• Start
V-Hub by Vodafone BusinessSecuritySicherheitCross-Site-Scripting (XSS): Wenn Webseiten plötzlich Schadcode ausführen
Mann tippt auf einem Notebook, über der Tastatur schweben Symbole für Textdateien
Security

Cross-Site-Scripting (XSS)

Wenn Webseiten plötzlich Schadcode ausführen

Endgeräte schützen
Marcus Ladwig im PortraitMarcus Ladwig
Portrait von Dr. Lorenz SteinkeLorenz Steinke
23.03.2026
9 Min.

    Viele Cyberangriffe beginnen mit einem scheinbar harmlosen Webseitenaufruf. Beim sogenannten Cross-Site-Scripting (XSS) schleusen Angreifende Schadcode in eigentlich vertrauenswürdige Webseiten ein. Für Nutzer:innen ist die Gefahr oft kaum zu erkennen – die Folgen können jedoch gravierend sein. In diesem Artikel erfahren Sie, wie XSS-Angriffe funktionieren, welche Ziele Cyberkriminelle damit verfolgen und wie Unternehmen ihre Webanwendungen und Endgeräte besser schützen können.

    Inhaltsverzeichnis

    Cross-Site-Scripting: Das Wichtigste in KürzeWas ist XSS (Cross-Site-Scripting)? Ziele von XSS-AttackenSo funktionieren typische Angriffe auf Webanwendungen

    Cross-Site-Scripting: Das Wichtigste in Kürze

    • Beim Cross-Site-Scripting (XSS) schleusen Angreifende Schadcode über eigentlich vertrauenswürdige Webseiten in Browser ein.
    • Ein einziger Klick auf einen manipulierten Link kann reichen – dann können Cyberkriminelle Sitzungen übernehmen, Daten ausspähen oder Malware nachladen.
    • Besonders gefährdet sind Webanwendungen wie Shops, CMS-Systeme oder Online-Formulare.
    • Regelmäßige Updates, sichere Webanwendungen und geschützte Endgeräte reduzieren das Risiko deutlich.
    • Zusätzliche Sicherheitslösungen helfen, manipulierte Webseiten und Schadcode frühzeitig zu erkennen.
    Unkenntlicher Computerhacker tippt auf einem Smartphone

    Lookout for Small Business

    Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

    Integrieren Sie Lookout in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-out in Ihrer mobilen Flotte.

    Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    Lookout: Wirksamer Geräteschutz

    Was ist XSS (Cross-Site-Scripting)?

    Cross-Site-Scripting (XSS) bezeichnet eine Angriffstechnik, bei der Cyberkriminelle Schadcode über eigentlich vertrauenswürdige Webseiten ausführen lassen. Die Angreifenden nutzen dabei Sicherheitslücken in Webanwendungen, um manipulierte Skripte in Webseiten einzuschleusen.
    Oft beginnt ein solcher Angriff mit einem scheinbar harmlosen Link, etwa in einer E-Mail oder Nachricht. Klickt eine Person darauf, wird der manipulierte Code über die Webseite ausgeführt. Dadurch können Angreifende beispielsweise Sitzungen übernehmen, Anmeldedaten ausspähen oder Schadsoftware auf den Computer der Opfer laden.
    Besonders perfide: Für Nutzer:innen sieht der Angriff häufig wie ein normaler Webseitenaufruf aus. Der Schadcode stammt von einer eigentlich vertrauenswürdigen Seite – etwa einem Online-Shop, einer Bank oder einem bekannten Online-Dienst.
    Die Abkürzung „XSS“ steht für „Cross-Site-Scripting“. Das „X“ wird unter anderem verwendet, weil die Abkürzung „CSS“ im Web bereits für „Cascading Style Sheets“ vergeben ist. Außerdem steht das X aufgrund seiner Form im Englischen für „cross“ (deutsch: „Kreuz“).
    XSS gehört zur Gruppe der sogenannten Injection-Angriffe. Dabei schleusen Cyberkriminelle schädlichen Code gezielt in Anwendungen ein, damit dieser dort ausgeführt wird. Ein weiteres bekanntes Beispiel aus dieser Kategorie ist die SQL-Injection.

