Website neu bauen

Wartung und Updates: Warum die Website nach Go-Live wichtiger wird als davor

Stand: 12. April 20265 Min Lesezeit

Was drin steht

  • Eine fertig gebaute Website ist nie fertig. Ohne Wartung wird jede Site innerhalb von zwölf Monaten zur Sicherheitslücke — und im dritten Jahr meist zum Vollschaden.
  • Patch-Disziplin heißt: kritische Sicherheits-Updates innerhalb von 72 Stunden einspielen, reguläre Updates im monatlichen Fenster, größere Versions-Sprünge im Quartal mit Vor-Test.
  • Die ehrliche Wartungs-Pauschale liegt im Mittelstand bei 80–200 EUR pro Monat — alles deutlich darunter ist meist „wir reagieren, wenn ihr anruft“, was im Schadensfall keine Wartung mehr ist.
  • Reaktion auf bekannte Sicherheitslücken (CVE-Meldungen) ist ein eigener Prozess: Wer ihn nicht hat, erfährt von Lücken oft erst nach dem Vorfall. Premium-Wartung enthält automatisierte CVE-Beobachtung mit Reaktion innerhalb von Stunden.
  • Verantwortliches Update-Fenster heißt nie Freitagabend, nie vor Urlaubs-Antritten, nie ohne Roll-Back-Plan. Wer das ignoriert, schreibt sich selbst die Wochenend-Katastrophen.

Eine Website ist nicht wie ein Schaufenster, das einmal gestrichen wird und dann zehn Jahre steht. Sie ist eher wie ein Auto: Sie braucht regelmäßige Pflege, technische Updates, gelegentliche größere Reparaturen — und wenn man sie ignoriert, fährt sie irgendwann nicht mehr.

Dieser Artikel erklärt, warum die Phase nach Go-Live für die Site-Gesundheit wichtiger ist als die Phase davor, welche Wartungs-Rhythmen sinnvoll sind und woran du eine ehrliche Wartungs-Pauschale erkennst.

Warum Sites altern

Drei Dinge laufen parallel ab und sorgen dafür, dass jede Site mit der Zeit instabiler und unsicherer wird:

  1. Software-Versionen veralten: Das Content-System, das Hoster-Betriebssystem, die eingebundenen Schriftarten-Bibliotheken, die Bild-Verarbeitung — alles bekommt im Verlauf der Zeit Updates. Wer nicht mitpflegt, läuft auf veralteten Versionen, die irgendwann nicht mehr unterstützt werden.
  2. Sicherheitslücken werden entdeckt: Jeden Tag werden in der globalen Software-Welt neue Schwachstellen veröffentlicht. Was gestern als sicher galt, ist heute eine bekannte Lücke. Wer nicht patcht, ist nach kurzer Zeit verwundbar.
  3. Drittanbieter-Anbindungen ändern sich: Wenn der Mail-Provider seine Schnittstelle ändert, der Zahlungs-Dienstleister neue Sicherheits-Anforderungen einführt oder eine externe Bibliothek ihre Adresse wechselt, bricht still und leise eine Funktion deiner Site. Du merkst es oft erst, wenn ein Kunde sich beschwert.

Eine ungepflegte Site verfällt typischerweise so: in den ersten sechs Monaten funktioniert alles. In den Monaten sechs bis zwölf treten erste seltsame Effekte auf — ein Formular schickt keine Bestätigung mehr, ein Bild lädt nicht, eine Seite ist plötzlich langsam. Zwischen Monat zwölf und 24 wird es kritisch — eine bekannte Sicherheitslücke wird ausgenutzt, oder das Update einer Kern-Komponente bricht die Anpassungen, die ursprünglich gemacht wurden. Ab Monat 24 ist meistens nichts mehr zu retten ohne größeren Eingriff.

Die vier Wartungs-Rhythmen, die jede Site braucht

Rhythmus 1 — Tägliche Beobachtung

Verfügbarkeit und Basis-Funktionen müssen täglich beobachtet werden. Das ist keine händische Aufgabe, sondern eine Sache von Monitoring-Werkzeugen: Sie prüfen alle paar Minuten, ob die Site antwortet, ob die wichtigsten Seiten laden und ob die Formulare funktionieren. Bei einer Störung schlagen sie Alarm — idealerweise an jemanden, der reagieren kann.

