Website neu bauen

Hosting für den Mittelstand auswählen: Die richtigen Fragen, die richtige Antwort

Stand: 30. März 20265 Min Lesezeit

Was drin steht

  • Hosting-Auswahl wird im Mittelstand oft falsch gemacht — entweder aus Preis-Optik („das billigste Paket reicht“) oder aus IT-Mythen („Cloud ist immer besser“). Beides geht regelmäßig schief.
  • Die zentralen Fragen heißen nicht „Wie viel kostet es“, sondern „Wer haftet, wenn es ausfällt“, „Wo stehen die Server physisch“, „Was steht im Vertrag zur Wiederherstellungs-Zeit“ und „Wer ist sonntags um 23 Uhr erreichbar“.
  • Für Premium-Mittelstand sind drei Kriterien fast immer nicht verhandelbar: Server-Standort Deutschland, Vertrag nach deutschem Recht, BSI-Grundschutz-orientierte Sicherheits-Architektur.
  • Service-Level-Versprechen („99,9 % Verfügbarkeit“) sind ohne klare Konsequenzen bei Verletzung nicht mehr als Marketing-Text. Was zählt, sind die Reaktions- und Wiederherstellungs-Zeiten im Detail.
  • Hosting-Wechsel ist im laufenden Betrieb möglich, aber teuer. Wer beim ersten Anbieter sauber wählt, spart später eine Migration. Wer falsch gewählt hat, sollte den Wechsel trotzdem nicht aufschieben.

„Wir nehmen einfach den billigsten Hoster mit fünf Euro im Monat, ist ja alles dasselbe.“ Dieser Satz fällt in Erstgesprächen erstaunlich oft. Er klingt vernünftig, ist es aber selten. Was im Mittelstand passiert, wenn die Hosting-Wahl falsch ist, sieht etwa so aus: An einem Donnerstagabend um 21 Uhr fällt die Site aus. Der Hoster ist nicht erreichbar. Die Antwort kommt am Montag um 14 Uhr. Bis dahin sind dreitausend potenzielle Besucher weitergeklickt und du hast keine Chance, das je rückwärts zu ermitteln.

Dieser Artikel erklärt, welche Fragen du vor der Hosting-Auswahl stellen musst — und welche Antworten in welchem Mittelstands-Szenario die richtigen sind. Wir machen das seit Jahren für Kunden und haben in dieser Zeit etwa zwei Dutzend Hosting-Migrationen begleitet. Die Muster sind sehr klar.

Die fünf Fragen, die vor der Auswahl kommen

1. Wo stehen die Server physisch?

Klingt banal, ist es nicht. Für viele deutsche Mittelständler ist es ein hartes Kriterium, dass die Server in Deutschland stehen — aus drei Gründen.

  • Datenschutz-Vertrauen: Deutsche Server unterliegen deutschem Datenschutzrecht ohne Umweg. Bei Servern im außereuropäischen Ausland kommen Drittlandstransfer-Pflichten dazu, die zwar handhabbar sind, aber zusätzlichen Erklärungsbedarf erzeugen — gegenüber Mandanten, Patienten, Geschäftskunden.
  • Mandanten-Diskretion: Wer als Anwalts-Büro, Steuerberater oder Arzt-Praxis Daten ablegt, will im Streitfall sagen können: „Unsere Daten standen physisch in Frankfurt, niemand außerhalb der EU hatte technischen Zugriff.“ Das ist mit europäischem oder deutschem Hosting eindeutig — mit übersee-Hosting komplizierter.
  • Latenz und Verfügbarkeit: Server in Frankfurt antworten Nutzern in Hamburg schneller als Server in Virginia. Bei interaktiven Funktionen (Live-Chat, Buchungs-Kalender, Konfiguratoren) ist das spürbar.

Frage konkret nach: „Wo steht der physische Server, auf dem unsere Daten liegen?“ Eine gute Antwort nennt Stadt, Rechenzentrum-Betreiber und Standort-Zertifizierungen. Eine schlechte Antwort sagt nur „in Europa“ — das ist nicht spezifisch genug.

