EN
← Alle Beiträge
Blog

24 Stunden online, 43 IPs suchten nach unseren Passwörtern

Claude (CL)

Was passiert wenn man eine neue Website ins Netz stellt? Automatisierte Scanner suchen sofort nach Schlüsseln, Datenbanken und Sicherheitslücken. Ein Transparenzbericht vom ersten Tag.

24 Stunden online, 43 IPs suchten nach unseren Passwörtern

Dieser Beitrag wurde KI-gestützt erstellt und von Lukas Geiger redaktionell kuratiert.

Am 2. April 2026 ging um-bruch.org online. Eine statische Website, kein Login, keine Datenbank, keine Nutzerdaten. Ein Think Tank der Dokumente veröffentlicht.

In den ersten 24 Stunden verzeichneten wir 348 Requests von 43 verschiedenen IP-Adressen. Das klingt nach Interesse. Tatsächlich war der größte Teil davon kein menschlicher Besuch, sondern automatisierte Angriffe.

Was die Scanner gesucht haben

Unsere Server-Logs zeigen ein klares Muster. Hier die häufigsten Anfragen die ins Leere liefen (HTTP 404):

AnfrageWas sie suchtWarum das gefährlich wäre
/.envUmgebungsvariablenEnthält oft Datenbank-Passwörter, API-Keys, Secrets
/.git/configGit-RepositoryWürde den kompletten Quellcode offenlegen, inkl. Zugangsdaten
/console/Debug-KonsoleErlaubt bei manchen Frameworks Codeausführung auf dem Server
/server-statusApache-InternaZeigt interne Konfiguration und aktive Verbindungen
/default.phpPHP-StandardseitenEinstiegspunkt für bekannte PHP-Schwachstellen

Das sind keine gezielten Angriffe auf Um:bruch. Das sind Botnetze die systematisch jeden Server im Internet abscannen — vollautomatisiert, rund um die Uhr. Wer versehentlich eine .env-Datei im öffentlichen Verzeichnis lässt, hat innerhalb von Minuten ein Problem.

161 Versuche. 0 Treffer.

Von unseren 348 Requests endeten 161 mit dem Statuscode 404 — Seite nicht gefunden. Das ist die beste Nachricht die man bekommen kann. Kein einziger Scanner hat etwas gefunden, weil es nichts zu finden gibt.

Warum? Unsere Website ist ein statischer Astro-Build: reines HTML, CSS und etwas JavaScript. Kein PHP, keine Datenbank, kein Content-Management-System auf dem Server. Die Dateien werden lokal gebaut und als fertige HTML-Seiten hochgeladen. Der Server liefert sie nur aus.

Das bedeutet:

  • Keine .env-Datei — es gibt keine serverseitigen Geheimnisse
  • Kein .git-Verzeichnis — der Quellcode liegt nicht auf dem Server
  • Keine Konsole — es läuft keine Anwendung die man kapern könnte
  • Kein Login — es gibt keine Zugangsdaten die man erraten könnte

Was das über das Internet sagt

Jede Website die online geht wird innerhalb von Stunden automatisiert angegriffen. Nicht weil jemand etwas gegen den Betreiber hat, sondern weil es billig ist. Ein Botnetz scannt Millionen von IP-Adressen pro Tag. Wenn eines von tausend Zielen eine offene .env hat, hat sich der Aufwand gelohnt.

Das trifft die kleine Vereinswebsite genauso wie den Konzern. Der Unterschied: Der Konzern hat eine Sicherheitsabteilung. Die Vereinswebsite hat oft einen WordPress-Admin der das Passwort “admin123” nie geändert hat.

Was wir daraus lernen

  1. Statische Websites sind die sicherste Architektur für Projekte die keine Nutzerdaten verarbeiten. Kein PHP, keine Datenbank, keine Angriffsfläche.
  2. Jede Website muss ab Tag 1 mit Angriffen rechnen. Nicht irgendwann, sofort.
  3. Server-Logs lesen ist Pflicht, nicht Kür. Wer nicht weiß was passiert, merkt den Einbruch nicht.

Transparenz als Prinzip

Wir veröffentlichen diesen Bericht nicht weil wir angegriffen wurden — sondern weil wir finden, dass solche Informationen nicht hinter verschlossenen Türen bleiben sollten. Viele kleine Organisationen, Vereine und Privatpersonen wissen nicht, was auf ihren Servern passiert. Wenn dieser Beitrag einer Person hilft, ihre .env-Datei zu prüfen, hat er seinen Zweck erfüllt.

Unsere Server-Logs werden wir regelmäßig auswerten. Sollte es jemals einen ernsthaften Vorfall geben, werden wir auch darüber transparent berichten.

Erstellt von: Claude (CL), Editor. Kurator: Lukas Geiger (LG). Datenquelle: Hetzner Webhosting Access Logs, 01.-02.04.2026. Textsorte: Blog (Tag: sicherheit, meta). Keine personenbezogenen Daten veröffentlicht — IP-Adressen wurden nicht im Volltext genannt.

Korrektur (02.04.2026, LG): Der ursprüngliche Titel lautete “2 Stunden online”. Die 2 Stunden bezogen sich auf die Zeitspanne zwischen der Bekanntmachung auf LinkedIn und den ersten Scanner-Zugriffen. Tatsächlich ging um-bruch.org laut Hetzner-Bestätigung gegen 22:00 Uhr am 01.04.2026 online. Die Logs umfassen ca. 24 Stunden. Der Titel wurde entsprechend korrigiert.

✉️ Schreiben Sie uns 📝 Kontaktformular
sicherheitmetatransparenz