- Die meisten Website-Betreiber erfahren von einem Ausfall durch einen Kunden oder Bekannten, nicht durch ein automatisches System.
- Monitoring prüft Verfügbarkeit, Ladezeit, SSL-Ablauf und bei Bedarf auch Formulare oder Bestellprozesse, jede Minute, rund um die Uhr.
- Ein abgelaufenes SSL-Zertifikat reicht aus, um Besucher mit einer Browser-Sicherheitswarnung zu vertreiben, obwohl am Server selbst nichts defekt ist.
- Für kleine und mittlere Unternehmen genügen Dienste wie UptimeRobot oder Better Stack: kostenlos oder günstig einzurichten, und die Benachrichtigung kommt in Minuten, nicht Stunden.
Eine Website fällt aus. Manchmal für zwei Minuten, manchmal für zwei Stunden. Oft merkt das der Betreiber als Letzter, weil er gerade nicht auf der eigenen Seite ist. Monitoring löst dieses Problem: Ein externer Dienst ruft Ihre Seite in festen Abständen auf und meldet sofort, wenn etwas nicht stimmt. Was dabei überwacht werden sollte, welche Werkzeuge dafür taugen und worauf es bei der Alarmierung ankommt, erklärt dieser Ratgeber.
Warum Betreiber Ausfälle oft zuletzt bemerken
Das Muster wiederholt sich in fast jedem Projekt, das wir übernehmen: Der Betreiber öffnet die eigene Website selten. Er kennt sie auswendig, hat nichts zu suchen, und wenn er sie aufruft, ist sein Browser-Cache noch warm vom letzten Besuch. Eine Seite, die im Cache liegt, lädt auch dann, wenn der Server schon antwortet.
Der erste Hinweis auf einen Ausfall kommt typischerweise von außen: ein Kunde, der anruft, eine Bewerberin, die per Telefon nachfragt, weil das Formular nicht reagiert hat, oder ein Bekannter, der einen Screenshot schickt. Zu diesem Zeitpunkt sind die ersten Besucher bereits gegangen, ohne etwas zu hinterlassen.
Das gilt besonders für Ausfälle, die nicht das komplette Laden der Seite blockieren. Ein defektes Kontaktformular sieht von außen unauffällig aus. Die Seite lädt, alles wirkt normal, aber jede Anfrage landet im Nichts. Solche stillen Fehler können tagelang unbemerkt bleiben. Bei einem Onlineshop bedeutet das: Der Bestellprozess ist unterbrochen, aber die Startseite zeigt noch das volle Sortiment.
Was Uptime-Monitoring misst und wie es funktioniert
Uptime-Monitoring ist die einfachste und wichtigste Überwachungsebene. Ein externer Server schickt in festen Abständen eine Anfrage an Ihre Website-Adresse und prüft, ob er eine gültige Antwort zurückbekommt.
Was dabei konkret passiert: Der Dienst schickt einen HTTP-GET-Request an Ihre URL. Kommt eine Antwort mit einem HTTP-Statuscode zurück, der einen Fehler signalisiert, etwa 500 (Internal Server Error) oder 503 (Service Unavailable), oder bleibt die Antwort ganz aus, gilt die Seite als nicht erreichbar. Das passiert häufig nach einem PHP-Fehler durch ein fehlerhaftes Plugin-Update, bei einem überlasteten Server oder wenn der Hoster selbst Probleme hat.
Dienste wie UptimeRobot bieten kostenlose Überwachungsintervalle von fünf Minuten. Das bedeutet: Der Ausfall wird im schlechtesten Fall vier Minuten und 59 Sekunden nach dem Eintreten bemerkt. Bezahlte Tarife bei Diensten wie Better Stack oder Pingdom prüfen jede Minute und aus mehreren Standorten gleichzeitig. Das ist sinnvoll, weil ein regionaler Netzausfall dazu führen kann, dass eine Seite von einem Standort aus nicht erreichbar ist, von einem anderen aber schon.
Für die meisten kleinen und mittleren Unternehmenswebsites reicht ein Fünf-Minuten-Intervall. Wer einen Shop mit nennenswertem Tagesumsatz betreibt, sollte das Intervall auf eine Minute reduzieren.
Ladezeit und Performance im Blick behalten
Eine Seite kann technisch erreichbar sein und trotzdem praktisch nicht nutzbar: wenn sie zehn Sekunden lädt, statt der üblichen zwei. Performance-Monitoring misst die Ladezeit bei jedem Prüfdurchlauf und kann bei Überschreitung eines Schwellenwerts Alarm schlagen.
