Was ist ein SecurityScorecard-Rating und was bedeutet es für deine Website? Carrie SmahaAktualisiert am 14. Mai 2026 Lesezeit: 9 Minuten Eine SecurityScorecard-Bewertung ist eine „Outside-in“-Sicherheitsbewertung, die deinem Unternehmen ausschließlich auf der Grundlage dessen zugewiesen wird, was im Internet öffentlich einsehbar ist. Dazu sind weder deine Mitarbeit noch deine Zugangsdaten oder gar dein Wissen erforderlich. SecurityScorecard scannt deine öffentlich zugängliche Infrastruktur und bewertet die Ergebnisse – genauso, wie ein Angreifer deine Website prüfen würde, bevor er entscheidet, ob er weiter nachforscht. Wenn du eine Bewertungsübersicht von einem Kunden, einem Anbieter oder deinem eigenen Sicherheitsteam erhalten hast und dir nicht sicher bist, was sie bedeutet, erklärt dieser Artikel, was die Plattform misst, warum bestimmte Probleme bei Shared- oder Managed-Hosting schwer zu beheben sind und was sich mit einem dedizierten Server ändert. Inhaltsverzeichnis Wie bewertet SecurityScorecard deine Sicherheit? Was bedeutet die Note eigentlich? Welche 10 Risikofaktoren bewertet SecurityScorecard? Warum interessieren sich Unternehmenskunden und Beschaffungsteams für deine Bewertung? Welche Punkte auf deiner Scorecard weisen auf Probleme bei der Hosting-Konfiguration hin? Warum geteilte und restriktive Hosting-Umgebungen deine Möglichkeiten zur Fehlerbehebung einschränken Was ändert sich mit einem dedizierten Server? Was SecurityScorecard nicht misst So fängst du an, deine Punktzahl zu verbessern So übernimmst du die Kontrolle über deine Sicherheitskonfiguration Wie bewertet SecurityScorecard deine Sicherheit? SecurityScorecard scannt alle 10 Tage den gesamten IPv4-Adressraum – mehr als 3,9 Milliarden routbare IP-Adressen – über mehr als 1.400 Ports hinweg. Die Plattform scannt außerdem Cloud-Ressourcen mehrmals täglich, da sich die Zugehörigkeit von Cloud-IP-Adressen häufig ändert. Der Scan erfasst alles, was ein Angreifer von außen erkennen könnte: offene Ports, veraltete Softwareversionen und bekannte Schwachstellen sowie Daten aus privaten Quellen wie Threat-Intelligence-Feeds und Schwachstellendatenbanken. Dieser Vorgang erfordert keinerlei Zugriff auf deine Systeme. Deine Bewertung spiegelt wider, was SecurityScorecard über das öffentliche Internet einsehen kann – und genau das würde auch jeder sehen, der versucht, deine Website anzugreifen. Die Bewertungen werden täglich aktualisiert. Wenn deine Infrastruktur und die Anzahl der Probleme stabil bleiben, bleibt deine Bewertung unverändert. Wenn du einen Befund behebst, verbessert sich deine Bewertung – oft innerhalb von 24 bis 48 Stunden, nachdem der nächste Scan-Zyklus die Behebung bestätigt hat. Was bedeutet die Note eigentlich? Die Buchstabenbewertung – von A bis F – und die dazugehörige Punktzahl von 100 bis 0 geben die statistische Wahrscheinlichkeit wieder, dass deine Organisation von einer Sicherheitsverletzung betroffen sein wird. Je niedriger die Punktzahl, desto höher die Wahrscheinlichkeit. Der Zusammenhang zwischen der Einstufung und der Ausfallwahrscheinlichkeit ist signifikant: A (90–100): Geringste Wahrscheinlichkeit eines Verstoßes B (80–89): Geringes Risiko C (70–79): Mäßiges Risiko D (60–69): Erhöhtes Risiko F (unter 60): Hohes Risiko Unternehmen mit der Note F sind 13,8-mal häufiger von Datenschutzverletzungen betroffen als solche mit der Note A. Das ist kein marginaler Unterschied. Ein Unternehmen mit der Note D liegt eine Note über dieser Schwelle, und eine geplante Neukalibrierung