ClickCease
24.5.2024

Risiken beim Betrieb mehrerer Websites im gleichen Hosting Account

Wir werden ab und zu gefragt, ob man zwecks Kostenoptimierung mehrere Websites im gleichen Hosting-Account laufen lassen könne. Während dies technisch zwar möglich ist, gibt es einen guten Grund, dies nicht zu tun: nämlich wenn ein Hosting z.B. wegen eines Angriffs, Manipulationsfehlers, Spams oder einfach nur abgelaufener Kreditkarte suspendiert wird, und damit dann gleich alle Websites deaktiviert werden.
Inhaltsverzeichnis

Wieso mehrere Websites?

Als Unternehmen kann es vorkommen, dass man für verschiedenste Projekte unterschiedliche Websites benötigt. So hat man eine Haupt-Webseite, welche das Unternehmen präsentiert und später kommt vielleicht eine Webseite für ein Gewinnspiel dazu, und eine weitere für eine Online-Dokumentation. Häufig treffen wir dann die Situation an, dass alle Websites im gleichen Hosting-Account laufen. Man hat den Account ja bereits, und es ist noch genügend Speicherplatz vorhanden. Wieso also einen neuen Account bestellen?

Kosten vs. Risiken

Obwohl es auf den ersten Blick Kosten spart, bringt der Betrieb mehrerer Websites im gleichen Hosting-Account erhebliche Risiken mit sich: zum Beispiel wenn über eine Website Spam versendet wird und der Provider dann üblicherweise in solchen Fällen den ganzen Hosting-Account deaktiviert (und dann alle Websites nicht mehr laufen). Oder eine der vielen Websites gehackt wird, und dann alle weiteren Websites im Account in Mitleidenschaft gezogen werden. Gerade kleinere Websites wie Gewinnspiele, lässt man gerne nach Ende des Spiels noch eine Weile liegen und wird mit den Updates nachlässig. Man updatet die Corporate Website zwar fleissig, aber wenn das Gewinnspiel gehackt wird, dann ist eben auch die Corporate Website futsch.

Top 6 häufige Risiken bei Websites

Folgende Risiken führen unserer Erfahrung nach bei den meisten Providern zu einer Deaktivierung des Hosting-Accounts (mit eben allem, was drin ist). In absteigender Reihenfolge:

  1. Unbemerkter Spamversands
  2. Gefundene Malware-Uploads oder -Installationen
  3. Angriff / Cyberattacke
  4. Manipulationsfehler aller Art, die z.B. zu massiv erhöhter Last führen
  5. Allenfalls: Speicherplatzüberschreitungen
  6. Allenfalls: Zahlungsausfälle, vergessene Rechnungen, abgelaufene Kreditkarten

Konkretes Beispiel

Wir hatten einen potentiellen Kunden angetroffen, der sein ganzes Online-Portfolio zu uns bringen wollte, weil er von unserem Update- und Securitydienst Gebrauch machen wollte. Der Kunde hatte 5 Websites in einem Hosting-Account bei einem Schweizer Provider, wo das Hosting rund 16 Franken im Monat kostete (Stand 2023). Bei uns würde jede Website ein eigenes Hosting-Abonnement benötigen, um die Risiken durch die gemeinsame Nutzung von Ressourcen zu minimieren. Als wir dem Kunden offeriert hatten, dies also in 5 Hostings aufzuteilen, resultierte dies in neue monatliche Kosten von CHF 75 (bei uns, Stand 2023). Natürlich warf dies dann die bekannte Frage auf, wieso wir für 75 offerieren, wenn er bisher 16 zahlen musste.

Das Problem hier war, dass man die Hauptwebseite mit unserem besten Service-Level-Agreement absichern wollte, die vier weiteren Websites aber nicht oder nur mit einem minimalen Service. Selbst wenn wir die Hauptwebseite nun mit unserem SLA abgedeckt hätten, hätte immer noch das Risiko bestanden, dass der Angriff über eine der "verlotterten" Websites käme, und die Hauptwebsite mit dem noch so guten SLA und Monitoring dann ebenfalls down wäre. Da wir für unsere SLA Garantien abgeben, hätten wir den Vertrag somit nicht erfüllen können. Mindestens alle 5 Websites hätten die gleiche Pflege punkto Updates usw. von uns gebraucht.

Doch selbst wenn wir alle 5 Websites mit dem gleichen SLA abgedeckt hätten: das Restrisiko eines Ausfalls besteht immer noch. Und es vervielfacht sich, je mehr Websites im gleichen Account laufen.

Berechnung des Risikos

Das Risiko berechnet sich vereinfacht mit folgender Formel:

Betreibt man 5 Websites, ist die Wahrscheinlichkeit E, dass eine davon angegriffen wird = 5.
Wird ein Hosting-Account mit 5 Websites darin suspendiert, ist die Auswirkung A = 5.
Das Risiko R beträgt hier also 5 x 5 = 25.