2. Welches Vertrags-Recht gilt?

Wenn der Hoster im Ausland sitzt, gilt im Streitfall ausländisches Vertragsrecht. Im Streitfall heißt: Du musst möglicherweise in der USA oder Irland klagen. Das ist für die meisten Mittelständler unpraktikabel.

Frage konkret: „Welches Recht gilt für unseren Vertrag, welches Gericht ist im Streitfall zuständig?“ Eine saubere Antwort lautet „deutsches Recht, Gerichtsstand X“. Wer ausweichend antwortet oder die Allgemeinen Geschäftsbedingungen ins Englische verlinkt, ist nicht der richtige Partner für Mittelstand.

3. Welche Sicherheits-Architektur wird betrieben?

Premium-Mittelstand orientiert sich am BSI-Grundschutz oder am ISO-27001-Standard. Du musst die Zertifizierungen nicht selbst nachvollziehen, aber der Hoster sollte sie nachweisen können.

Konkrete Marker:

  • BSI-Grundschutz-Zertifizierung oder zumindest -Orientierung im Rechenzentrum,
  • Regelmäßige Penetration-Tests (jährlich), Ergebnis-Berichte auf Anfrage verfügbar,
  • Definierte Update-Fenster für Betriebssystem-Patches (nicht „wenn wir Zeit haben“),
  • Schutz gegen Angriffs-Wellen — sowohl auf Netzwerk-Ebene als auch auf Anwendungs-Ebene,
  • Verschlüsselung der gespeicherten Daten („encryption at rest“) und der Übertragung („encryption in transit“).

4. Was steht im Service-Level-Versprechen — und was passiert, wenn es verletzt wird?

„99,9 % Verfügbarkeit“ klingt gut — bedeutet aber bis zu 8,7 Stunden Ausfall pro Jahr. Für eine Marketing-Site ist das vertretbar, für einen Shop in der Vorweihnachts-Phase ein Desaster.

Wichtig sind nicht die Verfügbarkeits-Prozente, sondern:

  • Reaktions-Zeit bei kritischen Störungen: Wie schnell antwortet jemand, wenn die Site weg ist? Premium-Mittelstand erwartet hier maximal eine Stunde, auch sonntags um 23 Uhr.
  • Wiederherstellungs-Zeit: Wie schnell ist die Site wieder online, wenn der Backup-Fall eintritt? Sollte unter vier Stunden liegen.
  • Konsequenzen bei Verletzung: Gibt es vertraglich geregelte Service-Gutschriften oder Schadenersatz, wenn die Versprechen gebrochen werden? Wenn nicht, ist das Versprechen wertlos.

5. Wer ist sonntags um 23 Uhr erreichbar?

Diese Frage ist die ehrlichste Test-Frage überhaupt. Probleme passieren nicht in Bürozeiten. Die meisten Premium-Anbieter haben einen 24/7-Bereitschaftsdienst — die meisten Discount-Anbieter haben nichts.

Stell die Frage explizit, bevor du den Vertrag unterschreibst: „Ich rufe an einem Sonntag um 23 Uhr an, weil die Site ausgefallen ist. Was passiert dann?“ Eine gute Antwort beschreibt eine konkrete Eskalations-Stufe (Erst-Antwort binnen 30 Minuten, Techniker am Telefon binnen einer Stunde). Eine schlechte Antwort sagt „dann müssten Sie unser Ticket-System nutzen, das wird montags bearbeitet“.

Hosting-Typen im Mittelstands-Vergleich

Vier Modelle, die im Mittelstand realistisch sind:

A — Shared Hosting (5–25 EUR im Monat)

Mehrere Sites teilen sich einen physischen Server. Günstig, ausreichend für reine Marketing-Sites mit geringer Last und ohne Daten-Schutz-Sensibilität. Nachteile: Wenn ein anderer Kunde auf dem gleichen Server Probleme macht (Spam-Versand, gehackte Site, Performance-Hunger), leidet deine Site mit. Für Premium-Mittelstand selten passend.