Was geprüft werden sollte:

  • HTTP-Antwort-Code der Startseite und der wichtigsten Produkt-/Service-Seiten,
  • Ladezeit der Startseite,
  • Test-Formular-Übermittlung (täglich automatisch ausgelöst),
  • Zertifikats-Gültigkeit (Warnung mindestens 30 Tage vor Ablauf),
  • Erreichbarkeit der angebundenen Drittdienste (Mail-Versand, Zahlungs-Schnittstelle).

Rhythmus 2 — Wöchentliche Pflege

Einmal pro Woche schaut idealerweise ein Mensch auf:

  • Aufgelaufene Fehler-Meldungen im Server-Log,
  • Anstehende kleine Sicherheits-Patches,
  • Verdächtige Zugriffs-Muster (auffällig viele fehlgeschlagene Anmelde-Versuche, ungewöhnliche Bot-Aktivität),
  • Ergebnisse der Backup-Läufe (lief jeder geplante Backup-Job durch).

Diese Pflege ist meist eine halbe Stunde Arbeit pro Site. Wer sie macht, fängt 80 Prozent aller Probleme, bevor sie sichtbar werden.

Rhythmus 3 — Monatliches Update-Fenster

Einmal im Monat — bei uns typischerweise Mittwoch-Vormittag — werden reguläre Updates eingespielt: nicht-kritische Sicherheits-Patches, Funktions-Updates, kleinere Versions-Sprünge. Vor jedem Update läuft ein kompletter Backup, nach jedem Update läuft eine automatisierte Funktions-Prüfung.

Wichtig dabei: das Update-Fenster ist geplant, nicht spontan. Wer Updates immer dann macht, „wenn man dazu kommt“, hat keinen Rhythmus, sondern reagiert auf Zufälle.

Rhythmus 4 — Quartals-Check und Jahres-Audit

Einmal im Quartal ein gründlicherer Blick: Funktionieren alle Formulare in allen Browsern? Sind alle externen Anbindungen noch aktuell? Steht die Datenschutzerklärung noch im Einklang mit dem tatsächlichen Stack? Sind alle AVVs aktuell?

Einmal im Jahr ein vollständiges Audit: technische Sicherheits-Prüfung, Inhalts-Qualitäts-Check, BFSG-Stand, GEO-Snippet-Tauglichkeit. Das ist die Wartungs-Variante des „TÜV“ für die Website.

CVE-Reaktion: der ehrlichste Test einer Wartung

CVE bedeutet „Common Vulnerabilities and Exposures“ — eine öffentliche Datenbank bekannter Sicherheitslücken. Jeden Tag werden neue Einträge veröffentlicht, viele davon betreffen Software-Komponenten, die in praktisch jeder Mittelstands-Site verbaut sind.

Eine ernsthafte Wartung hat dafür einen Prozess:

  1. Automatisierte Überwachung der CVE-Datenbank auf eingesetzte Komponenten,
  2. Bewertung jeder Lücke nach Kritikalität (ist meine Site betroffen, wie gefährlich ist die Lücke konkret),
  3. Bei kritischen Lücken: Patch innerhalb von 72 Stunden,
  4. Bei moderaten Lücken: Patch im nächsten regulären Update-Fenster,
  5. Dokumentation, wann welche Lücke wie behoben wurde.

Wer keinen solchen Prozess hat, erfährt von Lücken oft erst, wenn die Site bereits angegriffen wurde. Das ist im Mittelstand der häufigste Vorfall-Typ — nicht „die Hacker hatten es gezielt auf uns abgesehen“, sondern „die automatisierten Such-Roboter haben eine bekannte Lücke gefunden und ausgenutzt“.

Verantwortliches Update-Fenster: drei Regeln

Wann ist ein Update verantwortlich? Drei einfache Regeln, die im Mittelstand selten beachtet, aber jedes Mal teuer werden, wenn sie ignoriert werden:

Regel 1 — Nie am Freitagabend. Wenn ein Update am Freitag um 17 Uhr eingespielt wird und am Samstag um 4 Uhr nachts ein Problem auftritt, ist niemand erreichbar, der es behebt. Update-Fenster gehören an Werktag-Vormittage, in der ersten Tageshälfte.

