„Unser Facebook/WhatsApp/unsere Webseite wurde gehackt.“ Kaum eine Erklärung liest sich so entlastend und geheimnisvoll zugleich. Wenn irgendetwas schiefgeht — Login weg, Shop offline, Mailkonten durchgesickert — ist die Reflexantwort schnell parat: Hacker. Praktisch: kein Fingerzeig nach innen, keine Fehleranalyse, keine Verantwortung. Aber so einfach ist die Welt nicht.
Hacker gibt es — ja. Manche Angriffe sind hochprofessionell, ausgeklügelt und schwer abzuwehren. Aber die Mehrheit der Vorfälle hat nichts mit Hollywood-Hackern zu tun, sondern mit schlampigen Konfigurationen, veralteter Software, Phishing, einfachen Passwörtern oder fehlenden Backups. „Es waren die Hacker“ ist oft schlicht: Ausrede.
Was zu oft übersehen wird (und warum das Wort „Hacker“ zu kurz greift)
• Fehlende Backups = Todesurteil. Wenn das Backup fehlt oder veraltet ist, hilft auch kein Schuldzuweisungs-Tweet.
• Schwache Zugangsdaten: „Passwort123“ + E-Mail + verlorene Kontrolle = Einladung.
• Keine Zwei-Faktor-Authentifizierung (2FA/OTP): Ein zusätzlicher Code kostet Sekunden — kann aber einen Account retten.
• Veraltete CMS/Plugins/Themes: Ein seit Monaten ungepatchtes Plugin ist ein offenes Fenster.
• Fehlende TLS/HTTPS oder unsichere Server-Konfigurationen: Daten laufen im Klartext.
• Social Engineering / Phishing: Nutzer werden manipuliert — das ist menschlich, kein Mythos.
• Kein Monitoring / keine Logs: Wenn nichts aufgezeichnet wird, kann man den Vorfall nicht rekonstruieren.Kurz: viele „Hacks“ sind die Folge unzureichender Grundhygiene — nicht übernatürlicher Fremdeinwirkung.
Was wirklich schützt (keine magische Formel — aber sehr wirksam)
Wenn man sich an aktuelle Empfehlungen hält, sinkt das Risiko massiv. Schutz heißt nicht „unverwundbar“, aber es heißt: verantwortungsvoll, nachvollziehbar, vorbereitet.
Konkrete Maßnahmen, die wirklich helfen:
1. Regelmäßige Backups — automatisiert, versioniert, und an einem externen Ort getestet (Wiederherstellung üben!).
2. Starke Passwörter + Passwortmanager — lange, zufällige Passwörter; niemals mehrfach verwenden.
3. Zwei-Faktor-Authentifizierung (2FA/OTP) — für alle wichtigen Konten: E-Mail, Admin-Zugänge, Hosting, Social.
4. Sofortige Updates & Patch-Management — CMS, Plugins, Server, Bibliotheken; zeitnah patchen.
5. Principle of Least Privilege — nur die Berechtigungen geben, die wirklich nötig sind.
6. HTTPS/TLS korrekt eingerichtet — heute Standard, keine Diskussion.
7. Monitoring & Logging — frühzeitige Erkennung, forensische Nachverfolgung.
8. Regelmäßige Sicherheitschecks — einfache Scans bis hin zu Pen-Tests bei sensiblen Systemen.
9. Mitarbeiter-Schulung gegen Phishing — Menschen sind Teil der Verteidigung.
10. Incident-Response-Plan — wer macht was, wenn’s doch brennt?Wer diese Punkte konsequent umsetzt, reduziert die Angriffsfläche drastisch. Darauf „es waren die Hacker“ als Entschuldigung zu schieben, ist dann wenig plausibel.
Warum die „Hacker-Ausrede“ gefährlich ist
• Lerndefizit: Man lernt nichts aus dem Vorfall, weil man Ursachen nicht untersucht.
• Wiederholungsgefahr: Fehler bleiben bestehen — nächster Vorfall garantiert.
• Reputationsrisiko: Wenn Kunden oder Nutzer merken, dass Basics fehlen, schadet das mehr als ein transparenter Umgang.
• Kosten: Reparatur nach einem Crash kann teurer sein als Investitionen in Prävention.Ein kurzer Reality-Check
Ja, es gibt hochprofessionelle Angreifer. Ja, manchmal schlittert man trotz guter Vorkehrungen in eine Kompromittierung. Aber das ist die Ausnahme — nicht die Regel. Verantwortungsvolles Handeln senkt Risiken; Nachlässigkeit erhöht sie. Es geht nicht darum, Angst zu verbreiten, sondern um Realitätssinn: Technik und Prozesse müssen stimmen.
Fazit — Verantwortung statt Ausreden
„Hacker“ als Pauschalantwort ist bequem, aber meist unglaubwürdig. Wer seine Systeme vernünftig sichert — Backups, starke Passwörter, OTP/2FA, Updates, Logging und ein bisschen Hygiene — wird nicht dauernd „gehackt“. Das heißt nicht „niemals“, aber es heißt: keine Ausreden mehr. Fehler eingestehen, Ursachen beheben, absichern — das ist die zivilisierte Art, mit dem Web umzugehen.
Und wer weiterhin bei jedem Problem „die Hacker“ ruft, der sollte erstmal seine Backups prüfen.
Marc Marcus Matuszak