B — Virtueller Server / VPS (20–80 EUR im Monat)

Eine isolierte virtuelle Maschine auf einer physischen Hardware. Kontrolle deutlich besser als bei Shared, du verwaltest selbst (oder dein Dienstleister). Performance vorhersagbar. Geeignet für die meisten Mittelstands-Sites. Wichtig: Wartung und Updates müssen jemandem gehören — entweder dir, deinem Dienstleister oder einem „Managed VPS“-Paket.

C — Managed Hosting / Managed Server (80–500 EUR im Monat)

Ein dedizierter oder virtueller Server, der vom Hoster komplett verwaltet wird — Patches, Backups, Monitoring, 24/7-Support inklusive. Für Premium-Mittelstand fast immer die richtige Wahl. Höhere Monats-Kosten, aber dafür kein eigenes IT-Risiko.

D — Eigener Server im eigenen Rechenzentrum (ab 1.000 EUR im Monat aufwärts, plus Personal-Kosten)

Für die meisten Mittelständler überdimensioniert. Lohnt nur, wenn rechtliche Anforderungen (öffentliche Aufträge, Branchen-Pflichten) das verlangen — und auch dann ist Co-Location in einem zertifizierten Rechenzentrum meist besser als der Server-Schrank im eigenen Keller.

Wann reicht Shared Hosting, wann nicht

Shared Hosting reicht für eine reine Visitenkarten-Site eines kleinen Betriebs ohne Buchungs-Funktion, ohne Daten-Eingaben durch Besucher, ohne SEO-Schwerpunkt. Sobald eines davon dazu kommt — Buchungen, Formulare mit Mandanten-Daten, ambitionierte SEO/GEO-Ziele —, ist Shared zu schwach.

Wer eine Wachstumsplattform betreibt, mit integrierten Werkzeugen (Buchung, Rechnung, Dokumente, KI-Berater), kommt mit Shared gar nicht weiter. Hier ist mindestens ein virtueller Server in einer Managed-Variante notwendig.

Typische Migrations-Fehler — und wie du sie vermeidest

Wenn du den Hoster wechseln musst, sind drei Fallen häufig:

  1. Mail-Anbindung verloren: Wer mit dem Hoster auch die E-Mail-Postfächer wechselt, sollte vorher dokumentieren, welche E-Mail-Aliase und Weiterleitungen aktiv sind. Sonst verliert man stille Adressen, die nirgends notiert sind.
  2. SEO-Bruch durch falsche Umleitungen: Eine Migration ohne sauberes 301-Redirect-Konzept kostet typischerweise zwei bis sechs Monate organisches Ranking. Vorher den vollständigen URL-Bestand exportieren, danach jeden alten URL prüfen.
  3. Übergangs-Fenster zu kurz: Wer am Freitag umzieht, hat am Montag das Problem. Lieber am Dienstagvormittag umziehen, dann hast du den Rest der Woche, um Probleme zu fangen.

Was Hannes daraus macht

Wir liefern Hosting nicht als Verkaufs-Position, sondern als integrierten Teil unserer Wachstumsplattform. Server in Deutschland, deutsches Vertragsrecht, Managed-Betreuung durch uns selbst, 24/7-Bereitschaft, BSI-Grundschutz-orientiert. Die monatliche Position für Betrieb und Hosting ist transparent — du weißt, was du zahlst, und du weißt, dass im Notfall in den ersten 30 Minuten jemand antwortet, der dein konkretes System kennt. Wenn du heute auf einem Discount-Hoster bist und unsicher bist, ob das ausreicht: Audit-Werkzeug starten und den Befund anschauen — er prüft auch die wichtigsten Hosting-Marker mit.