Regel 2 — Nie vor Urlaubs-Antritt. Wer kurz vor Urlaubs-Antritt schnell noch ein Update einspielt, hat im Schadensfall niemanden vor Ort, der reagieren kann. Größere Updates kommen entweder vor einer aktiv erreichbaren Woche oder werden auf die Zeit nach dem Urlaub verschoben.

Regel 3 — Nie ohne Roll-Back-Plan. Jedes Update braucht einen Plan B. Was passiert, wenn die Site nach dem Update nicht mehr funktioniert? Wie lange dauert die Wiederherstellung auf den vorherigen Stand? Wer keinen Roll-Back-Plan hat, ist im Schadensfall paralysiert.

Was eine ehrliche Wartungs-Pauschale enthält

Im Mittelstand sehen wir realistische Wartungs-Pauschalen für eine typische Premium-Site im Bereich 80–200 EUR pro Monat — abhängig von Größe der Site, Anzahl der angebundenen Drittdienste, Geschäfts-Kritikalität.

Was in einer ehrlichen Pauschale enthalten ist:

  • Tägliches Monitoring mit Alarmierung,
  • Wöchentliche Pflege (Log-Sichtung, Backup-Kontrolle, Patch-Vorbereitung),
  • Monatliches Update-Fenster mit Backup vor Update und Funktions-Test nach Update,
  • CVE-Reaktion innerhalb von 72 Stunden bei kritischen Lücken,
  • Quartals-Check,
  • Jahres-Audit als Berichts-Dokument,
  • Eine vereinbarte Stundenzahl pro Monat für kleinere Inhalts-Pflege oder kleine Funktions-Anpassungen.

Was nicht in einer Wartungs-Pauschale enthalten ist:

  • Größere Funktions-Erweiterungen,
  • Komplette Re-Designs einzelner Seiten,
  • Migration auf neue Software-Versionen, die mehr als ein Wartungs-Fenster brauchen,
  • Notfall-Wiederherstellung nach einem Sicherheits-Vorfall (das ist ein Extra-Posten mit eigener Logik).

Wartungs-Verträge, die wir nicht empfehlen

Drei Vertrags-Typen, die wir bei Audits regelmäßig sehen und die fast immer enttäuschen:

  • „Wir kümmern uns, wenn ihr anruft“ für 25 EUR im Monat: Das ist keine Wartung, sondern eine Bereitschafts-Erklärung ohne tatsächliche Pflege. Im Vorfall heißt es: „Sie hätten ja anrufen müssen.“
  • Stundensatz-basierte Wartung: Du zahlst die geleisteten Stunden, der Anbieter hat keinen finanziellen Anreiz, effizient zu arbeiten. Im Streitfall lässt sich kaum nachweisen, ob die abgerechneten Stunden tatsächlich Wartung waren.
  • „Wartung im Hosting-Paket inklusive“ bei Discount-Hostern: Heißt fast immer „Sicherheits-Patches des Hoster-Betriebssystems“, nicht „Pflege deiner Site“. Die wichtigen Updates am Content-System und an den Anpassungen sind nicht abgedeckt.

Was Hannes daraus macht

Wartung ist bei uns kein Verkaufs-Aufsatz, sondern ein integraler Teil des Projekt-Lebens. Jede gelieferte Site bekommt vom Tag eins eine Wartungs-Pauschale, die alle vier Rhythmen abdeckt — Monitoring, Wochen-Pflege, Monats-Update, Quartals- und Jahres-Audit. CVE-Reaktion ist eingebaut, automatisiertes Monitoring läuft, Roll-Back-Pläne stehen für jedes Update-Fenster. Die Pauschale ist transparent und enthält die Stunden, die ein Mittelstands-Betrieb für regelmäßige Inhalts-Anpassungen typischerweise braucht. Wenn du heute eine Site hast, die seit zwölf Monaten kein Update bekommen hat, ist ein Audit der erste Schritt — wir prüfen, was offen ist, und sagen ehrlich, ob Wartung reicht oder ob ein größerer Eingriff fällig ist.