    Ziele von XSS-Attacken

    Cyberkriminelle nutzen Cross-Site-Scripting, um über eigentlich vertrauenswürdige Webseiten Schadcode auszuführen. Ziel ist es meist, Daten zu stehlen, Nutzerkonten zu übernehmen oder weitere Angriffe vorzubereiten. Typische Ziele und Angriffsflächen sind:
    Benutzersitzungen übernehmen
    Zugriff auf Kundenkonten oder Webshop-Sessions
    Zugangsdaten stehlen
    Phishing-Seiten für Log-ins oder Kreditkartendaten
    Schadsoftware verbreiten
    Download von Malware über manipulierte Webseiten
    Webseiten manipulieren
    Website-Defacement („Verunstaltung“) oder Einschleusen fremder Inhalte
    Systeme ausspähen
    Zugriff auf Browser, Geräte oder interne Netzwerke
    Ziel des Angriffs
    Beispiel
    Besonders häufig betroffen sind Webanwendungen mit vielen Nutzerinteraktionen – etwa Content-Management-Systeme, Online-Shops oder Suchfunktionen auf Webseiten.

    So funktionieren typische Angriffe auf Webanwendungen

    Viele moderne Webseiten werden dynamisch erzeugt. Inhalte wie Benutzerkonten, Warenkörbe oder personalisierte Angebote entstehen erst beim Aufruf der Seite. Dafür kommen Skriptsprachen wie JavaScript zum Einsatz.
    Genau diese Technik nutzen Angreifende bei Cross-Site-Scripting aus. Sie schleusen manipulierten Skriptcode in Webseiten oder Webformulare ein. Wird dieser Code nicht korrekt gefiltert, kann er im Browser der Besucher:innen ausgeführt werden.
    Auf diese Weise lassen sich beispielsweise gefälschte Anmeldeseiten anzeigen, Sitzungsdaten auslesen oder Schadsoftware auf Geräte der Nutzer:innen laden.
    Neben JavaScript können theoretisch auch andere Skripttechnologien missbraucht werden. In der Praxis spielt jedoch JavaScript die wichtigste Rolle, weil es auf nahezu allen modernen Webseiten zum Einsatz kommt.
    Solche Angriffe lassen sich oft bereits auf den Endgeräten erkennen und blockieren – etwa wenn Nutzer:innen manipulierte Webseiten oder schädliche Links aufrufen. Spezielle Sicherheitslösungen können dabei helfen, entsprechende Bedrohungen frühzeitig zu erkennen.
    Unkenntlicher Computerhacker tippt auf einem Smartphone

    Lookout for Small Business

    Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

    Integrieren Sie Lookout in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-out in Ihrer mobilen Flotte.

    Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    Lookout: Wirksamer Geräteschutz

    Die unterschiedlichen Arten von XSS

    Cross-Site-Scripting tritt in mehreren Varianten auf. Sie unterscheiden sich vor allem darin, wo der Schadcode gespeichert wird und wann er ausgeführt wird.
    Reflected XSS
    Der Schadcode wird über einen manipulierten Link an den Server gesendet und von diesem direkt im Browser der Zielperson zurückgegeben.
    Link in einer Phishing-E-Mail führt zu einer manipulierten Suchseite.
    Stored (Persistent) XSS
    Der Schadcode wird dauerhaft auf einer Webseite gespeichert, etwa in Kommentaren oder Forenbeiträgen.
    Ein manipuliertes Skript in einem Gästebucheintrag infiziert die Browser/Rechner der Seitenbesucher:innen.
    DOM-based XSS
    Der Angriff erfolgt ausschließlich im Browser. Die Webseite verarbeitet Daten aus der URL oder anderen Quellen ungeprüft, ohne dass der Server den Schadcode zurückliefert.
    Ein manipuliertes Skript verändert Inhalte im Browser der Nutzer:innen.
    Funktionsweise
    Beispiel
    Alle Varianten nutzen Sicherheitslücken in Webanwendungen aus. Für Nutzer:innen ist der Angriff oft schwer zu erkennen, weil der Schadcode von einer scheinbar vertrauenswürdigen Webseite stammt.
    Unabhängig von der konkreten Variante folgt eine XSS-Attacke häufig einem ähnlichen Muster: Angreifende schleusen manipulierten Code über eine Webseite ein, der anschließend im Browser der Opfer ausgeführt wird.
    Grafische Darstellung des Ablaufs eines XSS-Angriffs.
    XSS-Attacken bedienen sich häufig harmloser Webseiten, die mit Schadcode manipuliert werden, sobald jemand sie aufruft.

