Angriff auf Ihren IONOS Vertrag: Was die E-Mail bedeutet und was jetzt zu tun ist
Gerade eine E-Mail mit dem Betreff "Angriff auf Ihren IONOS Vertrag" bekommen? Erst die Entwarnung: Diese Mail ist in aller Regel echt und kommt tatsächlich von IONOS. Der IONOS Virenscanner hat eine schädliche Datei auf deinem Webspace gefunden und die Ausführung gesperrt. Schlechte Nachricht: Wenn der Scanner anschlägt, ist deine Seite mit hoher Wahrscheinlichkeit bereits gehackt - und die eine gesperrte Datei ist meist nur die Spitze. Hier liest du, was die E-Mail wirklich bedeutet, was IONOS macht (und was nicht) und welche Schritte deinen Webspace tatsächlich wieder sauber bekommen.
Inhalt
Ist die E-Mail "Angriff auf Ihren IONOS Vertrag" echt oder Phishing?
Das ist die erste Frage, die fast alle stellen - und sie ist berechtigt. Eine Mail mit "Angriff", deiner Kundennummer und einem dramatischen Betreff schreit erst mal nach Betrug. In diesem Fall ist die Nachricht aber fast immer echt: Es ist die automatische Sicherheitsbenachrichtigung des IONOS Anti-Viren-Scanners, die verschickt wird, sobald auf deinem Webspace eine veränderte oder neu abgelegte Datei als schädlich eingestuft wird.
Trotzdem solltest du nie blind auf einen Link in so einer Mail klicken. Phishing-Mails, die genau dieses IONOS-Layout imitieren, gibt es ebenfalls. So unterscheidest du in 30 Sekunden:
So erkennst du die echte IONOS-Mail:
- Absender ist
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!, und im Mail-Header stehen bei SPF, DKIM und DMARC jeweils "pass". - Die Mail nennt deine korrekte Kundennummer und Vertragsnummer sowie einen konkreten Dateipfad auf deinem Webspace (z. B.
/homepages/34/d6xxxxxxxx/htdocs/...). - Sie fordert kein Passwort und keine Zahlungsdaten an und drängt dich nicht über einen Button zum sofortigen "Login".
Warnsignale für Phishing: fremde Absenderdomain, ein Link, der nicht auf ionos.de zeigt, Aufforderung zur Eingabe von Zugangsdaten, Rechtschreibfehler, fehlender konkreter Dateipfad. Im Zweifel die Mail ignorieren und dich direkt über ionos.de manuell einloggen - nicht über den Link in der Mail.
Welche IONOS-Mail hast du bekommen? Die drei Typen im Überblick
Unter ähnlich klingenden Betreffzeilen verschicken IONOS und Betrüger ganz Unterschiedliches. So ordnest du deine Mail ein:
- "Angriff auf Ihren IONOS Vertrag" / "schädliche Datei erkannt": echt. Die automatische Meldung des Virenscanners mit konkretem Dateipfad - darum geht es in diesem Artikel.
- "Ungewöhnliches Versandverhalten" / "E-Mail-Versand gesperrt": ebenfalls echt. IONOS hat Spam-Versand über deinen Webspace bemerkt und den Mailversand gesperrt - meist Folge desselben Hacks durch ein eingeschleustes Mailer-Skript. Auch hier reicht das bloße Entsperren nicht, die Ursache muss raus.
- "Offene Rechnung" / "Zahlung fehlgeschlagen" / "Konto bestätigen" mit Login-Button oder Anhang: Phishing. IONOS fordert dich nie per Button oder HTML-Anhang zur Eingabe von Zugangsdaten auf. Nicht klicken, Mail löschen.
Heißt unterm Strich: Die Mail selbst ist meist harmlos und korrekt. Das eigentliche Problem steckt nicht in der E-Mail, sondern auf deinem Webspace.
Was die E-Mail im Klartext sagt
Hinter dem dramatischen Betreff steckt eine sachliche Meldung. Sinngemäß steht da:
Vor wenigen Minuten hat unser Anti-Viren-Scanner eine schädliche Datei auf Ihrem IONOS Webspace erkannt.
oder in einer anderen verbreiteten Variante: Vor wenigen Minuten hat unser Anti-Viren-Scanner erkannt, dass eine schädliche Datei auf Ihren Webspace geladen wurde.
Die Datei finden Sie auf Ihrem Webspace unter folgendem Pfad: ... gefolgt vom konkreten Pfad, Ihrer Kundennummer und Ihrer Vertragsnummer.