Core Web Vitals sind seit 2021 Teil des Google-Rankings. Der Largest Contentful Paint (LCP) misst, wie lange es dauert, bis der größte sichtbare Inhalt geladen ist. Google wertet LCP-Werte über 4 Sekunden als schlecht, unter 2,5 Sekunden als gut. Ein Server-Monitoring-Alarm bei einer TTFB (Time to First Byte) von über drei Sekunden lässt sich in vielen Diensten direkt konfigurieren und zeigt meistens auf Probleme mit dem Server selbst, nicht mit dem Browser des Besuchers.
Wie Core Web Vitals im Detail funktionieren und was Google wirklich misst, erklärt der Ratgeber Core Web Vitals: was Google wirklich misst.
SSL-Zertifikate: das stille Ablaufdatum
Let’s-Encrypt-Zertifikate, die heute fast alle kostenlosen HTTPS-Verbindungen absichern, haben eine Laufzeit von 90 Tagen. Das klingt kurz, weil es kurz ist. Let’s Encrypt begründet das damit, dass kürzere Laufzeiten die automatische Erneuerung zur Norm machen und das Risiko durch kompromittierte Schlüssel begrenzen.
Automatische Erneuerung funktioniert meistens. Bis sie es nicht tut. Hosting-Umgebungen ändern sich, Cron-Jobs scheitern, Zertifikate werden auf einer Subdomain nicht erfasst, die jemand vergessen hat. Wenn ein Zertifikat abläuft, zeigen alle gängigen Browser eine vollständige Warnseite, bevor der Besucher überhaupt auf die eigentliche Seite gelangt. Auf Mobilgeräten ist diese Warnung besonders abschreckend, weil sie den gesamten Bildschirm einnimmt.
SSL-Monitoring prüft das Ablaufdatum des Zertifikats bei jedem Durchlauf und warnt typischerweise 30, 14 und 7 Tage vor dem Ablauf. Das gibt genug Vorlauf, um die Erneuerung manuell anzustoßen, falls die Automatik versagt hat. Mehr über Let’s Encrypt und die Infrastruktur hinter HTTPS bietet die offizielle Projektseite.
Zertifikate stehen auch für Vertrauen. Browser zeigen das Schloss-Symbol als sichtbares Signal, bevor jemand auch nur eine Zeile Inhalt gelesen hat. Wer auf eine abgelaufene Seite trifft, ruft im Zweifel beim Wettbewerb an.
Malware- und Defacement-Monitoring
Uptime-Monitoring bemerkt, wenn eine Seite nicht mehr läuft. Es bemerkt nicht, wenn eine Seite läuft, aber unbemerkt kompromittiert wurde. Beide Szenarien kommen vor, das zweite ist gefährlicher, weil es länger unentdeckt bleibt.
Das BSI nennt Webanwendungen als häufiges Angriffsziel und empfiehlt als Gegenmaßnahme unter anderem regelmäßige Sicherheitsüberprüfungen und Monitoring der Verfügbarkeit und Integrität. Bei einer kompromittierten Website kann die Startseite völlig unverändert aussehen, während im Hintergrund Spam-Mails verschickt werden, Besucher auf fremde Seiten weitergeleitet werden oder versteckte Links für SEO-Manipulation eingebaut wurden.
Malware-Monitoring scannt den Quelltext der Seite und vergleicht ihn mit bekannten Mustern schädlicher Skripte. Viele WordPress-Sicherheits-Plugins bieten diese Funktion, ebenso externe Dienste. Defacement-Monitoring prüft zusätzlich, ob sich der sichtbare Inhalt einer Seite unerwartet verändert hat, etwa ob Texte oder Bilder ausgetauscht wurden.
Welche Schritte nach einem Angriff nötig sind und wie man eine gehackte Website systematisch bereinigt, beschreibt der Ratgeber Website gehackt: der Notfallplan in fünf Schritten. Was danach kommt, wenn der Schaden größer ist, deckt Disaster Recovery: der Notfallplan wenn die Website komplett ausfällt ab.
Benachrichtigungen, die wirklich ankommen
Ein Alarm, der in einem E-Mail-Postfach landet, das außerhalb der Geschäftszeiten niemand öffnet, hilft beim Samstagnachmittags-Ausfall nicht. Den Dienst einzurichten ist der einfache Part. Die eigentliche Frage ist: Wer bekommt welchen Alarm, über welchen Kanal, und wer reagiert darauf?
Mehrere Kanäle parallel nutzen
Die meisten Monitoring-Dienste bieten mehrere Benachrichtigungswege: E-Mail, SMS, Slack-Webhook, Microsoft Teams, Push-Benachrichtigung oder Anruf. Für kritische Ausfälle lohnt es sich, mindestens zwei Kanäle zu aktivieren. E-Mail als Dokumentationsweg, Smartphone-Push oder SMS als sofortige Meldung.