    Beispiele für XSS-Angriffe

    Cross-Site-Scripting wird seit vielen Jahren für unterschiedliche Cyberangriffe genutzt. Die folgenden Beispiele zeigen typische Szenarien aus der Praxis.
    Unsichere Webskripte Schwachstellen in Webanwendungen können dazu führen, dass Angreifende JavaScript-Code einschleusen. Dieser kann etwa Sitzungs-Cookies auslesen und so den Zugriff auf Benutzerkonten übernehmen.
    Manipulierte Formulare In einigen Fällen verstecken Cyberkriminelle Schadcode in Formularfeldern – etwa in Bewerbungsportalen oder Kontaktformularen. Wird das Profil später angezeigt, wird der Code im Browser anderer Nutzer:innen ausgeführt.
    Kompromittierte Drittanbieter-Skripte Viele Webseiten binden externe JavaScript-Bibliotheken ein, etwa für Analyse-Tools oder interaktive Funktionen. Manipulieren Cyberkriminelle solche Skripte, kann der enthaltene Schadcode baim Aufruf der Webseite automatisch im Browser der Besucher:innen ausgeführt werden – ohne dass diese es bemerken.
    Sicherheitslücken in CMS-Systemen Beliebte Content-Management-Systeme wie WordPress sind regelmäßig Ziel von XSS-Angriffen. Besonders anfällig sind Erweiterungen oder Plug-ins, wenn sie nicht regelmäßig aktualisiert werden.
    Empfohlener externer Inhalt
    Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
    Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
    Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
    Datenschutzerklärung

    Was ist reflektiertes XSS?

    Beim reflektierten Cross-Site-Scripting (Reflected XSS) wird der Schadcode nicht dauerhaft auf einer Webseite gespeichert. Stattdessen erzeugt der Webserver ihn erst als Antwort auf eine manipulierte Anfrage.
    Typischerweise erhalten Opfer einen präparierten Link – etwa per E-Mail oder Nachricht. Beim Klick auf diesen Link sendet der Server eine manipulierte Webseite zurück. Der enthaltene Schadcode wird anschließend im Browser der Nutzer:innen ausgeführt.
    Cyberkriminelle können so beispielsweise Anmeldeseiten manipulieren, Sitzungsdaten auslesen oder Besucher:innen auf gefälschte Webseiten umleiten.
    Der Vorteil für die Angreifenden: Der Schadcode ist nicht dauerhaft sichtbar auf einer Webseite gespeichert. Er wird nur im Moment des Angriffs erzeugt und ausgeliefert, was die Entdeckung erschwert.

    XSS Injection und XSS Vulnerability

    Im Zusammenhang mit Cross-Site-Scripting tauchen häufig die Begriffe XSS InjectionundXSS Vulnerabilityauf.
    XSS Injection bezeichnet den eigentlichen Angriff: Cyberkriminelle schleusen schädlichen Skriptcode in eine Webanwendung ein, damit dieser im Browser der Nutzer:innen ausgeführt wird.
    XSS Vulnerability beschreibt die zugrunde liegende Sicherheitslücke. Solche Schwachstellen entstehen beispielsweise, wenn Webanwendungen Eingaben aus Formularen, URLs oder Kommentarfeldern nicht ausreichend prüfen.
    Typische Ursachen für solche Sicherheitslücken sind:
    • Unzureichend abgesicherte Eingabeformulare
    • Fehlende Filter für schädlichen Skriptcode
    • Veraltete Webanwendungen oder Plug-ins
    • Unzureichend konfigurierte Sicherheitslösungen
    Wer diese Schwachstellen konsequent schließt, reduziert das Risiko von XSS-Angriffen deutlich.