Häufige Fragen

Wie hoch ist das Risiko, wenn wir die Wartung „erstmal“ aufschieben — sechs Monate, ein Jahr?
Sechs Monate ohne Wartung sind im Schnitt noch reparabel, kosten aber meist 8–20 Stunden Nachhol-Aufwand. Zwölf Monate ohne Wartung sind grenzwertig — oft brechen mehrere Updates auf einmal, weil sie sich gegenseitig blockieren. Ab achtzehn Monaten reden wir typischerweise von einem Mini-Relaunch statt einer Wartung, weil bestimmte Versions-Sprünge nicht mehr direkt machbar sind.
Können wir die Wartung selbst übernehmen, statt sie zu beauftragen?
Theoretisch ja, praktisch im Mittelstand selten sinnvoll. Wartung braucht Fachwissen über die eingesetzten Komponenten, Disziplin im Rhythmus und einen Bereitschafts-Plan. Wer das nebenbei macht, vergisst meistens das Monats-Fenster im dritten Monat. Wer die Wartung intern macht, sollte mindestens eine Person mit klarer Verantwortung haben — nicht „wir kümmern uns alle“.
Was, wenn wir gar keine Funktions-Änderungen brauchen — reicht dann nicht reines Patching?
Nein, weil Patching nicht nur Sicherheit, sondern auch Funktion betrifft. Wenn der Mail-Provider seine Schnittstelle ändert, bricht das Kontaktformular — auch wenn du nichts geändert hast. Wartung deckt diese stillen Brüche ab. Reines Patching im Sinne von „nur kritische Sicherheits-Updates“ ist die Minimal-Variante und gerade so akzeptabel für eine reine Visitenkarten-Site ohne Formulare und ohne Geschäfts-Funktion.
Wir haben einen Wartungs-Vertrag, aber die Site fühlt sich trotzdem alt an — was läuft falsch?
Häufig: Der Vertrag enthält nur Patches, aber keine Inhalts- oder Funktions-Pflege. Eine technisch aktuelle Site wirkt trotzdem alt, wenn die Inhalte zwei Jahre liegen. Frag nach, was in der Pauschale enthalten ist, und prüfe, ob auch monatliche Inhalts-Pflege-Stunden drin sind. Wenn nicht, ist das eine Lücke, die in einem ehrlichen Wartungs-Vertrag hineingehört.
Wie reagiert eine gute Wartung auf einen tatsächlichen Sicherheits-Vorfall?
Innerhalb der ersten Stunde Erreichbarkeit eines Verantwortlichen, innerhalb des ersten Tages eine Eindämmung (Site offline nehmen oder Angriffs-Pfad blockieren), innerhalb der ersten Woche eine sauberer Wiederherstellung aus Backups und eine forensische Aufklärung. Eine schlechte Wartung sagt: „Wir können erst nächste Woche kommen“ — dann ist es meist zu spät.
Gibt es einen Wartungs-Vertrag, den wir kündigen sollten, weil er fast nichts liefert?
Ja, jeder Vertrag, der weniger als 30 EUR im Monat kostet und keine konkreten Leistungen ausweist. Das sind in der Regel reine Bereitschafts-Erklärungen, die im Vorfall nicht greifen. Wer einen solchen Vertrag hat, sollte ihn als „keine Wartung“ verbuchen und entsprechend neu denken.

Das regeln wir — so sieht das bei uns aus.

Unsicher, wo deine Seite steht? Frag Hannes — er schaut sie sich an und sagt dir ehrlich, was zu holen ist.

Weiterlesen

21.05.2026Webagentur für den Mittelstand: Woran du eine erkennst (und woran nicht)21.05.2026Website erstellen lassen zum Festpreis: Wie wir das machen — und warum Stunden-Sätze in die Sackgasse führen21.05.2026Website-Relaunch-Checkliste 2026: SEO und KI nicht verlieren09.05.2026Deine Webseite wird professionell — ohne dass du dich um Technik kümmern musst