Anschließend nennt IONOS den genauen Pfad der Datei (häufig eine kryptisch benannte index.php oder ein zufälliger Dateiname tief im Webroot), deine Kundennummer und deine Vertragsnummer. Dazu die Erklärung, dass der Scanner jede veränderte oder neu hochgeladene Datei prüft und bei Anzeichen eines Angriffs die Ausführung unterbindet sowie die Dateirechte ändert, damit die Datei nicht mehr aufgerufen werden kann.
IONOS weist außerdem darauf hin, dass die Erkennung weiterläuft und du weitere Mails bekommst, falls noch mehr schädliche Dateien gefunden und gesperrt werden. Genau dieser Satz ist der wichtigste in der ganzen Mail - dazu gleich mehr.
Was IONOS macht - und was IONOS nicht macht
IONOS gehört zu den Hostern mit einem vorbildlich umsichtigen Umgang mit solchen Funden. Statt den kompletten Webspace zu sperren (was andere Hoster tun), wird gezielt die betroffene Datei neutralisiert. Das ist kundenfreundlich - darf dich aber nicht in Sicherheit wiegen. Wichtig ist die Unterscheidung:
Das macht IONOS:
- die erkannte Datei wird gesperrt (Ausführung unterbunden, Dateirechte geändert)
- der Scan läuft weiter und meldet weitere Funde per E-Mail
- du erhältst konkrete Hinweise, was zu tun ist
Das macht IONOS ausdrücklich nicht:
- IONOS entfernt die Schadsoftware nicht - die Datei wird nur unschädlich gemacht, nicht gelöscht
- IONOS findet nicht die Ursache, also die Lücke, durch die der Angreifer reingekommen ist
- IONOS säubert nicht die übrigen Verstecke - Backdoors, manipulierte Datenbank, untergeschobene Admin-Benutzer bleiben unangetastet
Anders gesagt: IONOS schließt eine einzelne offene Tür, nimmt dir aber nicht das Aufräumen ab. Das bleibt deine Aufgabe - und da fängt die eigentliche Arbeit erst an.
Die gesperrte Datei ist nur die Spitze: Warum dein Webspace trotzdem gehackt ist
Der häufigste und teuerste Irrtum ist, die in der Mail genannte Datei zu löschen und das Thema für erledigt zu halten. Aus der Praxis: Wenn der Scanner eine schädliche Datei findet, ist sie so gut wie nie die einzige. Ein erfolgreicher Angriff hinterlässt typischerweise ein ganzes Geflecht:
- Webshells und Backdoors an mehreren Stellen, oft als harmlose Bild- oder Cache-Datei getarnt, damit nach dem Löschen einer Datei der Zugang erhalten bleibt
- manipulierte Kerndateien von WordPress oder Joomla, in die Schadcode eingeschleust wurde
- versteckte Admin-Benutzer in der Datenbank, die sich selbst gegen das Löschen schützen
- SEO-Spam (etwa der bekannte japanische Keyword-Hack) oder Weiterleitungen auf dubiose Seiten, die nur Suchmaschinen und fremden Besuchern ausgespielt werden
- Mailer-Skripte, die deinen Webspace für Spam-Versand missbrauchen - mit dem Risiko, dass deine Domain auf Blacklists landet
Deshalb der Hinweis von IONOS auf "weitere Mails": Der Scanner findet nach und nach weitere Bruchstücke. Du kannst diesem Tropf nicht hinterherlöschen. Solange die Ursache offen ist und auch nur eine Backdoor übrig bleibt, baut der Angreifer alles wieder auf. Eine gehackte Seite wird nicht datei-für-datei repariert, sondern vollständig bereinigt und anschließend abgesichert.
Die drei IONOS-Empfehlungen - richtig, aber allein nicht genug
IONOS empfiehlt in der Mail drei Schritte. Die sind alle korrekt und sinnvoll - sie reichen nur nicht, um eine bereits gehackte Seite sauber zu bekommen. Hier die Einordnung:
1. CMS aktualisieren (WordPress oder Joomla inkl. Plugins und Themes)
Absolut richtig, denn eine veraltete Erweiterung ist die mit Abstand häufigste Eintrittstür. Aber: Ein Update schließt die Lücke für die Zukunft, es entfernt keinen bereits vorhandenen Schadcode. Wer nur updatet, hat danach eine aktuelle - und weiterhin gehackte - Seite.
2. Eigenen Rechner mit einem Virenscanner prüfen
Sinnvoll, weil Zugangsdaten auch über einen infizierten PC oder einen FTP-Client abgegriffen werden können. Erledige das, aber erwarte nicht, dass es das Problem auf dem Server löst.
3. Passwörter ändern
Wichtig - und zwar gründlicher, als die meisten denken. Nicht nur das IONOS-Login, sondern alle Geheimnisse, die der Angreifer gesehen haben könnte: FTP- und SSH-Zugänge, das Datenbank-Passwort (in der wp-config.php bzw. configuration.php), die CMS-Administratoren und API-Schlüssel. Bei WordPress gehören außerdem die Security-Keys (Salts) erneuert, damit alle bestehenden Sitzungen ungültig werden.