    Darauf sollten Unternehmen besonders achten

    Cross-Site-Scripting kann für Unternehmen erhebliche Folgen haben. Oft ist ein erfolgreicher XSS-Angriff nur der erste Schritt weiterer Cyberattacken. Gelangen Angreifende beispielsweise an Administrationsrechte oder Sitzungsdaten, können sie Unternehmens-Webseiten manipulieren, Kundendaten ausspähen oder Schadsoftware in Ihrem Firmennetzwerk verbreiten.
    Hinzu kommt, dass sich der Ursprung solcher Angriffe häufig nur schwer nachvollziehen lässt. Cyberkriminelle versuchen oft gezielt, ihre Spuren zu verwischen oder Logdateien zu löschen.
    Mögliche Folgen von XSS-Angriffen sind unter anderem:
    • Ausfall oder Manipulation von Webseiten und Online-Shops
    • Diebstahl sensibler Kunden- und Unternehmensdaten
    • Reputationsschäden durch kompromittierte Online-Dienste
    • Finanzielle Schäden oder DSGVO-Strafen
    • Einschleusen weiterer Schadsoftware in interne Systeme
    Unternehmen sollten ihre Webanwendungen deshalb regelmäßig auf Sicherheitslücken prüfen und geeignete Schutzmaßnahmen einsetzen.
    Um hier systematisch vorzugehen, benötigen Unternehmen eine ganzheitliche Cyber-Security-Strategie – von sicheren Webanwendungen bis zum Schutz der Endgeräte.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    Prävention: So verhindern Sie wirksam XSS-Angriffe

    Aktuell nutzen fast alle größeren Webseiten die vielen Vorteile von JavaScript, HTML, XML und DOM. Schließlich erwarten Kund:innen bequem zu nutzende Online-Angebote und möchten sich dabei nicht ständig neu anmelden. Allzu aufwendige Log-in-Mechanismen mit Zwei-Faktor-Authentifizierung, starken Verschlüsselungen oder schnell ablaufenden Sitzungen sorgen für Frustration.
    Entsprechend bestellen Kund:innen dann weniger im Firmen-Webshop, bewerten negativ oder beschweren sich. Was also tun, wenn Sie Cross-Site-Scripting und andere Cyberattacken wirksam verhindern wollen, ohne Ihre Kund:innen zu verärgern?
    Welche technischen und organisatorischen Maßnahmen besonders wichtig sind, zeigen die folgenden Empfehlungen.

    So bauen Sie serverseitigen Schutz gegen XSS-Attacken auf

    Ein vollständiger Schutz vor Cross-Site-Scripting ist kaum möglich. Unternehmen können das Risiko jedoch deutlich reduzieren, wenn sie ihre Webanwendungen und Server konsequent absichern.
    Systeme regelmäßig aktualisieren
    Sicherheitslücken in Server-Software und Anwendungen werden seltener zum Problem.
    Automatische Updates aktivieren
    Die Systeme installieren neue Sicherheits-Updates ohne (unnötige) Verzögerung.
    Cloud- oder Managed-Infrastrukturen nutzen
    Professionell betriebene Plattformen bieten oft zusätzliche Sicherheitsmechanismen.
    Eingaben konsequent prüfen
    Sonderzeichen und Skriptcode in Formularen oder URLs können gefiltert oder blockiert werden.
    Inhalte von Drittanbietern kontrollieren
    Sicherheitslücken in externen Skripten oder Plug-ins fallen rechtzeitig auf.
    Logdateien regelmäßig analysieren
    Auffällige Zugriffe oder ungewöhnliche Aktivitäten lassen sich frühzeitig erkennen.
    durchführen
    Sicherheitslücken werden gezielt identifiziert, bevor Angreifende sie ausnutzen können.
    Maßnahme
    Nutzen
    Neben der Absicherung der Webserver spielt auch der Schutz der Endgeräte eine wichtige Rolle.
    Jetzt Ihre Geräte schützen

