Die häufigsten SEO-Fehler auf Mittelstands-Websites – und warum sie meistens unbemerkt bleiben

Die meisten SEO-Probleme sind unsichtbar

Wenn wir bei Pixzl ein neues Kundenprojekt übernehmen, ist der erste Schritt fast immer derselbe: ein Audit. Wir lassen die bestehende Website durch unsere üblichen Werkzeuge laufen – Performance, technisches SEO, Sicherheits-Header, strukturierte Daten – und reden danach über die Ergebnisse. Was uns immer wieder auffällt: Die meisten Probleme, die wir finden, sind den Betreibern völlig neu. Nicht weil sie ihre Hausaufgaben nicht gemacht hätten, sondern weil diese Dinge in keinem WordPress-Backend, in keiner Google-Search-Console-Übersicht und in keinem typischen SEO-Tool prominent auftauchen.

Es sind die Probleme zwischen den Stühlen. Zu technisch, um in einem Marketing-Dashboard sichtbar zu sein. Zu unscheinbar, um beim Hosting-Anbieter im Default-Setup berücksichtigt zu werden. Und genau deshalb halten sie sich jahrelang auf Seiten, die ansonsten gepflegt aussehen.

In diesem Artikel haben wir die fünf Probleme zusammengetragen, die wir am häufigsten finden – und die uns regelmäßig zu der Frage bringen: Wie konnte das so lange unentdeckt bleiben?

1. TTFB jenseits von 600 Millisekunden

Time to First Byte – die Zeit, die der Server braucht, um auf eine Anfrage überhaupt zu antworten – sollte unter 200 Millisekunden liegen. Bei einer modernen, gut gehosteten Seite ist das problemlos machbar. Was wir in der Realität sehen, sieht oft anders aus: 800 ms, 1.200 ms, manchmal über zwei Sekunden. Und das, bevor auch nur ein Byte HTML beim Browser angekommen ist.

Die Ursachen sind fast immer dieselben: WordPress-Installationen mit zwei Dutzend aktiven Plugins, ein Shared-Hosting-Tarif, der vor sechs Jahren günstig war und seitdem nie überprüft wurde, ein Caching-System das aus historischen Gründen abgeschaltet ist. Jedes einzelne dieser Themen ist lösbar – aber sie werden selten angefasst, weil die Seite ja „läuft".

Was es kostet: TTFB ist Teil der Core Web Vitals, und Google bewertet Seiten mit schlechten CWV in den Rankings runter. Gleichzeitig brechen Besucher Ladevorgänge ab, lange bevor sie irgendetwas gesehen haben. Bei einer Seite, die im Mobilfunk getestet wird – also dem Realfall – multiplizieren sich beide Effekte.

2. Fehlende Komprimierung

Es klingt 2026 absurd, aber wir finden regelmäßig Websites, die HTML, CSS und JavaScript unkomprimiert ausliefern. Keine Gzip, keine Brotli, einfach roh. Eine Seite, die mit Komprimierung 80 KB groß wäre, kommt dann mit 350 KB beim Browser an. Über eine Mobilverbindung sind das mehrere hundert Millisekunden zusätzliche Übertragungszeit – und genau das ist die Zeit, die zwischen einem schnellen und einem trägen Eindruck entscheidet.

Der Fix ist trivial: eine einzige Zeile in der Server-Konfiguration, oder ein Häkchen im Hosting-Backend. Trotzdem fehlt es. Meistens nicht aus Faulheit, sondern weil niemand jemals einen Grund hatte hinzuschauen.

3. Keine Security-Header

Hier wird es interessant. Security-Header wie Strict-Transport-Security, Content-Security-Policy, X-Frame-Options oder X-Content-Type-Options haben mit klassischem SEO erstmal nichts zu tun. Aber sie sind ein massives Vertrauenssignal – sowohl für Browser als auch für Sicherheits-Scanner, die viele B2B-Kunden inzwischen routinemäßig auf potenzielle Lieferanten anwenden.