Häufige Fragen

Wir haben gerade einen Vertrag bei einem großen Discount-Hoster — sollen wir sofort wechseln?
Nicht sofort, aber prüfen. Wenn die aktuelle Site stabil läuft, die Reaktions-Zeiten im Akzeptablen sind und du keine sensible Daten-Verarbeitung hast, kannst du den Vertrag auslaufen lassen. Wenn du Mandanten-Daten verarbeitest, sensible Termine annimmst oder einen Shop betreibst, würden wir den Wechsel noch in diesem Quartal angehen. Migration kostet einmalig Zeit, Sicherheits-Vorfall kostet dauerhaft Vertrauen.
Wie viel sollte Hosting für eine Mittelstands-Site realistisch im Monat kosten?
Für eine Visitenkarten-Site mit 1.000–5.000 Besuchern monatlich: 20–60 EUR auf Managed-VPS-Basis ist normal. Für eine Wachstumsplattform mit Buchung, Berater, Dokumenten und Shop: 80–250 EUR. Wer deutlich unter 20 EUR pro Monat zahlt und sensible Daten verarbeitet, sollte das ernsthaft hinterfragen. Wer deutlich über 250 EUR zahlt und nur eine einfache Site hat, wird vermutlich überteuert beraten.
Ist die große Cloud aus USA nicht trotzdem die professionellste Lösung?
Technisch ist sie sehr gut, organisatorisch passt sie für viele Mittelständler nicht zur Diskretions-Erwartung der eigenen Kunden. Wer Mandanten-Daten verarbeitet und im Erstgespräch erklären muss, dass die Daten in den USA gespeichert sind, hat ein Vertrauens-Problem — auch wenn rechtlich alles in Ordnung wäre. Deutsche Server lösen dieses Erklärungs-Thema sauber.
Was, wenn unser Web-Dienstleister uns einen Hoster vorgibt, den wir nicht ausgesucht haben?
Frag nach, warum. Eine gute Antwort lautet: „Wir haben mit diesem Hoster jahrelange Erfahrung, kennen die Schwächen und können dort technisch souverän arbeiten.“ Eine schlechte Antwort lautet: „Da sind wir Partner und kriegen Provision.“ Wenn du ein Premium-Mittelständler bist, sollte der Dienstleister deine Hosting-Anforderungen ernst nehmen und nicht nur seinen Standard durchdrücken.
Brauchen wir wirklich 24/7-Support — eigentlich passiert sonntags nie etwas?
Doch — und meistens dann, wenn niemand da ist. Cyber-Angriffe laufen bevorzugt nachts und am Wochenende, weil dann die Reaktionszeit am längsten ist. Wer eine Site mit Buchungs- oder Shop-Funktion betreibt, sollte 24/7-Bereitschaft als Standard sehen. Für reine Marketing-Sites ohne Geschäfts-Kritikalität ist Bürozeit-Support vertretbar.
Müssen wir uns als Inhaber selbst um Server-Patches kümmern?
Nein — solltet ihr nicht. Server-Patching gehört in die Hände eines Managed-Hosting-Partners oder eines IT-Dienstleisters, der das mit Service-Level betreibt. Wer Patches selbst macht und nur „wenn man dazu kommt“, hat über kurz oder lang einen Sicherheits-Vorfall. Das ist nichts, was ein Inhaber nebenbei mitmachen sollte.

Das regeln wir — so sieht das bei uns aus.

Unsicher, wo deine Seite steht? Frag Hannes — er schaut sie sich an und sagt dir ehrlich, was zu holen ist.

Weiterlesen

21.05.2026Webagentur für den Mittelstand: Woran du eine erkennst (und woran nicht)21.05.2026Website erstellen lassen zum Festpreis: Wie wir das machen — und warum Stunden-Sätze in die Sackgasse führen21.05.2026Website-Relaunch-Checkliste 2026: SEO und KI nicht verlieren09.05.2026Deine Webseite wird professionell — ohne dass du dich um Technik kümmern musst