Was der Quellcode Ihrer Website verrät:
was Fremde mit einem Rechtsklick sehen
Eine Website zeigt mehr als ihre sichtbare Oberfläche. Was im Quelltext, in Bildern und in Server-Antworten steht, liest jeder mit – ganz ohne Hacking, mit einem Rechtsklick.
Auf dem Bildschirm sehen alle Besucher dasselbe: Texte, Bilder, Menüs. Darunter liegt eine zweite Schicht, die jede Seite mitliefert, damit der Browser sie überhaupt anzeigen kann – und diese Schicht steht jedem offen, der sie sehen möchte.
Dafür braucht es keine besonderen Werkzeuge und kein technisches Wissen. Ein Rechtsklick, die Funktion zum Anzeigen des Quelltextes, ein Blick in die Eigenschaften einer Bilddatei – und schon wird sichtbar, was die Seite über ihren Aufbau, ihre Technik und gelegentlich über die Menschen dahinter preisgibt. Vieles davon ist harmlos. Manches ist es nicht. Der Unterschied liegt darin, ob man weiß, was man mitliefert.
Vier Ebenen, auf denen eine Website mehr zeigt als gedacht
Jede Ebene ist ohne Spezialwissen einsehbar
Keine dieser Ebenen erfordert besondere Werkzeuge – ein Browser und ein Rechtsklick genügen
Was der Quelltext ist – und wer ihn sieht
Wenn ein Browser eine Website anzeigt, lädt er zuvor eine Textdatei vom Server: die Bauanleitung der Seite. Sie enthält die Struktur, Verweise auf Bilder und Skripte, technische Anweisungen – und alles, was die Entwicklung dort hinterlassen hat. Diese Datei wird nicht versteckt übertragen, sie ist die Grundlage jeder Darstellung. Genau deshalb kann sie jeder einsehen.
Wichtig ist die Unterscheidung zwischen sichtbarem Inhalt und ausgeliefertem Inhalt. Ein Text, der erst nach einem Klick erscheint, ein Hinweis, der für Besucher ausgeblendet ist, eine Notiz in einem Kommentar – auf der Seite sieht man davon nichts, im Quelltext steht es trotzdem. Wer eine Information für „nicht sichtbar" hält, verwechselt mitunter „ausgeblendet" mit „nicht vorhanden".
Es lohnt sich, kurz zu unterscheiden, wer hier liest. Menschliche Besucher tun es selten. Aber Mitbewerber, die einen Auftritt einschätzen wollen, automatische Programme, die das Netz nach verwertbaren Mustern durchsuchen, und Bewerber, die sich ein Bild machen, werfen durchaus einen Blick darunter. Für keinen von ihnen braucht es mehr als die Bordmittel des Browsers.
Was die Technik über sich selbst preisgibt
Die meisten Websites verraten, womit sie gebaut wurden – meist ungefragt. Das eingesetzte System hinterlässt charakteristische Spuren: ein Meta-Tag, das es benennt und oft eine Versionsnummer mitführt, wiederkehrende Datei- und Verzeichnispfade, typische Skript-Namen oder ein Hinweis in den technischen Antwort-Daten, die der Server zu jeder Seite mitschickt.
Für sich genommen ist das keine Katastrophe. Problematisch wird es in Kombination mit der Versionsnummer. Wird eine veraltete Version offen ausgewiesen, ist für jeden, der die zugehörigen bekannten Schwachstellen kennt, sofort ersichtlich, wo ein Einstieg lohnen könnte. Die Information „dieses System, diese Version" ist damit kein technisches Detail, sondern ein Wegweiser.
Daraus folgt nicht, die Versionsnummer einfach zu entfernen und sich sicher zu fühlen. Das Verstecken erschwert nur die schnelle Einordnung – der eigentliche Schutz liegt darin, die eingesetzte Software aktuell zu halten, damit eine erkannte Version eben kein offenes Tor ist. Warum laufende Aktualisierung kein Komfort, sondern Grundsicherung ist, haben wir im Beitrag warum eine Website laufende Pflege braucht ausführlicher eingeordnet.
„Das sieht doch niemand" ist die riskanteste Annahme im Umgang mit dem Quelltext. Ausgeblendet heißt nicht entfernt, und unverlinkt heißt nicht unerreichbar. Was der Server ausliefert, ist abrufbar – unabhängig davon, ob ein Menü darauf zeigt oder ein Element auf der Seite versteckt ist.
Vergessene Kommentare und interne Notizen
In der Entwicklung sind Kommentare nützlich: kurze Hinweise im Quelltext, die für den Browser unsichtbar bleiben und nur der Verständigung dienen. Das Problem beginnt, wenn sie nach dem Livegang stehen bleiben. Dann liest sie nicht mehr das Team, sondern jeder, der hineinschaut.