Würde man die 5 Websites in einzelnen Hosting-Accounts betreiben, sieht die Rechnung anders aus:

E = 5 (da es immer noch 5 Websites sind)
A = 1 (da nur eine Website betroffen)
Das Risiko R beträgt nun also 5 x 1 = 5.

Tabelle Risikoberechnung bei nur einem Hosting Account

  • 1 Website in 1 Hosting Account = R = E x A = 1x1 = 1
  • 2 Websites in 1 Hosting Account = R = E x A = 2x2 = 4
  • 3 Websites in 1 Hosting Account = R = E x A = 3x3 = 9
  • 4 Websites in 1 Hosting Account = R = E x A = 4x4 = 16
  • 5 Websites in 1 Hosting Account = R = E x A = 5x5 = 25
  • usw.

Das Risiko steigt also exponentiell (hoch 2) für jede weitere Seite im gleichen Hosting Account.

Tabelle Risikoberechnung bei mehreren isolierten Hosting Accounts

  • 1 Website in 1 Hosting Account = R = E x A = 1x1 = 1
  • 1 Websites in 2 Hosting Accounts = R = E x A = 1x2 = 2
  • 1 Websites in 3 Hosting Accounts = R = E x A = 1x3 = 3
  • 1 Websites in 4 Hosting Accounts = R = E x A = 1x4 = 4
  • 1 Websites in 5 Hosting Accounts = R = E x A = 1x5 = 5
  • usw.

Das Risiko steigt also linear für jede weitere Seite im gleichen Hosting Account - und so sollte es eigentlich auch sein.

Wieso ist die Berechnung des Risikos wichtig?

Wie wir vorher gesehen haben, geht es hier um Websites, die oft auch gut verfügbar sein müssen. Eine Corporate Website oder ein E-Commerce Shop, welche gehackt sind und nicht mehr funktionieren, wirken sich direkt auf das eigene Business aus. Nebst dem finanziellen Schaden für die dann oft sehr aufwändigen Wiederherstellungsarbeiten, kann auch ein Image-Schaden entstehen. Wenn Daten gestohlen werden, ist das Ausmass noch viel grösser.

Aus unserer Sicht gehört das Cyber-Risiko in jede Risikomatrix eines Unternehmens rein. Man sollte wissen, auf welche Risiken man sich einlässt, respektive was die Auswirkungen wären. Mit einem Unternehmen geht man natürlich immer bewusst Risiken ein, das macht ein Unternehmen ja auch aus. Man sollte das eingegangene Risiko dann dem potentiellen Ertrag gegenüberstellen, und dann die Entscheidung für sich treffen.

Wir sind jedoch der Ansicht, dass die geringen Mehrkosten für isolierte Hostings, das deutlich reduzierte Risiko wert sind. Das wird auch jeder Vorgesetzte oder Unternehmer verstehen. Oder anders ausgedrückt: konnte man ein paar Franken sparen und es tritt der Super-GAU ein, und man sucht dann nach den Ursachen, wird der kurze Genuss von ein paar gesparten Franken wohl nicht wirklich lange andauern.

Es gibt zwei weitere Gründe, isolierte Hostings zu haben

  1. In der Regel sind die Ressourcen pro Hosting-Account optimiert und reserviert. Sprich, die Websites greifen nicht alle auf die gleichen Ressourcen zu, sondern haben einen eigenen Ressourcen- und Memorypool zur Verfügung. Ist eine Website also stark ausgelastet, werden die anderen Websites nicht in Mitleidenschaft gezogen.
  2. Manchmal ist auch der Datenschutz ein Thema, nämlich wenn zwei sachfremde Websites im gleichen Hosting Account laufen und sich die Daten dann «teilen», obschon der User dem gemäss Datenschutzerklärung nicht zustimmt.

Es gibt aber auch Gründe, die gegen isolierte Hostings sprechen

Aus technischen Gründen kann es Sinn machen, mehrere Sites im gleichen Account zu haben. So zum Beispiel, wenn sich mehrere Websites Daten untereinander teilen müssen (zum Beispiel ein Kundenportal, welches auf Kundendaten zugreift, und ein Extranet, welches für das Login die gleichen Daten braucht - obschon mal solche Daten meist auch per Schnittstelle teilen kann). Oder wenn eine Website unter der gleichen Domain mit verschiedenen Applikationen laufen muss (zum Beispiel www.example.ch und www.example.ch/elearning, wenn beides unterschiedliche Systeme sind). In solchen Fällen kann ein Betrieb im gleichen Account möglich sein, jedoch benötigt jede Website ein separates Hosting-Abonnement. Dies gewährleistet die nötige Ressourcenisolierung und minimiert die oben genannten Risiken, während die Vorteile des Betriebs unter der gleichen Domain (z.B. SEO) erhalten bleiben.

Reveal: was wir dem Kunden offeriert haben

In unserem obigen Beispiel, wo unser neuer Kunde also die 5 Websites im gleichen Account laufen lassen wollte, hätten wir als Lieferant von Garantien ein Risiko von 25 gehabt, dass etwas passiert und wir decken müssen - versus einem Risiko von 5. Das hätte man abfedern können mit 5 gleich grossen SLA-Service-Verträgen pro Website wie bei der Corporate Website (diese grossen Verträge kosten weitaus mehr als CHF 15 Hosting-Account Kosten im Monat). Wir haben die beiden Varianten dem Kunden dann wie folgt erklärt.

Variante A, 1 Hosting Account:

Der Kunde betreibt 5 Websites im gleichen Hosting-Account. Bei einem Hosting-Anbieter, der dies zulässt, kostet das Hosting dann ca. 15 Franken im Monat. Diese Lösung spart auf den ersten Blick Kosten, birgt jedoch grosse Risiken, wie bereits beschrieben. Um die Auswirkungen von Hacks usw. zu minimieren, benötigen hier alle 5 Websites ein eigenes SLA (fiktive Annahme: CHF 200 pro Stück)

Variante B, 5 Hosting Accounts:

Der Kunde betreibt 5 Websites mit jeweils einem eigenen Hosting-Abonnement. Bei uns kostet das Hosting pro Website ebenfalls 15 Franken im Monat, was insgesamt 75 Franken ergibt. Diese Lösung stellt sicher, dass jede Website über dedizierte Ressourcen verfügt und die beschriebenen Risiken minimiert werden. Und mit eigenen Hostings, können hier auch nur einzelne Websites mit einem SLA belegt werden.

Gregor Favre
Technische Beratung und Entwicklung

Weitere Artikel:

Consent Mode V2 in der Schweiz nötig?
Google Analytics 4: die wichtigsten Änderungen und Begriffe
Wie du mit Taboola Native Advertising deine Online-Reichweite maximierst
Risiken beim Betrieb mehrerer Websites im gleichen Hosting Account
Cookie Banner in der Schweiz nicht notwendig
DKIM und DMARC: einfach erklärt
Webdesign-Zukunft 2024: 4 Trends, die du nicht verpassen darfst!
Webseitenvorlage oder eigenes Design?
Mailchimp oder Mautic für Newsletter: 9 Antworten
Wieviel kostet die Wartung einer Webseite?
Webflow, Wordpress oder TYPO3?
Wie senkt man die Kosten von Google Ads?
Was ist eine Konversionsrate?
Ist deine Webseite mobiltauglich?
Mit Featured Snippets den Traffic um 500 Prozent steigern
Klein aber oho: das Favicon
So wird Ihre Webseite mit SEO sichtbarer
Fake Web-Shops
3 Tipps für barrierefreie Webseiten
Die übelsten Fehler im Design: aufgedeckt
Mit drei Klicks zum Ziel?
Datenschutz in der Kita
Häufigster Website-Fehler: Versteckte Inhalte
Wer hat an der Uhr gedreht?
Wenn der Notfall-Sanitär die Kunden abzockt
Katastrophenalarm legt Webseite lahm
5 Schritte zur schnelleren Webseite
10 Tipps für Webformulare
Titel und Teaser
Datenschutzprobleme mit Cloudspeichern
Personenfotos im Web: was ist erlaubt?
Remarketing mit Google Ads und Analytics
INSOR AG

Schwarzackerstrasse 11
8304 Wallisellen
Schweiz

Öffnungszeiten

Montag - Freitag 08:30 - 12:00
und 13:30 - 17:00 Uhr

Verkauf (kein Support):
T: 044 500 58 40 oder info@insor.ch

Helpdesk & Support:
T: 044 585 27 00 oder helpdesk@insor.ch

Weitere Infos

Impressum & Datenschutz
Allgemeine Geschäftsbedingungen AGB
Auftragsdatenbearbeitung ABV

INSOR® ist eine registrierte Marke.

Partner & Zertifizierungen
INSOR ist Google Partner
INSOR ist Microsoft Partner
INSOR setzt TYPO3 ein
INSOR setzt TYPO3 ein
INSOR setzt TYPO3 ein
INSOR setzt Mautic ein
INSOR ist eine Mailchimp Agentur
INSOR setzt Plesk ein
INSOR ist ein Lehrbetrieb in Wallisellen
INSOR gehört dem KMU und Gewerbeverband Zürich an
INSOR ist ein Rafisa Ausbildungsbetrieb
INSOR ist ein Rafisa Ausbildungsbetrieb