Zuständigkeit vorher klären
Wer den Alarm empfängt, muss wissen, was damit zu tun ist. Im einfachsten Fall ist das der externe IT-Dienstleister, der eine klare Reaktionsverpflichtung hat. Ohne definierten Empfänger und Eskalationsweg ist das Monitoring zwar eingerichtet, aber folgenlos. Der Alarm läuft ins Leere.
Falsch-Alarme reduzieren
Zu sensibel eingestellte Monitoring-Dienste alarmieren bei jedem kurzfristigen Netzwerkhiccup. Das führt dazu, dass Alarme ignoriert werden, weil sie meist nichts bedeuten. Sinnvoll ist es, einen Ausfall erst dann zu melden, wenn er von zwei verschiedenen Prüfstandorten gleichzeitig bestätigt wird. Das reduziert Falsch-Alarme auf fast null, ohne die Reaktionszeit spürbar zu verlängern.
Übersicht: Was überwachen, womit, bei welchem Alarm
| Was überwachen | Werkzeug-Typ | Alarm bei |
|---|---|---|
| Erreichbarkeit der Website (Uptime) | Uptime-Dienst (UptimeRobot, Better Stack, Pingdom) | HTTP-Fehlercode oder keine Antwort; bestätigt von 2 Standorten |
| Ladezeit und TTFB | Performance-Monitoring (Pingdom, Better Stack) | Ladezeit überschreitet definierten Schwellenwert (z. B. 5 s) |
| SSL-Zertifikat-Ablauf | SSL-Monitor (in den meisten Uptime-Diensten integriert) | Ablauf in weniger als 30, 14 oder 7 Tagen |
| Kontaktformular oder Bestellprozess | Synthetisches Monitoring (Pingdom Transactions, Better Stack) | Schritt im Prozess schlägt fehl |
| Malware und Schadcode im Quelltext | Sicherheits-Plugin (Wordfence, Solid Security) oder externer Scanner | Bekannte Schadcode-Signatur gefunden |
| Unerwartete Inhaltsänderung (Defacement) | Defacement-Monitoring (in einigen Diensten integriert) | Sichtbarer Seiteninhalt weicht vom Referenz-Snapshot ab |
| Domain-Ablauf | Domain-Monitor oder Registrar-Erinnerung | Ablauf in weniger als 60 Tagen |
| DNS-Änderungen | DNS-Monitor (in Better Stack und ähnlichen enthalten) | DNS-Einträge verändern sich unerwartet |
Ein Beispiel aus der Praxis
In einem Projekt betreiben wir einen mittelständischen Handwerksbetrieb mit einer WordPress-Website. Die Seite ist nicht der primäre Vertriebskanal, aber das Kontaktformular liefert gut zehn Anfragen pro Woche. Im vergangenen Oktober schlug das Monitoring um 02:47 Uhr Alarm: HTTP 500 von zwei Standorten gleichzeitig. Die Benachrichtigung ging per E-Mail und Push an den zuständigen Ansprechpartner.
Am nächsten Morgen ließ sich die Ursache schnell eingrenzen: Ein automatisches Plugin-Update hatte eine Datenbankverbindung unterbrochen. Die Seite war bis 08:15 Uhr ausgefallen, also knapp fünfeinhalb Stunden. Da das Monitoring den genauen Zeitstempel des Alarms protokolliert, ließ sich im WordPress-Log der Update-Zeitpunkt direkt mit dem Ausfall korrelieren. Reparatur: 25 Minuten. Das Plugin wurde zurückgerollt, eine Staging-Prüfung eingerichtet.
Ohne Monitoring wäre der Ausfall vermutlich erst am nächsten Morgen durch den Betreiber selbst oder durch den ersten Anrufer aufgefallen. Die Reaktionszeit wäre von 25 Minuten auf mehrere Stunden gestiegen, und mit ihr der Schaden an Anfragen, die in dieser Zeit auf die Konkurrenz umgeleitet wurden.
Was danach folgen sollte, erklärt der Ratgeber Wartungsvertrag: was er kostet und was er im Ernstfall spart.
Sofort-Checkliste: Monitoring einrichten
Wer noch kein Monitoring hat, kann die wichtigsten Grundlagen in unter einer Stunde einrichten. Diese Liste führt durch die Schritte.