Was sich dort typischerweise ansammelt
- Auskommentierte alte Inhalte: frühere Texte, Preise oder Aktionen, die nur „vorübergehend" entfernt wurden
- Interne Notizen: Hinweise an Kollegen, offene Punkte, To-do-Vermerke mitten im Code
- Namen und Kürzel: wer woran gearbeitet hat – mitunter ein direkter Hinweis auf Beteiligte und Dienstleister
- Technische Behelfslösungen: Kommentare, die offen beschreiben, wo etwas „provisorisch" gelöst wurde
- Vergessene Test-Bausteine: Reste aus der Entwicklung, die nie sauber entfernt wurden
Einzeln wirkt jede Zeile belanglos. In Summe entsteht ein Lagebild: wer beteiligt war, wie die Seite gewachsen ist, wo die Übergänge unsauber sind. Genau dieses Lagebild liefert man niemandem freiwillig – es entsteht nur, weil aufzuräumen vergessen wurde.
Was in Bildern und Dokumenten mitreist
Der Quelltext ist nur eine Quelle. Die zweite sind die Dateien selbst. Bilder und Dokumente tragen Zusatzdaten in sich, die mit dem sichtbaren Inhalt nichts zu tun haben – und die mit der Datei veröffentlicht werden, sobald sie ungefiltert auf die Website gelangt.
Fotos: Aufnahme-Daten
Viele Kameras und Smartphones speichern im Bild, wann es entstand, mit welchem Gerät oder welcher Software – und bei aktivierter Ortung die genauen Koordinaten des Aufnahmeorts. Ein Produktfoto, das versehentlich die Privatadresse des Fotografen preisgibt, ist kein konstruierter Sonderfall, sondern eine wiederkehrende Stolperstelle.
Dokumente: Bearbeiter und Pfade
Dateien zum Herunterladen speichern intern oft, wer sie zuletzt bearbeitet hat, mit welcher Software – und mitunter den vollständigen Pfad, unter dem sie auf einem internen Rechner lag. Aus einem solchen Pfad lassen sich Benutzernamen, Ordnerstrukturen und gelegentlich interne Projektbezeichnungen ablesen, die nicht für die Öffentlichkeit gedacht waren.
Die gute Nachricht: All diese Zusatzdaten lassen sich vor dem Hochladen entfernen. Der Aufwand ist gering, wenn es zur Routine gehört – und deutlich höher, wenn man eine bereits veröffentlichte Bibliothek nachträglich säubern muss.
Machen Sie die Stichprobe selbst: Öffnen Sie ein beliebiges Foto und ein PDF von Ihrer Website und sehen Sie sich in den Dateieigenschaften die hinterlegten Zusatzdaten an. Was dort steht, steht für jeden Besucher dort. Ein fester Schritt „Metadaten vor dem Hochladen entfernen" im Redaktionsablauf löst das Thema dauerhaft.
Sichtbare Pfade, Test-Versionen und Verzeichnisse
Die dritte Ebene betrifft die Struktur dahinter: Adressen und Verzeichnisse, die erreichbar sind, ohne dass je ein Menü auf sie zeigt. Hier sammeln sich die Punkte, die im Alltag am leichtesten übersehen werden.
Offene Verzeichnisse
Ist ein Ordner auf dem Server falsch konfiguriert, zeigt er beim direkten Aufruf eine Liste seines gesamten Inhalts – Dateien, die nie für die Öffentlichkeit gedacht waren, säuberlich aufgereiht. Das ist kein Angriff, sondern eine Einstellung, die schlicht nicht gesetzt wurde.
Test- und Vorschau-Versionen
Während der Entwicklung entsteht oft eine zweite, nicht öffentliche Fassung der Seite. Bleibt ein Verweis darauf im Quelltext stehen oder ist sie ohne Schutz erreichbar, lässt sich dort häufig ein unfertiger Stand einsehen – inklusive Inhalten, die auf der echten Seite längst geändert wurden. Eine saubere Trennung gehört zu jedem Projekt; mehr dazu, wie ein professionelles Setup mit solchen Fällen umgeht, im Beitrag woran Sie erkennen, dass Ihr Website-Setup standhält.
Technische Hilfsdateien und Quellkarten
Manche Dateien sollen Suchprogramme und Werkzeuge unterstützen und nennen dabei interne Pfade oder Bereiche, die man sonst nicht ohne Weiteres fände. Ähnlich verhält es sich mit sogenannten Quellkarten, die zur Fehlersuche in Skripten dienen: Bleiben sie im Live-Betrieb erreichbar, geben sie den ursprünglichen, gut lesbaren Aufbau des Programmcodes preis.