der Bewertung kann das Ergebnis in beide Richtungen weiter verschieben. Welche 10 Risikofaktoren bewertet SecurityScorecard? SecurityScorecard bewertet Unternehmen anhand von 10 Risikofaktoren: Anwendungssicherheit, Cubit-Score, DNS-Zustand, Endpunktsicherheit, Hacker-Chats, durchgesickerte Zugangsdaten, IP-Reputation, Netzwerksicherheit, Patch-Rhythmus und Social Engineering. Einige davon hängen direkt davon ab, wie dein Server konfiguriert ist: Die Netzwerksicherheitsprüfung sucht nach unsicheren offenen Ports, schwachen TLS-Protokollen und falsch konfigurierten Verschlüsselungssuiten. Unsichere Ports können ausgenutzt werden, um einem Angreifer zu ermöglichen, den Anmeldeprozess zu umgehen oder erweiterte Zugriffsrechte auf ein System zu erlangen. Bei falscher Konfiguration fungiert ein offener Port als direkter Zugangspunkt zwischen der Umgebung eines Hackers und deinem internen Netzwerk. Die Anwendungssicherheit prüft, ob deine Web-Ressourcen HTTP-Sicherheitsheader implementieren – also Kontrollmechanismen wie Content Security Policy (CSP), HTTP Strict Transport Security (HSTS) und X-Content-Type-Options, mit denen Browser gängige Angriffsvektoren blockieren. Der „Patching Cadence“-Wert misst, wie schnell dein Unternehmen im Vergleich zu anderen Unternehmen ähnlicher Größe auf bekannte Sicherheitslücken reagiert und Patches installiert. Ein langsamer Patch-Prozess ist eines der Verhaltensweisen, die auf der Plattform am häufigsten mit Punktabzug geahndet werden. DNS Health überprüft, ob die DNS-Konfiguration fehlerfrei ist, ob die Mailserver über angemessene Schutzmaßnahmen gegen Spoofing (SPF, DKIM, DMARC) verfügen und ob in deinem passiven DNS-Verlauf keine verdächtigen Ereignisse auftreten. Die übrigen Faktoren – IP-Reputation, Endpunktsicherheit, Hacker-Chats, durchgesickerte Zugangsdaten – geben Aufschluss darüber, ob deine IP-Adressen in Malware-Feeds aufgetaucht sind, ob Zugangsdaten deiner Organisation in Daten zu Sicherheitsverletzungen aufgetaucht sind und ob deine Organisation in Communities von Angreifern diskutiert wird. Warum interessieren sich Unternehmenskunden und Beschaffungsteams für deine Bewertung? Die SecurityScorecard-Bewertung wird längst nicht mehr nur für interne Sicherheitszwecke genutzt. Die patentierte Technologie der Plattform wird von Unternehmen für das Unternehmensrisikomanagement, das Risikomanagement bei Drittanbietern, die Berichterstattung an den Vorstand, die Due Diligence, die Risikoprüfung bei Cyberversicherungen und die behördliche Aufsicht eingesetzt. Das bedeutet, dass deine Punktzahl für Personen außerhalb deiner Organisation zunehmend sichtbar wird: Unternehmenskunden, die Programme zum Lieferantenrisikomanagement einsetzen, prüfen vor Vertragsabschluss die Bewertungsbögen ihrer Lieferanten. Manche legen Mindestpunktzahlen fest, die Lieferanten erreichen müssen, um zugelassen zu werden. Cyber-Versicherer stützen sich bei der Preisgestaltung ihrer Policen auf die Bewertungen von SecurityScorecard. Die Plattform hat im Rahmen von Partnerschaften mit Versicherern bereits branchenweit einzigartige Rabatte für Cyber-Versicherungen eingeführt, die direkt an erstklassige Sicherheitsbewertungen geknüpft sind. Eine niedrige Bewertung kann deine Prämie erhöhen oder deine Versicherungsoptionen einschränken. Beschaffungsteams in regulierten Unternehmen – Finanzwesen, Gesundheitswesen, Auftragnehmer der öffentlichen Hand – müssen oft die Sicherheitslage jedes Lieferanten dokumentieren, bevor sie diesen freigeben. Eine Bewertung