz vor, das seit dem vergangenen Jahr in Kraft ist. "Das Gesetz betrifft Unternehmen, die Produkte oder Dienstleistungen an Privatpersonen anbieten", erklärt Thorsten Wesche, Sales Advisor bei der Agentur A11YPLAN aus dem baden-württembergischen Vellberg. "Das gilt nicht nur für Verkaufsseiten, sondern auch für Informationsseiten oder Apps, die einen Verkauf vorbereiten oder unterstützen." Ziel ist es, dass Menschen mit Behinderungen diese Angebote ohne Einschränkungen nutzen können, indem technische Standards für Barrierefreiheit eingehalten werden.
Was Barrierefreiheit konkret bedeutet
"Beispiele für Barrierefreiheit sind etwa eine Webseite oder App, die man ohne Maus, nur mit der Tastatur bedienen kann oder Bilder, die mit beschreibendem Text hinterlegt sind, so dass sie auch von Menschen verstanden werden, die sie nicht sehen können", erläutert Wesche. Videos müssten mit Untertiteln versehen werden, so dass sie auch von Menschen verstanden werden, die den zugehörigen Ton nicht hören können. "Wichtig ist außerdem, auf der Webseite Farben zu verwenden, die sich ausreichend voneinander abheben, damit Inhalte gut erkennbar sind", so der Experte. Nicht betroffen von der Neuregelung sind Kleinstunternehmen: Wer weniger als zehn Mitarbeitende beschäftigt und eine Bilanzsumme von maximal zwei Millionen Euro hat, muss die Vorgaben nicht umsetzen.
Mehr als Pflicht: Inklusion als Chance
Unabhängig davon sollte aber die Umsetzung einer barrierefreien Webseite für jedes Unternehmen von zentraler Bedeutung sein, meint Mittelstandsexperte Schieback. "Eine barrierefreie Webseite trägt maßgeblich zur Inklusion von Millionen Menschen mit Behinderungen bei, indem sie ihnen einen einfachen und komfortablen Zugang zu digitalen Inhalten ermöglicht." Die Umsetzung der Vorgaben sei also nicht nur eine rechtliche Pflicht, sondern könne auch dazu beitragen, die Kundenzufriedenheit zu verbessern, weil mehr Menschen Zugang zu digitalen Angeboten erhalten.