Deine Website ist live, sieht gut aus, funktioniert — also fertig, oder? Genau hier liegt der teuerste Irrtum im Webgeschäft. Eine Website ist kein Möbelstück, das man einmal aufstellt und dann jahrelang stehen lässt. Sie ist ein laufendes System aus Software, das jeden Tag mit der Außenwelt kommuniziert: mit Browsern, mit Servern, mit Suchmaschinen, mit Angreifern.
Und Software altert. Nicht sichtbar, nicht über Nacht — aber unaufhaltsam. Plugins bekommen Updates, Server-Versionen laufen aus, neue Sicherheitslücken werden täglich gefunden, Browser ändern ihr Verhalten. Wer eine Website baut und danach nicht mehr anfasst, betreibt sie nicht — er lässt sie verfallen.
In diesem Beitrag liest du, was laufende Website-Wartung wirklich umfasst, welche konkreten Risiken entstehen, wenn du sie ignorierst, und welche Wartungs-Modelle es gibt. Ehrlich, ohne Panikmache — aber auch ohne das Thema kleinzureden.
Website-Wartung ist kein einzelner Handgriff, sondern ein Bündel aus wiederkehrenden Aufgaben. Manche laufen automatisiert im Hintergrund, andere brauchen ein geschultes Auge. Die fünf Bausteine, die jede ernsthafte Website-Pflege ausmachen, sind diese:
Jedes CMS, jedes Plugin, jede Server-Komponente bekommt regelmäßig Aktualisierungen. Ein Teil davon sind reine Funktions-Updates, der wichtigere Teil sind Sicherheits-Patches, die bekannt gewordene Lücken schließen. Sobald eine Lücke öffentlich dokumentiert ist, ist sie auch für Angreifer eine Einladung — der Patch ist das Gegenmittel, aber nur, wenn er auch eingespielt wird.
Wichtig ist dabei nicht nur, dass aktualisiert wird, sondern wie. Ein Update kann Inkompatibilitäten zwischen Komponenten auslösen. Deshalb gehört zu sauberer Wartung: vorher ein Backup, das Einspielen idealerweise erst auf einer Staging-Umgebung, danach ein Funktionstest. Einfach blind „Alle aktualisieren" zu klicken, ist keine Wartung — das ist Glücksspiel.
Updates sind die Basis, aber Sicherheit ist mehr. Dazu gehören regelmäßige Security-Audits (Welche Komponenten sind veraltet? Welche Berechtigungen sind zu weit gefasst?), das Härten der Konfiguration, Malware-Scans und je nach Risiko eine Web Application Firewall. Auch SSL-Zertifikate wollen verlängert und korrekt konfiguriert sein.
Backups sind die Lebensversicherung deiner Website. Aber nur ein Backup, das automatisch läuft, extern (nicht auf demselben Server) gelagert und regelmäßig auf Wiederherstellbarkeit getestet wird, ist wirklich eines. Das ungetestete Backup, das im Ernstfall nicht zurückspielbar ist, hat schon viele Projekte den letzten Nerv gekostet.
Eine Website wird über die Zeit nicht schneller — sie wird langsamer. Mehr Inhalte, mehr Bilder, mehr Plugins, eine wachsende Datenbank: All das summiert sich. Performance-Pflege heißt, Ladezeiten zu überwachen, Caching aktuell zu halten, Bilder zu optimieren und die Core Web Vitals im grünen Bereich zu halten. Genau deshalb ist Performance kein einmaliges Projekt, sondern Teil der laufenden Wartung.
Du willst nicht von deinen Kundinnen und Kunden erfahren, dass deine Seite offline ist. Monitoring überwacht rund um die Uhr Erreichbarkeit (Uptime), Antwortzeiten, Fehlerraten und den Ablauf von Zertifikaten — und schlägt Alarm, bevor aus einem kleinen Problem ein sichtbarer Ausfall wird.
Es gibt einen sechsten, oft unsichtbaren Faktor: technische Schulden. Jeder ausgelassene Update-Zyklus, jedes hingenommene „läuft schon irgendwie", jeder schnelle Workaround stapelt sich auf. Irgendwann ist der Sprung von einer veralteten Version auf die aktuelle so groß, dass aus einer Routine-Aktualisierung ein teures Migrationsprojekt wird. Laufende Wartung ist die günstigste Art, diese Schulden gar nicht erst entstehen zu lassen.
Die Versuchung ist groß, Wartung als optionalen Posten zu behandeln — etwas, das man macht, „wenn mal Zeit ist". Das Problem: Die Risiken entstehen leise und schlagen dann plötzlich zu. Vier davon solltest du kennen.
Das größte und unmittelbarste Risiko. Sobald eine Lücke in einem CMS oder Plugin öffentlich wird, beginnen automatisierte Scanner, das halbe Web danach abzusuchen. Wie groß die Angriffsfläche ist, zeigt eine Zahl: Allein 2024 wurden im WordPress-Ökosystem 7.966 neue Schwachstellen dokumentiert — ein Anstieg von 34 Prozent gegenüber dem Vorjahr, der Großteil davon in Plugins von Drittanbietern. Wer nicht patcht, lässt all diese Türen offen.
Und es bleibt nicht beim Eindringen: Laut dem Hacked-Website-Report von Sucuri fand sich bei rund der Hälfte der kompromittierten Seiten zum Zeitpunkt der Infektion mindestens eine versteckte Backdoor — eine Hintertür, über die Angreifer auch nach einer oberflächlichen Bereinigung wieder hereinkommen.
