Defaults.Exposed › Behebungen › CDN / WAF & Hosting

So beheben Sie CDN / WAF & Hosting

Zwei Lesarten der Technik hinter Ihrer Website: ob Sie hinter einem schützenden Schild sitzen (einem CDN mit einer Web Application Firewall, wie Cloudflare), der Angriffe filtert und Verkehrsspitzen abfängt, und eine Karte, wer Ihr DNS, Ihre Website und Ihre E-Mail tatsächlich betreibt. Beide sind in unserer Bewertung informativ — sie bewegen Ihre Note nicht —, aber sie beschreiben, wie ausgesetzt Ihr Ursprungsserver Angriffen und Ausfällen ist und wie verflochten Ihre Anbieter sind. Ein Schild davor und ein sinnvoll aufgeteilter Satz an Anbietern ist, wie belastbare Unternehmen aussehen.

Das Wichtigste für Ihr Unternehmen: Eine Website ohne Schild davor nimmt jeden Angriff und jede Verkehrsspitze direkt auf dem Ursprungsserver — sodass eine Bot-Flut, ein Ansturm am Starttag oder ein einzelner automatisierter Angriff Sie stundenlang offline werfen kann, und die Erholung liegt bei Ihnen. Ein CDN/WAF davorzusetzen (kostenlose Stufe verfügbar) filtert die große Mehrheit automatisierter Angriffe, saugt Spitzen auf und beschleunigt die Seite weltweit — typischerweise ein Nachmittag Arbeit für Ihre IT-Kraft, ohne Lizenzkosten. Davon getrennt: leben Ihr DNS, Ihre Website und E-Mail alle bei einem Anbieter, nimmt ein einzelner Ausfall oder Einbruch dort Ihre gesamte Online-Präsenz auf einmal herunter; Ihre Anbieterkarte zu kennen ist das Erste, was Sie in einem Vorfall brauchen. Keine der Prüfungen ändert Ihre Note — aber beide beschreiben reale Aussetzung gegenüber Ausfallzeit, verlorenen Verkäufen und einer langsamen, schmerzhaften Erholung.

Was Sie das kosten kann

• Ein Schub Bot-Verkehr oder ein kleiner DDoS trifft Ihren ungeschützten Server am Morgen einer großen Aktion — die Seite kriecht oder fällt um, Kunden bekommen Fehler an der Kasse, und Sie verlieren den Tagesumsatz, während Ihr Host hektisch reagiert. Ein CDN/WAF davor hätte es abgefangen.
• Ihr DNS, Ihre Website und E-Mail laufen alle über einen Anbieter; dieser hat einen Ausfall und Ihre Seite, Ihr Buchungssystem UND Ihre E-Mail gehen im selben Moment dunkel — Sie können nicht einmal 'wir sind uns des Problems bewusst' senden, weil das Postfach auch aus ist.
• Ein automatisierter Angriff sondiert Ihre Seite die ganze Nacht — SQL-Injection- und Login-Rate-Skripte hämmern direkt auf Ihren Ursprung, weil es keine Firewall-Schicht zum Filtern gibt — und Sie erfahren es erst, wenn etwas bricht. Eine WAF blockiert den Großteil dieses Lärms, bevor er je Ihren Code erreicht.
• Ein Vorfall trifft ein und niemand kann die Grundfrage beantworten 'wen rufen wir überhaupt an?' — liegt die Website auf demselben Host wie E-Mail? Wer betreibt das DNS? Stunden verrinnen beim bloßen Kartieren der Technik, während die Seite unten bleibt.
• Das IT-Team eines Interessenten scannt Sie vor der Unterschrift und sieht einen nackten Ursprungsserver ohne CDN/WAF und einen undichten Server-Versions-Header, der genau bewirbt, welche Software (und Version) Sie betreiben — ein kleines 'diese Leute haben die Grundlagen nicht gehärtet'-Signal im schlechtesten Moment.