mit „F“ oder „D“ ist in diesem Prozess ein dokumentiertes Warnsignal. Das überrascht viele Website-Betreiber. Die meisten gehen davon aus, dass eine Sicherheitsbewertung eine interne Kennzahl zur Einhaltung von Vorschriften ist. Für Agenturen und Unternehmen, die an Firmenkunden verkaufen, funktioniert sie eher wie eine Bonitätsbewertung – sie ist für Geschäftspartner einsehbar und kann Geschäfte beeinflussen, noch bevor überhaupt ein Gespräch zustande kommt. Welche Punkte auf deiner Scorecard weisen auf Probleme bei der Hosting-Konfiguration hin? Viele der Ergebnisse, die in einem SecurityScorecard-Bericht auftauchen, sind keine Softwarefehler oder das Durchsickern von Zugangsdaten. Es handelt sich um Probleme bei der Serverkonfiguration – Dinge, die aufgrund von Entscheidungen auf Infrastrukturebene vorhanden sind oder fehlen. Überleg mal, was auf Websites mit niedrigen Bewertungen am häufigsten vorkommt: Unterstützung von TLS-Protokollen: Ein Server, der weiterhin Verbindungen über TLS 1.0 oder TLS 1.1 akzeptiert, wird als schwerwiegendes Netzwerksicherheitsproblem eingestuft. Diese Protokolle wurden 2021 von der IETF aufgrund bekannter kryptografischer Schwachstellen als veraltet eingestuft. Ob diese Protokolle aktiviert oder deaktiviert sind, wird in der Konfiguration deines Webservers – Apache, NGINX und Linux-Betriebssystem – geregelt, nicht in deinem Anwendungscode. Auswahl der Verschlüsselungssuiten: Schwache Verschlüsselungssuiten – also solche, die RC4, 3DES oder exporttaugliche Verschlüsselung verwenden – werden gesondert gekennzeichnet. Welche Verschlüsselungssuiten dein Server anbietet, wird in denselben Konfigurationsdateien des Webservers festgelegt. Eine auf WordPress Magento laufende Anwendung Magento darauf keinen Einfluss; das wird vom Server gesteuert. HTTP-Sicherheits-Header: CSP, HSTS, X-Content-Type-Options, X-Frame-Options – das sind Header, die Server an Browser senden, um einzuschränken, was der Browser mit Inhalten deiner Domain tun darf. Um sie hinzuzufügen, ist entweder eine Anweisung in deiner Webserver-Konfiguration oder Middleware auf Serverebene erforderlich. Sie lassen sich nicht zuverlässig allein über WordPress ein CMS-Plugin setzen, und ein CDN kann Header je nach seiner Konfiguration überschreiben oder entfernen. Zertifikatskonfiguration: Die Gültigkeitsdauer des Zertifikats, die Unterstützung für Zertifikatssperrlisten und der Signaturalgorithmus sind Eigenschaften, die festlegen, wie ein TLS-Zertifikat ausgestellt und auf dem Server konfiguriert wird. Das sind keine Probleme innerhalb deiner Anwendung, sondern Probleme bei der Bereitstellung des Zertifikats. Warum geteilte und restriktive Hosting-Umgebungen deine Möglichkeiten zur Fehlerbehebung einschränken Hier wird die Wahl des Hostings zu einer Sicherheitsfrage und nicht nur zu einer Frage der Leistung oder des Preises. Beim Shared Hosting – einschließlich eingeschränkter WordPress – wird der Server vom Hosting-Anbieter konfiguriert und gewartet. Das ist der Kompromiss: Du musst dich nicht um den Server kümmern, kannst ihn aber auch nicht selbst konfigurieren. Der Webserver, der deine Website bereitstellt, wird mit Dutzenden oder Hunderten anderer Kunden geteilt, und seine Konfiguration entspricht den Entscheidungen des Anbieters, nicht deinen. Wenn dein Hosting-Anbieter TLS 1.0 nicht plattformweit deaktiviert hat, wird deine Website weiterhin die Unterstützung von TLS 1.0 anzeigen. Wenn HSTS nicht auf Serverebene konfiguriert ist, sendet deine Website keine