Ein abgelaufenes SSL-Zertifikat, eine vollgelaufene Datenbank, ein fehlgeschlagenes Update ohne Backup: Jeder dieser Punkte kann deine Seite in die Knie zwingen. Und jede Stunde Ausfall ist eine Stunde ohne Anfragen, ohne Verkäufe, ohne Erreichbarkeit — bei einem Online-Shop unmittelbar in Euro messbar, bei jeder anderen Seite in verlorenem Vertrauen.
Suchmaschinen mögen keine langsamen, fehlerhaften oder zeitweise nicht erreichbaren Seiten. Schlechte Core Web Vitals, häufige Ausfälle, kaputte Links nach einem misslungenen Update — all das frisst sich langsam in deine Rankings. Das Tückische: Der Verlust kommt schleichend, und wenn du ihn bemerkst, hast du oft schon Wochen an Sichtbarkeit verloren, die sich nur mühsam zurückholen lässt.
Eine veraltete Website ist auch ein rechtliches Risiko. Wird über eine ungepatchte Lücke ein Datenleck verursacht, ist das nicht nur ein technischer Vorfall — es kann ein meldepflichtiger Verstoß gegen die DSGVO sein. Artikel 32 der DSGVO verlangt ausdrücklich „geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten. Veraltete Software, durch die Daten abfließen, ist das Gegenteil davon. Wartung ist hier kein nice-to-have, sondern Teil deiner Sorgfaltspflicht.
Die unangenehme Wahrheit: Die Kosten fehlender Wartung verschwinden nicht, wenn du sie ignorierst — sie verschieben sich nur. Statt planbarer, kleiner monatlicher Beträge zahlst du irgendwann auf einen Schlag: für die Bereinigung nach einem Hack, für die Wiederherstellung nach einem Ausfall, für ein Notfall-Migrationsprojekt. Wartung ist nicht die Ausgabe, die du vermeiden willst. Sie ist die, die alle anderen vermeidet.
Wenn klar ist, dass Wartung sein muss, bleibt die Frage nach dem Wie. In der Praxis gibt es zwei Grundmodelle — und der Unterschied ist größer, als er klingt.
Beim Ad-hoc-Modell wird gewartet, sobald etwas auffällt: ein Update steht an, etwas ist kaputt, jemand erinnert sich. Das klingt flexibel und sparsam, hat aber zwei eingebaute Schwächen. Erstens ist es reaktiv — du handelst erst, wenn das Problem schon da ist, also oft zu spät. Zweitens ist es unregelmäßig: Genau die unsichtbaren Aufgaben wie Backups, Monitoring und kleine Sicherheits-Patches fallen durchs Raster, weil sie nicht „auffallen", solange nichts passiert. Ad hoc funktioniert für ganz kleine, statische Seiten ohne sensible Daten — und selbst da nur mit Disziplin.
Beim Pauschal- oder Vertragsmodell wird Wartung zum festen, planbaren Posten. Updates laufen in regelmäßigen Zyklen mit Staging und Test, Backups und Monitoring sind dauerhaft aktiv, Security-Audits finden im festen Rhythmus statt, und es gibt einen definierten Ansprechpartner mit einer zugesagten Reaktionszeit, wenn doch etwas passiert. Der entscheidende Vorteil ist nicht der Preis, sondern der Modus: Du wechselst von „reagieren, wenn es brennt" zu „dafür sorgen, dass es gar nicht erst brennt".
Für die meisten geschäftskritischen Websites — alles, womit du Umsatz machst, Leads generierst oder mit Daten umgehst — ist die Pauschale das ehrlich bessere Modell. Nicht, weil es mehr kostet, sondern weil es die teuren Überraschungen herausnimmt. Wie genau ein solches Modell aussehen kann, beschreiben wir auf unserer Leistungsseite zur technischen Wartung und Instandhaltung.
Wer überlegt, ob er Wartung intern stemmen oder auslagern soll, findet die Abwägung im Detail in unserem Beitrag zu Managed Services im Vergleich zur eigenen IT.
Sicherheits-Patches sollten so schnell wie möglich nach Erscheinen eingespielt werden — bei kritischen Lücken innerhalb von Stunden bis Tagen. Routine-Updates, Backups und Monitoring laufen idealerweise in einem festen monatlichen (Backups und Monitoring eher täglich) Rhythmus. Ein vierteljährlicher tieferer Check für Performance und Security-Audit ist eine gute Grundlinie.
Automatische Updates sind besser als gar keine, aber sie sind kein Ersatz für Wartung. Sie können Inkompatibilitäten auslösen, die deine Seite lahmlegen — und ohne vorheriges Backup und anschließenden Funktionstest merkst du das im schlimmsten Fall erst, wenn Kundinnen und Kunden sich beschweren. Automatik ohne Kontrolle ist ein Risiko, kein Schutz.
Das hängt vom Umfang ab: Größe und Komplexität der Seite, eingesetzte Technik, Sicherheitsanforderungen und gewünschte Reaktionszeiten. Entscheidend ist der Vergleich der richtigen Zahlen — nicht „Wartung vs. nichts", sondern „planbare monatliche Wartung vs. einmalige Notfall-Kosten nach Hack oder Ausfall". In dieser Rechnung gewinnt Wartung fast immer.
Ja, wenn auch in kleinerem Umfang. Selbst eine schlichte Visitenkarten-Website läuft auf Software mit Sicherheitslücken und braucht gültige Zertifikate, funktionierende Backups und ein Mindestmaß an Überwachung. Der Aufwand skaliert mit der Größe — aber bei null darf er nie liegen.
Viele Websites laufen jahrelang ohne Pflege und sammeln dabei still Sicherheitslücken und technische Schulden an. In einem kostenlosen Erstgespräch werfen wir einen Blick auf den Wartungsstand deiner Seite und zeigen dir, wo der dringendste Handlungsbedarf liegt.