Warum es wichtig ist. Beide Prüfungen hier sind in unserer Methodik informativ — sie sind mit null Punkten registriert und ändern Ihre Note nie —, weil sie Ihre Infrastruktur beschreiben, statt eine bestanden/durchgefallen-Sicherheitskontrolle zu testen. Wir bringen sie zur Sprache, weil sie reale Geschäftsaussetzung kartieren. Eine Seite ohne CDN/WAF nimmt jeden Angriff und jede Verkehrsspitze direkt auf dem Ursprung, ohne Filterung und ohne Spitzenabsorption; eines hinzuzufügen (Cloudflares kostenlose Stufe ist der übliche Weg) ist eines der wirkungsvollsten, kostengünstigsten Belastbarkeits-Upgrades, das ein kleines Unternehmen machen kann. Und eine klare Anbieterkarte — zu wissen, ob Ihr DNS, Web und E-Mail aufgeteilt oder auf einem Anbieter gestapelt sind — ist das Erste, was Sie brauchen, wenn etwas schiefgeht, und der Unterschied zwischen einem eingedämmten Vorfall und einem totalen Blackout.

Worum es geht, in einfachen Worten

Jede Website läuft irgendwo auf einem Server. Die Frage, die diese Seite beantwortet, lautet: was steht zwischen dem offenen Internet und diesem Server — und wer betreibt eigentlich die Teile Ihrer Online-Präsenz?

Es gibt zwei Teile:

1. CDN / WAF — der Schild davor. Ein CDN (Content Delivery Network) ist ein globales Netz, das vor Ihrer Seite sitzt, Ihre Inhalte überall schnell an Besucher ausliefert und Verkehrsstöße aufsaugt. Eine WAF (Web Application Firewall) ist ein Filter, der eingehende Anfragen inspiziert und die bösartigen blockiert, bevor sie Ihren Server erreichen. Die beliebten Dienste (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri und andere) bündeln diese zusammen. Wir betrachten die Antworten Ihrer Seite und berichten, ob wir einen Schild davor sehen können — und wir vermerken auch, welchen Webserver Sie betreiben.

2. Hosting-/Anbieterkarte — wer Ihre Technik betreibt. Wir lesen die öffentlichen Einträge, die sagen, wer Ihr DNS abwickelt (das Verzeichnis, das Ihre Domain in eine Adresse verwandelt) und wer Ihre E-Mail abwickelt. Daraus können wir erkennen, ob Ihr DNS, Ihre Website und E-Mail über Anbieter aufgeteilt (belastbar) oder auf einem gestapelt sind (bequem, aber ein Single Point of Failure).

Das Wichtigste vorweg: in unserer Bewertung sind beide informativ. Sie beeinflussen Ihre Note nicht. Wir bringen sie zur Sprache, weil sie beschreiben, wie ausgesetzt Ihr Geschäft Ausfallzeit und Angriff ist — was eine andere und sehr praktische Frage als die Note ist.

Was Sie das kosten kann

Das sind keine abstrakten Risiken — es sind die alltäglichen Arten, wie ein ungeschützter, verflochtener Aufbau aus einem kleinen Problem einen schlechten Tag macht.

• Offline geworfen am Tag, an dem es am meisten zählt. Ihre Seite sitzt auf dem Ursprungsserver mit nichts davor. Am Morgen eines Starts oder einer Aktion springt der Verkehr — oder eine bescheidene Bot-Flut trifft ein — und der Server kommt nicht mit. Seiten laufen in Zeitüberschreitung, die Kasse fehlert, und Sie verlieren den Tagesumsatz, während Ihr Host löscht. Ein CDN saugt Spitzen auf und eine WAF filtert den Müll-Verkehr; zusammen sind sie der Unterschied zwischen “geschäftiger Tag” und “den ganzen Morgen unten”.

• Alles geht zugleich dunkel. Ihr DNS, Ihre Website und E-Mail laufen alle über einen einzigen Anbieter. Dieser hat einen Ausfall (es passiert allen irgendwann) und Ihre Seite, Ihr Buchungssystem und Ihre E-Mail verschwinden gleichzeitig. Sie können keine Bestellungen verarbeiten und nicht einmal Kunden mailen, dass Sie es wissen — weil das Postfach auch aus ist. Anbieter aufzuteilen heißt, dass ein Ausfall eingedämmt ist, nicht total.