HSTS-Header, selbst wenn du das möchtest. Und da diese Konfiguration für Tausende von Websites gilt, ändern Anbieter sie nur zögerlich – jede Fehlkonfiguration wirkt sich auf alle Kunden aus. WordPress sind speziell auf WordPress und Verfügbarkeit WordPress optimiert. Sicherheitsoptimierungen auf Serverebene gehören in der Regel nicht zu ihrem Angebot. Wenn du sie bittest, Verschlüsselungssuiten anzupassen oder globale Sicherheits-Header hinzuzufügen, lautet die Antwort oft entweder „Das können wir nicht machen“ oder „Reiche ein Support-Ticket ein, dann prüfen wir es“ – ohne Zeitrahmen und ohne Garantie. Das führt zu einer vorhersehbaren Situation: In deinem SecurityScorecard-Bericht tauchen Fehler auf, du versuchst, sie zu beheben, und stellst fest, dass du dafür Serverzugriff benötigst, den du nicht hast. Was ändert sich mit einem dedizierten Server? Ein dedizierter Server gewährt dir Root-Zugriff auf einen physischen Rechner, den du ganz für dich allein hast. Jede Konfigurationsentscheidung – welche TLS-Versionen der Server akzeptiert, welche Verschlüsselungssuiten er anbietet, welche HTTP-Header er sendet, wie Zertifikate verwaltet werden – liegt ganz bei dir. Das bedeutet, dass jedes Problem in den Kategorien „Netzwerksicherheit“ und „Anwendungssicherheit“ eines SecurityScorecard-Berichts direkt behoben werden kann. Um TLS 1.0 und 1.1 auf einem Apache-Server zu deaktivieren, sind lediglich eine einzige Konfigurationsänderung und ein Neustart des Dienstes erforderlich. Das Hinzufügen von HSTS zu jeder Antwort erfordert nur drei Zeilen in einem Serverblock. Die Durchsetzung einer strengen Content Security Policy erfordert Zugriff auf dieselbe Konfigurationsdatei. Für keine dieser Maßnahmen ist ein Support-Ticket erforderlich. Bei keiner musst du darauf warten, dass der Anbieter handelt. Auf den dedizierten ServernInMotion Hosting hast du vollen Root-Zugriff und die vollständige Kontrolle cPanel. Für Kunden, die eine begleitende Betreuung bevorzugen, kann InMotion Solutions – das hauseigene Systemadministrationsteam – Maßnahmen zur Server-Absicherung umsetzen, die TLS-Konfiguration übernehmen und Änderungen anhand von Sicherheitsbewertungskriterien überprüfen. Das Premier Care Bundle bietet zusätzlich proaktives Sicherheitsmanagement mit Monarx-Malware-Schutz und erweitertem Produktsupport. Das praktische Ergebnis: Konfigurationsbezogene Sicherheitsbefundungen auf der SecurityScorecard, die bei Shared Hosting nicht behoben werden können, lassen sich auf einem dedizierten Server umsetzen. Was SecurityScorecard nicht misst Ein paar Dinge sollten klargestellt werden, da der Umfang der Plattform manchmal überbewertet wird. SecurityScorecard misst deine externe Angriffsfläche – also das, was aus dem öffentlichen Internet sichtbar ist. Die Plattform bewertet weder deine interne Netzwerksicherheit noch deine Zugriffskontrollen, die Schulung deiner Mitarbeiter oder deine Verfahren zur Reaktion auf Vorfälle. Ein perfekter SecurityScorecard-Wert bedeutet nicht, dass dein Unternehmen keine Sicherheitslücken hat; es bedeutet lediglich, dass deine öffentlich zugängliche Infrastruktur keine der von der Plattform überprüften Anzeichen aufweist. Die Plattform weist zudem bekannte Einschränkungen bei der IP-Zuordnung auf. Probleme bei der IP-Zuordnung werden häufig als häufige Scan-Probleme genannt, und einige Nutzer berichten von fälschlicherweise markierten IPs, die ein Eingreifen des Supports erfordern. Sollten Ergebnisse angezeigt werden, die nicht zu deiner Infrastruktur passen, bietet