Eine ausführliche Fehlermeldung im Live-Betrieb ist ein unterschätztes Leck. Statt einer schlichten Hinweisseite zeigt die Seite den genauen technischen Verlauf samt Dateipfaden und Programmzeilen. Für Besucher ist das verwirrend – für jemanden, der den Aufbau verstehen will, eine Bauanleitung. Im Live-Betrieb gehört nur eine neutrale Fehlerseite nach außen.
E-Mail-Adressen und personenbezogene Daten
Eine im Klartext im Quelltext hinterlegte E-Mail-Adresse ist für Menschen bequem – und für automatische Sammelprogramme ebenso. Genau diese Programme durchsuchen das Netz gezielt nach Adressen, die anschließend für Werbe-Wellen, Spam und gezielte Täuschungsversuche genutzt werden.
Heikler als eine allgemeine Kontaktadresse sind interne Adressen, die versehentlich auftauchen: in einem Kommentar, in den Metadaten eines Dokuments, in einer Konfiguration. Sie liefern nicht nur einen Verteiler, sondern auch Anhaltspunkte über interne Zuständigkeiten – ein nützlicher Baustein für jemanden, der eine gefälschte E-Mail mit Ihrer Firmen-Adresse glaubwürdig wirken lassen will.
Dazu kommen versteckte Formularfelder und Verarbeitungshinweise. Was ein Formular im Hintergrund mitschickt oder an welche Adresse es eine Anfrage weiterleitet, steht häufig offen im Quelltext. Auch hier gilt: nichts davon ist ein Einbruch – es ist die Folge davon, dass man nicht geprüft hat, was man ausliefert.
Was sich aufräumen lässt – und in welcher Reihenfolge
Der gute Teil dieser Bestandsaufnahme: Fast alles davon ist mit überschaubarem Aufwand zu beheben. Es geht nicht um teure Technik, sondern um Ordnung und eine kleine Routine. Eine sinnvolle Reihenfolge, vom größten Hebel zum Feinschliff:
- Software aktuell halten: der wichtigste Punkt. Eine erkannte Version schadet nur, wenn sie veraltet ist. Aktualität nimmt der Technik-Signatur ihre Gefahr.
- Fehlermeldungen nach außen abschalten: im Live-Betrieb gehört nur eine neutrale Fehlerseite nach außen, keine technischen Details.
- Test- und Vorschau-Versionen trennen: nicht öffentlich erreichbar, keine Verweise im Quelltext, sauber vom Live-Stand getrennt.
- Metadaten-Schritt einführen: Bilder und Dokumente vor dem Hochladen von Zusatzdaten befreien – als fester Schritt im Redaktionsablauf.
- Quelltext entrümpeln: Kommentare, interne Notizen und vergessene Test-Bausteine vor dem Livegang entfernen.
- Verzeichnisse und Adressen prüfen: offene Ordner schließen, E-Mail-Adressen nicht ungeschützt im Klartext hinterlegen.
Diese Punkte gehören nicht in eine einmalige Aktion, sondern in zwei feste Momente: vor jeder Veröffentlichung und in die jährliche Wartung. Wer eine solche regelmäßige Prüfung ohnehin aufsetzt, findet eine kompakte Orientierung im Beitrag zum Jahres-Audit für Ihre Website.
Kein veralteter Stand, der über eine offene Versionsnummer angreifbar wird
Keine technischen Details, keine Pfade, keine Programmzeilen nach außen
Bilder und Dokumente werden vor dem Hochladen von Zusatzdaten befreit
Kommentare, Notizen, Test-Reste und Verweise auf Vorschau-Versionen entfernt
Die fünf häufigsten Durchrutscher
Quer durch Branchen und Technik wiederholen sich dieselben Muster. Keiner dieser Punkte entsteht durch einen Angriff – jeder durch einen vergessenen Handgriff.
Bekannte Schwachstellen werden zur direkten Einladung
Dateipfade und Programmzeilen statt neutraler Hinweisseite
Unfertiger Stand und alte Inhalte ohne Schutz einsehbar
Aufnahme-Ort, Bearbeiter-Name und interne Pfade mitveröffentlicht
Interne Notizen und auskommentierte Inhalte im Live-Quelltext
Punkte 1 bis 3 betreffen die Sicherheit, 4 und 5 vor allem die Vertraulichkeit – beide entstehen durch fehlende Routine, nicht durch fehlende Technik.
Häufig gestellte Fragen
Nein. Der Quelltext ist genau das, was Ihr Server an jeden Browser ausliefert, damit die Seite überhaupt dargestellt werden kann. Ihn anzuzeigen ist ein gewöhnlicher Browser-Vorgang über das Kontextmenü und hat mit einem Angriff nichts zu tun. Etwas anderes ist es, gefundene Schwachstellen aktiv auszunutzen oder geschützte Bereiche zu umgehen – das ist nicht mehr durch das bloße Lesen gedeckt. Für Sie als Betreiber heißt das: Alles, was im ausgelieferten Quelltext steht, ist faktisch öffentlich, auch wenn es auf der sichtbaren Seite nicht erscheint.