• Ihr Code nimmt jeden Angriff direkt. Ohne WAF trifft jede automatisierte Sonde — Injection-Versuche, Login-Raten, Bekannte-Exploit-Scanner — ungefiltert auf Ihren Anwendungscode. Sie wetten, dass Ihre Software fehlerfrei und voll gepatcht ist, für immer. Eine WAF blockiert die überwältigende Mehrheit dieses automatisierten Lärms, bevor er Sie erreicht, und macht aus “ständigem Hintergrundangriff” “größtenteils gefiltert”.

• Ein langsamer, panischer Vorfall, weil niemand die Karte hat. Etwas bricht, und die erste Stunde wird mit “Moment, wer betreibt unser DNS? Ist E-Mail auf demselben Host? Wen rufen wir an?” verschwendet. Ist Ihre Anbieterkarte unklar, beginnt jeder Vorfall bei null. Die Karte vorab zu kennen macht aus einem Gewühl einen Anruf.

• Ein schlechter erster Eindruck bei einem sorgfältigen Käufer. Das IT-Team eines Interessenten scannt Sie vor der Unterschrift und sieht einen nackten Ursprung ohne CDN/WAF — und einen Server-Header, der offen Ihre genaue Software und Version bewirbt. Es ist ein kleines Signal, aber es bringt Sie genau im falschen Moment in die “haben die Grundlagen nicht gehärtet”-Spalte.

Was es tatsächlich ist

CDN / WAF — die Schutzschicht

Wenn ein Besucher (oder ein Angreifer) Ihre Seite anfragt, kann die Anfrage entweder direkt zu Ihrem Ursprungsserver gehen oder zuerst durch ein CDN/WAF. Ist ein Schild davor, kann dieser Schild:

• Bösartige Anfragen filtern (der WAF-Teil): Injection-Versuche, Bot-Angriffe und bekannte Exploit-Muster blockieren, bevor sie je Ihren Code erreichen.
• Verkehr abfangen (der CDN-Teil): gecachte Inhalte von Servern nahe jedem Besucher ausliefern und Spitzen aufsaugen, sodass ein Ansturm — legitim oder feindlich — Ihren Ursprung nicht erdrückt.
• Die Seite beschleunigen: von einem nahen Edge-Server gelieferter Inhalt lädt für Besucher weltweit schneller.

Wir erkennen einen Schild, indem wir die Fingerabdrücke betrachten, die diese Dienste in den Antwort-Headern Ihrer Seite hinterlassen — zum Beispiel einen cf-ray-Header (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) oder x-sucuri-id (Sucuri). Wir lesen auch den Server-Header, um Ihren zugrunde liegenden Webserver zu identifizieren (nginx, Apache, IIS, LiteSpeed, Caddy usw.), und markieren jeden X-Powered-By-Header, der zu viel preisgibt.

Wie “gut” aussieht: ein CDN/WAF vor Ihrem Ursprung erkannt, und ein Server-Header, der keine bestimmte Versionsnummer bewirbt.

Hosting-/Anbieterkarte — Ihre Infrastrukturabhängigkeiten

Ihre Domain zeigt still auf mehrere verschiedene Dienste:

• DNS — das Verzeichnis, das ihrunternehmen.de in die tatsächliche Serveradresse verwandelt. Wir lesen Ihre Nameserver- (NS-) Einträge und erkennen gängige Anbieter (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode und regionale Registrare darunter).
• E-Mail — wo Ihre Post abgewickelt wird. Wir lesen Ihre MX-Einträge und erkennen gängige Anbieter (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho und andere).

Daraus können wir sehen, ob diese Verantwortungen über Anbieter aufgeteilt sind (ein Ausfall bei einem nimmt die anderen nicht herunter) oder auf einem einzigen Anbieter gestapelt (bequem, aber ein Ausfall oder Einbruch nimmt alles).

Wie “gut” aussieht: mindestens DNS bei einem dedizierten, zuverlässigen Anbieter statt in dasselbe Konto wie alles andere gebündelt — sodass das Verzeichnis Ihrer Domain nicht das Schicksal Ihrer Website und Ihres Posteingangs teilt.

So beheben Sie es (kostenlos, ~1 Nachmittag)

Geben Sie das an Ihre IT-Kraft oder Webentwicklerin — die Behebung ist kostenlos. Einen CDN/WAF vor Ihre Seite zu setzen kostet auf den üblichen kostenlosen Stufen nichts, und Ihre Server-Version zu unterdrücken ist eine einzeilige Einstellung. Es gibt keine Lizenz zu kaufen. (Kostenpflichtige Optionen hier sind nur Überwachung, Portfolio-Verfolgung und Prüfungen — nie die Behebung selbst.) Die einzige Entscheidung der Inhaberin ist: ja, einen Schild vor die Seite setzen.

Weil beide Prüfungen informativ sind, ist nichts davon bewertet — aber ein CDN/WAF ist eines der wertvollsten Belastbarkeits-Upgrades, das ein kleines Unternehmen machen kann, also lohnt es sich.

1. Einen CDN/WAF vor Ihre Seite setzen

Der gängigste, kostenlose Weg ist Cloudflare:

1. Erstellen Sie ein kostenloses Cloudflare-Konto und fügen Sie Ihre Domain hinzu.
2. Cloudflare liest Ihre bestehenden DNS-Einträge; prüfen Sie, dass sie korrekt importiert wurden.
3. Ändern Sie die Nameserver Ihrer Domain (bei Ihrem Registrar) auf die zwei, die Cloudflare gibt. Das ist der Schalter, der Verkehr durch Cloudflare leitet.
4. Setzen Sie den SSL/TLS-Modus auf Full (strict), damit die Verschlüsselung Ende-zu-Ende zwischen Besucher → Cloudflare → Ihrem Ursprung bleibt. (Vermeiden Sie “Flexible”, das die letzte Strecke unverschlüsselt lässt.)
5. Das CDN und eine Grund-WAF sind nun aktiv. Sie können WAF-Regeln später feinjustieren, aber die Standards filtern bereits viel.

Andere Wege, je nach Ihrem Stack:

• AWS CloudFront — erstellen Sie eine Verteilung, die auf Ihren Ursprung zeigt; paaren Sie sie mit AWS WAF zum Filtern. Am besten, wenn Sie bereits auf AWS sind.
• Sucuri WAF — DNS-basiert, erfordert keine Änderungen auf Ihrem Server; gut, wenn Sie den Ursprung nicht berühren können.
• Fastly / Akamai — CDNs/WAFs auf Unternehmensebene, typischerweise für größere oder verkehrsreichere Seiten.

Testen Sie nach dem Umschalten die Seite, bestätigen Sie, dass HTTPS überall funktioniert, und beobachten Sie sie einen Tag. Cachen Sie keine Seiten aggressiv, die persönlich oder live bleiben müssen (eingeloggte Bereiche, Warenkörbe, Kassen).

2. Aufhören, Ihre Server-Version zu bewerben

Ob Sie ein CDN hinzufügen oder nicht, unterdrücken Sie die Version, die Ihr Server ankündigt — es sind kostenlose Informationen, die Sie Angreifern reichen.

Nginx:

server_tokens off;

Apache (in der Hauptkonfiguration):

ServerTokens Prod
ServerSignature Off

Entfernen Sie einen zu viel preisgebenden X-Powered-By-Header (z. B. von PHP oder einem App-Framework) auf Server- oder CDN-Ebene — bei Cloudflare können Sie ihn mit einer Response-Header-Transform-Regel entfernen.

3. Anbieterkarte auf Plausibilität prüfen (optional, ~10 Minuten)

Sehen Sie, wo Ihr DNS, Ihre Website und E-Mail tatsächlich leben:

• Sitzen alle drei in einem Anbieterkonto, erwägen Sie, zumindest DNS zu einem dedizierten Anbieter zu verlegen (Cloudflare DNS ist kostenlos und schnell). Diese eine Aufteilung bedeutet, dass das Verzeichnis Ihrer Domain einen Hosting-Ausfall überlebt.
• Schreiben Sie die Karte auf — DNS-Anbieter, Webhost, E-Mail-Anbieter, Registrar und den Login-/Support-Kontakt für jeden. Diese eine Seite ist das Nützlichste, was Sie während eines Vorfalls vor sich haben können.

Plattform-Hinweise

• Google Workspace / Microsoft 365: das sind Ihre E-Mail-Anbieter, nicht Ihre Website. Einen CDN/WAF vor die Website zu setzen berührt E-Mail nicht und umgekehrt — es sind getrennte Entscheidungen. (E-Mail bei Google/Microsoft und die Website hinter Cloudflare zu haben ist ein vollkommen guter, bewusst aufgeteilter Aufbau.)
• Verwaltete Seiten-Baukästen (Wix, Squarespace, Shopify): diese enthalten ihr eigenes CDN und ein Niveau an WAF-Schutz als Teil der Plattform, sodass Sie womöglich bereits geschützt sind, selbst wenn unsere Header-Prüfung keinen Anbieter benennt. Sie können meist kein eigenes Cloudflare davorsetzen; das ist in Ordnung — die Plattform erledigt es.
• WordPress auf eigenem Hosting: idealer Kandidat für eine kostenlose Cloudflare-Schicht davor. Kombinieren Sie sie mit der Firewall eines Sicherheits-Plugins für Regeln auf Anwendungsebene.

Häufige Fehler

• Einen nackten Ursprung betreiben, “weil die Seite klein ist”. Kleine Seiten werden von denselben automatisierten Angriffen und Bot-Fluten getroffen wie große — die Bots prüfen Ihren Umsatz nicht zuerst. Die kostenlose CDN/WAF-Stufe existiert gerade für kleine Seiten; sie nicht zu nutzen heißt, einen leichten Gewinn auf dem Tisch zu lassen.
• Cloudflare-”Flexible”-SSL nutzen. Es zeigt ein Schloss, lässt aber die Verbindung zwischen Cloudflare und Ihrem Ursprung unverschlüsselt. Nutzen Sie immer Full (strict), damit es Ende-zu-Ende verschlüsselt ist.
• Die falschen Dinge cachen. Eingeloggte Seiten, Warenkörbe oder Kassen aggressiv zu cachen kann einem Kunden den Inhalt eines anderen oder veraltete Preise zeigen. Cachen Sie statische Inhalte; lassen Sie personalisierte und transaktionale Seiten ungecacht.
• Alles auf einem Anbieter stapeln, ohne es zu merken. Bequemlichkeit ist in Ordnung, wenn es eine bewusste Wahl ist — aber viele Unternehmen entdecken erst während des Ausfalls, der alle drei herunternimmt, dass DNS, Web und E-Mail ein Konto teilen. Machen Sie es zu einer Entscheidung, nicht zu einer Entdeckung.
• Die Server-Version sichtbar lassen. Es ist ein kostenloser, einzeiliger Härtungsschritt, der leicht vergessen wird. Schalten Sie ihn aus.

Eine Anmerkung zur Note

Um es ganz klar zu sagen: keine dieser Prüfungen beeinflusst Ihre Note. Sie sind in unserer Methodik als informativ mit null Punkten registriert, und wir bestrafen Sie nie für einen ungeschützten Ursprung oder einen Einzelanbieter-Aufbau. Wir berichten sie, weil sie reale Aussetzung gegenüber Ausfallzeit, Angriff und langsamer Vorfall-Erholung beschreiben — und weil ein kostenloses CDN/WAF hinzuzufügen eines der wertvollsten Upgrades ist, das ein kleines Unternehmen machen kann. Tun Sie hier nichts, ist Ihre Note unverändert. Setzen Sie einen Schild vor Ihre Seite und teilen Ihr DNS ab, haben Sie das Geschäft kostenlos spürbar belastbarer gemacht. So sollte man diese Seite lesen: nicht eine Zahl zu verteidigen, sondern ein Belastbarkeits-Upgrade, das es zu nehmen lohnt.

FAQ