Die Reihenfolge, die wirklich aufräumt
- Sichern, nicht löschen. Vorhandene Funde und Logs sind Beweismittel. Erst sichern, dann handeln.
- Eintrittspunkt finden. Über die Access-Logs nachvollziehen, wann und worüber der Angreifer reinkam - sonst patchst du blind.
- Vollständig bereinigen. Sämtlichen Schadcode entfernen, nicht nur die gemeldete Datei: Dateisystem, Kerndateien, Datenbank, versteckte Benutzer.
- Alle Geheimnisse zurücksetzen. FTP, SSH, Datenbank, CMS-Admins, Salts. Erst nach der Bereinigung, sonst greift der Angreifer die neuen gleich wieder ab.
- Aktualisieren und härten. CMS, Plugins und Themes updaten, dann absichern (PHP-Ausführung in Upload-Verzeichnissen per .htaccess sperren, externen Datenbankzugriff verbieten, Backend schützen).
- Nachkontrolle. Erneut scannen, Google Search Console auf Spam-Reste prüfen, ein paar Tage beobachten.
Dateirechte 604 und 705: Was IONOS an der Datei verändert hat
Um die gemeldete Datei unschädlich zu machen, ändert IONOS deren Dateirechte, sodass sie nicht mehr ausgeführt oder aufgerufen werden kann. Das erklärt, warum nach so einer Mail oft Teile der Seite nicht mehr richtig funktionieren oder Fehler anzeigen. In den IONOS-Hinweisen steht dazu, die Rechte nach der Bereinigung wieder auf die üblichen Werte zu setzen: 604 für Dateien, 705 für Verzeichnisse.
Entscheidend ist die Reihenfolge: Setze die Rechte erst zurück, wenn die Datei wirklich sauber ist. Eine als schädlich erkannte Datei einfach wieder ausführbar zu machen, holt nur den Angreifer-Code zurück. Im Zweifel wird eine solche Datei nicht reaktiviert, sondern nach der Prüfung entfernt oder durch das saubere Original ersetzt - und erst die legitimen Dateien bekommen dann wieder ihre normalen Rechte (604 für Dateien, 705 für Ordner).
IONOS und WordPress gehackt
Läuft auf deinem IONOS-Webspace WordPress, sind die Klassiker hinter so einem Scanner-Fund: eine veraltete Plugin-Lücke, ein eingeschleuster versteckter Admin-Benutzer, der japanische SEO-Spam-Hack oder eine Weiterleitungs-Malware, die deine Besucher auf fremde Seiten schickt. Wie du eine gehackte WordPress-Seite Schritt für Schritt erkennst, bereinigst und absicherst, steht hier ausführlich: WordPress gehackt - Soforthilfe und Bereinigung.
IONOS und Joomla gehackt
Bei Joomla auf IONOS sind veraltete Erweiterungen die typische Ursache - etwa eine alte Editor- oder Framework-Komponente mit Upload-Lücke, über die eine Webshell hochgeladen wird. Auch hier gilt: Updaten allein reicht nach einem Fund nicht. Die komplette Anleitung für eine gehackte Joomla-Installation findest du hier: Joomla gehackt - Soforthilfe bei Malware, Spam und Weiterleitungen.
Lieber direkt von jemandem aufräumen lassen, der das täglich macht?
Ein Scanner-Fund bei IONOS bedeutet realen Handlungsbedarf - aber kein Drama, wenn man weiß, was zu tun ist. Zwei Wege: einmalig komplett bereinigen lassen oder gleich dauerhaft auf der sicheren Seite sein.
Malware-Bereinigung
Ich räume deinen IONOS-Webspace vollständig auf: Schadcode raus, Ursache geschlossen, Zugänge zurückgesetzt, Seite gehärtet. Mit 6 Monaten Garantie.
- ✓Komplette Entfernung von Malware & Backdoors
- ✓Eintrittspunkt finden & schließen
- ✓Absicherung inklusive, 6 Monate Garantie
Security Flatrate
Bereinigung plus laufende Updates, Überwachung und bevorzugte Soforthilfe - damit der nächste Scanner-Fund gar nicht erst passiert.
- ✓Laufende Updates & Monitoring
- ✓Bevorzugte Soforthilfe im Ernstfall
- ✓Jederzeit kündbar, kein Risiko
Nicht sicher, ob wirklich was passiert ist? Schreib mir kurz mit deiner Domain - ich schaue mir den Fund an und sage dir ehrlich, ob ein einzelnes Update reicht oder eine Bereinigung nötig ist.