Sehr viele tun es, ohne dass es jemand bewusst eingestellt hat. Das eingesetzte System hinterlässt oft ein Meta-Tag mit Namen und Versionsnummer, typische Datei- und Verzeichnispfade, charakteristische Skript-Namen oder einen Hinweis in den technischen Antwort-Daten des Servers. Diese Signaturen lassen sich reduzieren, aber selten vollständig entfernen. Das Verstecken allein ist auch kein Sicherheitskonzept: Es erschwert nur die schnelle Einordnung. Der eigentliche Schutz liegt darin, die eingesetzte Software aktuell zu halten, damit eine erkannte Version kein offenes Tor ist.
Vergessene Kommentare und Notizen aus der Entwicklung führen die Liste an: auskommentierte alte Inhalte, interne Hinweise, Namen von Bearbeitern, To-do-Vermerke. Dazu kommen Verweise auf Test- oder Vorschau-Versionen der Seite, die nie entfernt wurden, im Klartext hinterlegte E-Mail-Adressen und gelegentlich Zugangs- oder Konfigurationsdetails, die in einer Datei stehen, die der Server ausliefert, obwohl sie es nicht sollte. Einzeln wirkt jeder Punkt harmlos – zusammengenommen ergeben sie ein erstaunlich genaues Bild von Aufbau, Beteiligten und Schwachstellen.
Ja, und das wird regelmäßig übersehen. Fotos tragen oft eingebettete Aufnahme-Daten: Datum, verwendete Kamera oder Software und – bei Smartphone-Aufnahmen – teils die genauen Koordinaten des Aufnahmeorts. Dokumente speichern intern den Namen des Bearbeiters, die genutzte Software und mitunter den vollständigen Dateipfad, unter dem die Datei auf einem internen Rechner lag. Wer ein Dokument oder Bild ungefiltert auf die Website lädt, veröffentlicht diese Zusatzdaten mit. Vor dem Hochladen lassen sie sich entfernen, nachträglich ist es aufwendiger.
Drei Handgriffe genügen für einen ersten Eindruck. Öffnen Sie über das Kontextmenü des Browsers die Funktion zum Anzeigen des Seitenquelltextes und überfliegen Sie ihn nach Kommentaren, Versionsangaben und Verweisen auf Test-Adressen. Prüfen Sie bei einigen Bildern und PDF-Dateien in den Dateieigenschaften die hinterlegten Zusatzdaten. Und rufen Sie typische technische Hilfsdateien direkt auf, um zu sehen, welche Pfade sie nennen. Wer es vollständig und strukturiert wissen will, lässt den Auftritt gezielt prüfen – der erste Blick ist aber ohne Spezialwissen möglich.
Nein, Kommentare sind nur eine von mehreren Quellen. Genauso zählen die Metadaten in Bildern und Dokumenten, verlinkte oder offen erreichbare Test-Versionen, ausführliche Fehlermeldungen mit Dateipfaden, technische Hilfsdateien, die interne Pfade nennen, und im Klartext hinterlegte Adressen. Sinnvoller als eine einmalige Aufräum-Aktion ist eine kleine Routine: Vor jeder Veröffentlichung prüfen, was mitgeliefert wird, und die Punkte in der jährlichen Wartung erneut durchgehen. Sauberkeit im Verborgenen ist Teil der laufenden Pflege, kein einmaliger Handgriff.
Sauberkeit im Verborgenen ist Teil der Pflege
Der Quelltext, die Dateien und die Server-Antworten einer Website sind kein Geheimnis – sie sind die Voraussetzung dafür, dass die Seite überhaupt funktioniert. Genau deshalb gehört zu einem professionellen Auftritt nicht nur, wie er von vorn aussieht, sondern auch, was er von hinten preisgibt.
Die entscheidende Frage ist nicht „Kann jemand das sehen?" – das kann er –, sondern „Habe ich geprüft, was ich ausliefere?". Wer diese Prüfung vor jeder Veröffentlichung und einmal im Jahr zur Routine macht, schließt die meisten dieser Lücken, bevor sie entstehen. Es ist kein Hexenwerk, sondern Ordnung.
Wir prüfen den Quelltext Ihrer Website in 2 Werktagen – und sagen Ihnen, welche internen Informationen er ungewollt preisgibt.
Künstliche Intelligenz, die sich im Alltag bewährt.
Jede Woche ein Fachbeitrag, der Wissen über KI in die Praxis übersetzt. Werbefrei, jederzeit abbestellbar.
Zu den KI-News