- Uptime-Monitoring für die Haupt-URL einrichten (UptimeRobot kostenlos, Intervall 5 Minuten als Einstieg)
- Prüfstandorte: mindestens zwei verschiedene Regionen aktivieren, um Falsch-Alarme durch lokale Netzwerkprobleme zu reduzieren
- SSL-Zertifikat-Monitor aktivieren und Warnung bei 30 Tagen Restlaufzeit einstellen
- Benachrichtigungskanal festlegen: E-Mail plus mindestens einen Push- oder SMS-Kanal für kritische Alarme
- Klären, wer auf Alarme reagiert und welcher Reaktionszeitraum gilt, auch außerhalb der Geschäftszeiten
- Bei WooCommerce oder Kontaktformular: synthetisches Monitoring für den kritischen Prozess einrichten
- Falsch-Alarm-Schwelle prüfen: Ausfall erst melden, wenn zwei Standorte gleichzeitig anschlagen
- Domain-Ablaufdatum prüfen und Erinnerung beim Registrar oder im Monitoring-Dienst setzen
- Monitoring-Berichte monatlich sichten: Häufen sich Ausfälle zu bestimmten Zeiten, steckt oft ein Muster dahinter
- Regelmäßige WordPress-Wartung parallel zum Monitoring sicherstellen, damit Ausfälle seltener entstehen
Was darüber hinaus zur laufenden Pflege einer WordPress-Website gehört, beschreibt der Ratgeber Website-Wartung: was monatlich, was jährlich zu tun ist.
- Uptime-Monitoring, SSL-Überwachung und Performance-Alerts sind die Grundbausteine, die jede Website haben sollte. Was darüber hinaus sinnvoll ist, hängt vom jeweiligen Fall ab.
- Ein abgelaufenes SSL-Zertifikat stoppt Besucher vollständig durch eine Browser-Warnseite, obwohl am Server nichts kaputt ist. Dieser Fehler ist einfach zu verhindern.
- Benachrichtigungen bringen nur etwas, wenn vorher geregelt ist, wer antwortet und in welchem Zeitraum. Das Monitoring selbst ist der einfachste Teil.
- Malware-Monitoring ergänzt Uptime-Monitoring, weil eine kompromittierte Seite oft noch erreichbar wirkt, während sie im Hintergrund Schaden anrichtet.
Häufige Fragen
Wie oft sollte ein Monitoring-Dienst meine Website prüfen?
Für die meisten kleinen und mittleren Unternehmenswebsites ist ein Fünf-Minuten-Intervall ausreichend. Wer einen Onlineshop mit merklichem Tagesumsatz betreibt, sollte auf ein Intervall von einer Minute wechseln. Kürzere Abstände sind technisch möglich, in der Praxis aber selten nötig und bei den meisten Diensten erst in teureren Tarifen verfügbar.
Erkennt Website Monitoring auch Hackerangriffe oder Schadsoftware?
Reines Verfügbarkeits-Monitoring erkennt Schadsoftware nicht direkt. Es bemerkt indirekte Folgen, wenn eine kompromittierte Seite verlangsamt, auf fremde URLs umgeleitet oder durch den Angriff offline genommen wird. Für aktiven Schutz braucht es ergänzendes Malware-Monitoring, etwa über ein Sicherheits-Plugin wie Wordfence oder einen externen Scan-Dienst.
Was passiert, wenn meine Website außerhalb der Geschäftszeiten ausfällt?
Das hängt davon ab, wie die Alarmierung eingerichtet ist. Ohne definierten Empfänger für Nacht- und Wochenend-Alarme ist das Monitoring zwar aktiv, aber funktionslos in diesen Stunden. Professionelle Betreuungspakete legen für Notfälle feste Reaktionszeiten fest, auch außerhalb der Bürozeiten. Mindestens einen Push- oder SMS-Kanal zu aktivieren kostet nichts und macht den Unterschied zwischen zwei Stunden und acht Stunden Ausfallzeit.
Lohnt sich Monitoring auch für eine einfache Firmenwebsite ohne Shop?
Ja. Auch eine einfache Unternehmenswebsite ist für viele Interessenten der erste Kontaktpunkt. Ein mehrstündiger Ausfall, den niemand bemerkt, kann Anfragen kosten, die gar nicht erst ankommen. Der Aufwand für ein einfaches Uptime-Monitoring ist minimal, kostenlose Dienste wie UptimeRobot decken die Grundüberwachung ohne Kosten ab.
Reicht es, wenn mein Hoster mir bei Ausfällen Bescheid gibt?
Nur bedingt. Hoster überwachen ihre eigene Infrastruktur, also ob der Server läuft. Sie prüfen nicht, ob Ihre WordPress-Installation, Ihr Kontaktformular oder Ihr Shop-Checkout tatsächlich funktioniert. Ein PHP-Fehler durch ein fehlerhaftes Plugin-Update lässt den Server antworten, macht Ihre Seite aber trotzdem unbenutzbar. Das sieht nur ein externer Monitor, der Ihre Seite wie ein echter Besucher aufruft.
Wie viel kostet Website Monitoring?
Der Einstieg ist kostenlos. UptimeRobot bietet Uptime- und SSL-Monitoring für bis zu 50 Websites ohne Kosten, mit einem Prüfintervall von fünf Minuten. Bezahlte Tarife mit Ein-Minuten-Intervall, erweiterten Benachrichtigungskanälen und synthetischem Monitoring liegen je nach Anbieter zwischen 10 und 50 Euro im Monat.