Übrigens: Bekommst du so eine Mail nicht von IONOS, sondern von einem anderen Hoster, hilft dir der Schwesterartikel weiter: Webspace bei ALL-INKL gehackt - Virenfund im Account. Und wenn du selbst gegenchecken willst, ob etwas faul ist: WordPress Malware Scanner - Online Virus Scan Tools.
FAQ: Angriff auf Ihren IONOS Vertrag
Ist die E-Mail "Angriff auf Ihren IONOS Vertrag" echt oder Phishing?
In aller Regel echt. Es ist die automatische Sicherheitsmeldung des IONOS Virenscanners. Erkennbar an Absender Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!, bestandenem SPF/DKIM/DMARC im Header, deiner korrekten Kunden- und Vertragsnummer und einem konkreten Dateipfad. Logge dich zur Kontrolle trotzdem direkt über ionos.de ein, nie über einen Link in der Mail.
Was bedeutet "schädliche Datei auf Ihrem IONOS Webspace erkannt"?
Der IONOS Anti-Viren-Scanner hat auf deinem Webspace eine Datei gefunden, die er als Schadcode einstuft - meist eine Webshell oder ein Backdoor-Skript. Er hat die Ausführung gesperrt und die Dateirechte geändert. Die Datei ist damit vorerst unschädlich, aber nicht entfernt, und die Ursache ist nicht behoben.
Reicht es, die von IONOS gesperrte Datei zu löschen?
Nein. Die gemeldete Datei ist fast nie die einzige. Ein Angreifer legt typischerweise mehrere Backdoors an und manipuliert Datenbank und Kerndateien. Wird nur die eine Datei gelöscht, kommt der Schadcode über die übrigen Verstecke zurück. Nötig ist eine vollständige Bereinigung samt Schließen der Eintrittslücke.
Muss ich nach der IONOS-Mail meine Passwörter ändern?
Ja. Ändere nicht nur dein IONOS-Login, sondern alle Zugänge, die kompromittiert sein könnten: FTP, SSH, das Datenbank-Passwort, die CMS-Administratoren und API-Schlüssel. Bei WordPress zusätzlich die Security-Keys (Salts) erneuern. Wichtig: erst nach der Bereinigung zurücksetzen, sonst greift der Angreifer die neuen Daten sofort wieder ab.
Mein IONOS-Webspace ist gehackt - was kostet die Bereinigung?
Eine einmalige Malware-Bereinigung mit Absicherung und 6 Monaten Garantie gibt es zum Festpreis; wer dauerhaft abgesichert sein will, nimmt die Security Flatrate mit laufenden Updates und Überwachung. Schreib mir mit deiner Domain, dann nenne ich dir nach kurzem Blick auf den Fund den passenden Weg.
Was bedeuten die Dateirechte 604 und 705 bei IONOS?
IONOS ändert die Rechte der erkannten Datei, damit sie nicht mehr ausführbar ist. Als normale Werte nach der Bereinigung nennt IONOS 604 für Dateien und 705 für Verzeichnisse. Wichtig: Rechte erst zurücksetzen, wenn die Datei sauber ist, sonst wird der Schadcode wieder aktiv.
Warum bekomme ich mehrere solcher IONOS-Mails hintereinander?
Weil der Scanner weiterläuft und nach und nach weitere schädliche Dateien findet und sperrt. Das ist genau das Signal, dass es eben nicht bei einer Datei bleibt und die Seite umfassend befallen ist. Jede neue Mail bestätigt: Hier muss komplett aufgeräumt werden, nicht nur einzeln gelöscht.
Kurz zusammengefasst
Die Mail "Angriff auf Ihren IONOS Vertrag" ist echt, kein Phishing - aber sie ist auch keine reine Formsache. Der IONOS Virenscanner hat eine schädliche Datei gesperrt; deine Seite ist damit höchstwahrscheinlich gehackt und die gesperrte Datei nur ein Symptom. IONOS neutralisiert, aber bereinigt nicht. Die drei empfohlenen Schritte (CMS updaten, Rechner prüfen, Passwörter ändern) sind richtig, schließen aber nur die Tür und entfernen den vorhandenen Schadcode nicht. Was wirklich hilft: Ursache finden, vollständig bereinigen, alle Zugänge zurücksetzen und die Seite härten. Wenn du das nicht selbst machen willst, übernehme ich das.
Hat dir der Beitrag geholfen? Wenn du Fragen hast, etwas ergänzen möchtest oder unsicher bist, ob deine Seite betroffen ist - schreib es gern in die Kommentare oder melde dich direkt.
- Details
- Zuletzt aktualisiert: 09. Juni 2026