    So verhindern Sie clientseitig XSS-Angriffe

    Viele XSS-Angriffe entfalten ihre Wirkung erst im Browser der Nutzer:innen. Unternehmen sollten daher insbesondere folgende Maßnahmen beachten:
    Betriebssysteme und Browser aktuell halten: Sicherheits-Updates schließen bekannte Schwachstellen.
    Administratorrechte einschränken: Mitarbeitende sollten sich möglichst nicht mit lokalen Adminrechten anmelden.
    Endgeräte zusätzlich absichern: Ergänzende Sicherheitslösungen können schädliche Webseiten oder Malware frühzeitig erkennen.
    Netzwerke schützen: Interne Systeme sollten nur über sichere Verbindungen wie VPN erreichbar sein.
    BYOD-Regeln definieren: Private Geräte sollten nur zugelassen werden, wenn sie den Sicherheitsrichtlinien des Unternehmens entsprechen.
    Sicherheitsbewusstsein fördern: Mitarbeitende sollten verdächtige Links oder Vorfälle sofort melden können.
    Kommt es dennoch zu einem Sicherheitsvorfall, sollten Sie betroffene Geräte sofort vom Netzwerk trennen und anschließend von IT-Sicherheitsexpert:innen untersuchen lassen.
    Entscheidend ist dabei eine ganzheitliche Sicherheitsstrategie – von sicheren Webanwendungen bis zum Schutz der Endgeräte.
    Stadtansicht mit Symbolen für Verkehrsmittel

    Cyber Security für Ihr Business

    Mit unseren Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

    • Sichere Kommunikation
    • Für Homeoffice und Büro
    • Globales, sicheres Log-in-Verfahren
    Jetzt informieren

    Unser Fazit: Sicherheit beginnt bei Webanwendungen und Endgeräten

    Cross-Site-Scripting gehört seit Jahren zu den häufigsten Cyberangriffen. Schon kleine Schwachstellen in Webanwendungen können ausreichen, damit Angreifende Schadcode einschleusen und ihn über eigentlich vertrauenswürdige Webseiten ausführen lassen können. Die Folgen reichen von gestohlenen Zugangsdaten bis hin zu kompromittierten Unternehmenssystemen.
    Unternehmen sollten ihre Webanwendungen daher regelmäßig prüfen, Sicherheits-Updates konsequent einspielen und sowohl Server als auch Endgeräte wirksam absichern. Entscheidend ist dabei eine ganzheitliche Cyber-Security-Strategie, die technische Schutzmaßnahmen mit klaren Sicherheitsrichtlinien und der Schulung von Mitarbeitenden kombiniert.
    Wie Unternehmen ihre IT-Sicherheit systematisch aufbauen und typische Angriffsmethoden erkennen können, zeigt unser Whitepaper zu Cyber Security.
    Jetzt Whitepaper zu Cyber Security herunterladen

    Cross-Site-Scripting (XSS): Häufig gestellte Fragen (FAQ)

    Marcus Ladwig im PortraitMarcus Ladwig
    Portrait von Dr. Lorenz SteinkeLorenz Steinke
    23.03.2026
      # Tags:SicherheitDigitalTipps
      Das könnte Sie auch interessieren:
      Security

      Microsoft Entra ID

      Microsoft Entra ID steuert, wer in Ihrem Unternehmen auf welche Anwendungen und Daten zugreift – sicher, zentral und skalierbar. Das Tool ist damit Grundlage für moderne Zero-Trust-Sicherheit. Was es kann, welche Lizenz passt und wie Sie starten: Unser Überblick liefert die Antworten.

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren