Deutschland auf Platz 4 der weltweit am häufigsten angegriffenen Länder, 119 neue Sicherheitslücken täglich, jede vierte Kommune bereits Opfer einer Cyberattacke – die Zahlen sind alarmierend. Unser geschäftsführender Gesellschafter und IT-Sicherheitsexperte Ronny Woick macht sich für mehr digitale Resilienz stark und wurde dazu kürzlich von der Märkischen Oderzeitung (MOZ) interviewt.
Die Lage ist ernst – und sie betrifft uns alle
BSI-Präsidentin Claudia Plattner bringt es auf den Punkt: Lücken in der Cybersicherheit seien mittlerweile ein „Volksproblem“. Die Zahlen aus dem aktuellen BSI-Lagebericht 2025 geben ihr recht: Täglich werden durchschnittlich 119 neue Schwachstellen in IT-Systemen entdeckt – ein Anstieg von 24 Prozent gegenüber dem Vorjahr. Und Deutschland liegt laut Microsoft Digital Defense Report 2025 auf Platz 4 der weltweit am häufigsten von Cyberangriffen betroffenen Länder.
Besonders im Visier: kleine und mittelständische Unternehmen, Handwerksbetriebe, Vereine – und Kommunen. In den vergangenen zwei Jahren war nach Angaben des Deutschen Städte- und Gemeindebunds jede vierte Kommune in Deutschland von einer Cyberattacke betroffen. Bei Großstädten liegt die Quote sogar bei 43 Prozent. Im Sommer 2025 legte eine DDoS-Angriffswelle die Webseiten von rund 30 Städten und Landkreisen lahm, darunter Magdeburg, Erfurt und Nürnberg.
WordPress: Einfallstor Nummer 1
Als Agentur, die täglich mit WordPress arbeitet, kennen wir die Risiken aus erster Hand. Mit über 43 Prozent Marktanteil ist WordPress das weltweit meistgenutzte Content-Management-System – und damit auch das attraktivste Ziel für Angreifer. Die Zahlen sind erschreckend: Laut WPScan existieren inzwischen über 62.000 bekannte Schwachstellen in WordPress-Core, Themes und Plugins. Wordfence blockierte allein 2024 rund 48 Milliarden bösartige Anfragen gegen WordPress-Seiten.
Das Kernproblem dabei: 97 Prozent aller Sicherheitslücken stammen nicht aus WordPress selbst, sondern aus Plugins und Themes. Veraltete Erweiterungen, nie aktualisierte Installationen, schwache Passwörter – Angreifer müssen sich oft gar nicht besonders anstrengen. Sie gehen den Weg des geringsten Widerstands und suchen sich gezielt die verwundbarsten Ziele.
Unsere Analysen bestätigen das Bild
Genau hier setzt die Arbeit unseres geschäftsführenden Gesellschafters Ronny Woick an: Er hat ein intelligentes Analyseprogramm entwickelt, mit dem sich öffentlich erreichbare Internetseiten automatisiert auf bekannte Sicherheitslücken untersuchen lassen.
Die Ergebnisse, über die auch die Märkische Oderzeitung berichtet, sind ernüchternd: Über die Hälfte der rund 2.000 untersuchten Handwerker-Websites in Deutschland weisen sicherheitsrelevante Schwachstellen auf. Bei den Internetauftritten politischer Parteien ist es immerhin noch ein Drittel.
Häufig handelt es sich dabei um längst bekannte Sicherheitslücken, für die Updates verfügbar wären – die aber schlicht nicht eingespielt werden. „Viele dieser Lücken ermöglichen es Angreifern, fremden Code auf Servern zu platzieren oder Inhalte von Internetseiten zu manipulieren“, erklärt Ronny im MOZ-Interview.
Für die systematische Analyse hat er das KRITIS 3.0 Framework entwickelt. Detaillierte Informationen zur Methodik und den Ergebnissen der Fallstudie finden sich unter vtdr.de/kritis-3-0-wenn-zahlen-die-lage-bestaetigen.
Was wir bei webquarks täglich erleben
Die Statistiken bestätigen, was wir täglich in unserer Agenturarbeit erleben: Kunden kontaktieren uns häufig erst, nachdem ihre Website bereits kompromittiert wurde – oder aber haben es nicht einmal gemerkt. Die Ursachen sind fast immer dieselben: veraltete WordPress-Installationen, Plugins mit bekannten Sicherheitslücken oder nie geänderte Standardpasswörter.
Was folgt, ist aufwendig: forensische Analyse, umfassende Bereinigung, nicht selten der vollständige Neuaufbau der Website. Doch der technische Schaden ist nur ein Teil des Problems. In mehreren Fällen wurden Kundendaten aus Onlineshops kompromittiert – von Namen und Adressen bis zu Zahlungsinformationen. Vertrauliche E-Mails gelangten in unbefugte Hände, schädlicher SEO-Spam zerstörte mühsam erarbeitete Google-Rankings. Die Folgen für die Reputation sind erheblich, die möglichen DSGVO-Konsequenzen nicht kalkulierbar.
Das Frustrierende daran: Die meisten dieser Vorfälle hätten sich mit grundlegenden Sicherheitsmaßnahmen verhindern lassen – regelmäßige Updates, sichere Passwörter, Zwei-Faktor-Authentifizierung. Keine komplexen Prozesse, aber in der Praxis erstaunlich oft vernachlässigt.
Ein Verein für mehr digitale Resilienz
Ronny will hier ansetzen. Seine Erfahrung als Fachmann für IT-Sicherheit zeigt: Direkte Hinweise an Betreiber auf Sicherheitslücken bleiben oft wirkungslos. Deshalb arbeitet er an der Gründung eines „Vereins für Technische & Digitale Resilienz“ und sucht derzeit Kooperationspartner aus Hochschulen, der Cybersicherheitsbranche und Fachverbänden.
„IT-Sicherheit darf keine Frage der Unternehmensgröße oder des Budgets sein„, betont er. Das Ziel: Risiken frühzeitig sichtbar machen – bevor aus technischen Schwachstellen reale Schäden entstehen.
Die unbequeme Wahrheit
Die Frage ist nicht mehr, ob eine Website angegriffen wird – sondern wann. Das BSI formuliert es unmissverständlich: Es gibt im Jahr 2026 keine „uninteressanten“ Ziele mehr. Unter dem Kosten-Nutzen-Kalkül der Angreifer lohnt sich praktisch jede schlecht geschützte Website, sei es als Sprungbrett für weitere Angriffe, als Teil eines Botnetzes oder schlicht für SEO-Spam.
Wer seine IT-Sicherheit vernachlässigt, spielt nicht nur mit dem eigenen Geschäft – sondern gefährdet auch Kunden, Partner und Mitarbeiter, deren Daten auf den eigenen Systemen liegen.
Den vollständigen MOZ-Artikel finden Sie hier: IT-Sicherheit: So schlecht sind Firmen in Brandenburg auf Cyberangriffe vorbereitet
Sie möchten wissen, wie es um die Sicherheit Ihrer WordPress-Website steht? Sprechen Sie uns an – bei webquarks helfen wir Ihnen, im Rahmen eines umfassenden Security-Audits Schwachstellen zu identifizieren und zu schließen, bevor es andere tun.