SecurityScorecard ein Einspruchsverfahren an, mit dem du falsche Zuordnungen überprüfen und anfechten kannst. Die Bewertungen spiegeln auch dein Umfeld wider. SecurityScorecard verwendet eine logarithmische Skala und kalibriert die Bewertungen anhand von mehr als 12 Millionen Organisationen, wobei dein Problemvolumen mit dem anderer Unternehmen ähnlicher Größe und ähnlicher digitaler Präsenz verglichen wird. Ein Kleinunternehmen und ein Großunternehmen konkurrieren nicht um die reine Anzahl der gefundenen Schwachstellen. So fängst du an, deine Punktzahl zu verbessern Wenn du dir eine Übersicht mit mehreren offenen Problemen ansiehst, ist es am sinnvollsten, von dem höchsten zum niedrigsten Sicherheitsrisiko vorzugehen – genau so sortiert sie auch die Registerkarte „Probleme“ in der Plattform. Für die meisten kleinen bis mittelgroßen Websites lassen sich die wirkungsvollsten Verbesserungen in drei Kategorien einteilen: Konfiguration von TLS und Verschlüsselungssuiten – Deaktiviere TLS 1.0 und 1.1; entferne schwache Verschlüsselungssuiten. Dies sind in der Regel die Netzwerksicherheitsbefunde mit dem höchsten Sicherheitsrisiko. HTTP-Sicherheitsheader – Füge HSTS, CSP, X-Content-Type-Options und X-Frame-Options auf Serverebene hinzu. Damit lässt sich der Großteil der Sicherheitsmängel bei Anwendungen beheben. Zertifikatsverwaltung – Stelle sicher, dass Zertifikate aktuelle Signaturalgorithmen verwenden (mindestens ECDSA oder RSA-SHA256), implementiere OCSP-Stapling zur Unterstützung von Sperrungen und lege Zertifikatslaufzeiten fest, die den aktuellen Best Practices entsprechen. Für alle drei ist Zugriff auf Serverebene erforderlich. Wenn deine aktuelle Hosting-Umgebung diesen Zugriff nicht bietet, musst du, um deine Bewertung zu verbessern, entweder innerhalb der Grenzen dessen arbeiten, was dein Anbieter unterstützt, oder zu einer Umgebung wechseln, in der du diese Entscheidungen selbst treffen kannst. So übernimmst du die Kontrolle über deine Sicherheitskonfiguration Ein SecurityScorecard-Rating spiegelt tatsächliche Infrastrukturentscheidungen wider, und diese Entscheidungen beginnen damit, wo sich deine Website befindet. Wenn deine Scorecard immer wieder Konfigurationsprobleme aufzeigt, die dein aktueller Hosting-Anbieter nicht beheben kann, bieten dir die dedizierten ServerInMotion Hosting Root-Zugriff, verwalteten Support und Sicherheitsexpertise, um diese Probleme zu beheben – und dafür zu sorgen, dass sie dauerhaft behoben bleiben. Diesen Artikel teilen Carrie Smaha Senior Manager Marketing Operations Carrie Smaha eine Expertin für digitale Strategie, Webentwicklung und SEO mit 20 Jahren Erfahrung. Sie legte den Grundstein für ihre Karriere in dynamischen Agenturumgebungen, bevor sie zu InMotion Hosting wechselte, wo sie Go-to-Market-Programme, Agenturinitiativen und das technische Produktmarketing leitet, das Produktfunktionen mit konkreten Kundenentscheidungen verknüpft. Weitere Artikel von Carrie Verwandte Artikel Was ist Colocation? Allgemeine Webhosting-Definitionen und was sie bedeuten Arten von Webhosting: Unterschiede zwischen Shared-, VPS- und Dedicated-Webhosting Was ist Webhosting? Was ist eine virtuelle Maschine (VM)? Was ist WordPress ? Ein praktischer Leitfaden für 2026 Was ist die Zeit bis zum ersten Byte (TTFB) und wie wirkt sich dein Server darauf aus? Was ist ein Content Delivery Network (CDN) und wie funktioniert es? Was ist HTTP/3 und warum ist es wichtig? Was ist ein SecurityScorecard-Rating und was bedeutet es für deine Website?