Was wir finden: Die übergroße Mehrheit deutscher Mittelstandsseiten hat keinen einzigen dieser Header gesetzt. Die Seite ist über HTTPS erreichbar, aber HSTS fehlt – ein aktiver Angreifer könnte den Browser auf eine HTTP-Version umleiten, und niemand würde es merken. Es gibt keine Content-Security-Policy, also kann jedes injizierte Script alles tun. Clickjacking-Schutz fehlt, also kann die Seite in einem fremden iFrame eingebettet und manipuliert werden.

Für eine Seite, die nur ein paar Visitenkarten-Informationen anzeigt, mag das überschaubar sein. Für jeden Shop, jedes Kundenportal, jede Seite mit Kontaktformularen ist es eine Lücke, die es 2026 nicht mehr geben dürfte.

4. Schema-Markup, das nicht existiert (oder nur halb)

Strukturierte Daten in Form von JSON-LD sagen Google explizit, was für ein Inhalt eine Seite ist: ein Artikel, ein Produkt, eine Veranstaltung, eine lokale Filiale. Sie sind die Grundlage für Rich Snippets, für Knowledge-Panel-Einträge, für die Sichtbarkeit in Google Discover und – zunehmend wichtig – für das Verständnis von KI-Suchmaschinen wie ChatGPT, Perplexity oder Google AI Overviews.

Was wir finden: entweder gar kein Schema-Markup, oder ein halbherzig generiertes. Eine Organization, deren Logo-URL ins Leere zeigt. Ein Article, dem das Pflichtfeld author fehlt. Eine LocalBusiness ohne address. Bei jedem dieser Fälle ignoriert Google das Markup ganz oder teilweise – und damit auch jede Hoffnung auf Rich Snippets.

Das Frustrierende: Schema-Markup ist in den meisten CMS-Setups in einer halben Stunde nachgerüstet. Es passiert nur nicht, weil niemand die Verantwortung dafür hat.

5. Meta-Tags aus den 2010er-Jahren

Title-Tags mit 90 Zeichen, weil noch nie jemand die SERP-Vorschau geprüft hat. Meta-Descriptions, die Google selbst aus dem Body-Text zusammenwürfelt, weil der eigene Eintrag fehlt. Ein viewport-Meta, das von einer Boilerplate stammt und den Pinch-Zoom auf Mobilgeräten deaktiviert (was eine harte Accessibility-Verletzung ist). Open-Graph-Tags, deren og:image auf eine längst gelöschte Datei zeigt – mit dem Effekt, dass beim Teilen auf Social Media nur ein leerer Kasten erscheint.

Das sind keine Edge Cases. Das ist die Regel.

Warum bleibt das so lange unbemerkt?

Eine ehrliche Antwort: weil niemand explizit dafür zuständig ist. Der Hosting-Anbieter liefert Server – nicht Best Practices. Das CMS macht die Seite editierbar – nicht performant. Der Marketing-Dienstleister kümmert sich um Kampagnen – nicht um TTFB. Der ursprüngliche Web-Entwickler ist seit Jahren weg, und die Seite läuft seitdem auf Autopilot.

Was fehlt, ist jemand, der einmal im Jahr durch alle Schichten geht und schaut, was sich aufgestaut hat. Das ist nicht teuer, und es ist nicht aufwendig. Es passiert nur nicht.

Was du in den nächsten 60 Sekunden machen kannst

Wenn du wissen willst, wie es bei dir aussieht, ohne dafür einen Termin zu vereinbaren oder ein Tool installieren zu müssen: Wir haben unter pixzl.de/seo-audit einen kostenlosen Audit gebaut. Du gibst deine URL ein, und unser Server prüft alle fünf hier beschriebenen Punkte automatisch – Performance, Komprimierung, Security-Header, strukturierte Daten und die wichtigsten Meta-Tags. Den ausführlichen Report mit allen Befunden bekommst du auf Wunsch direkt per Mail.

Es gibt keinen Login, keine Kreditkarte, keine versteckte Verpflichtung. Wir wollen einfach, dass mehr Mittelstands-Websites in Deutschland ein bisschen besser laufen – und der schnellste Weg dahin ist, dass die Probleme erstmal sichtbar werden. Was du danach damit machst, ist deine Entscheidung.

Wenn du den Audit gemacht hast und dich der Berg an Themen erschlägt, melde dich gerne. Wir arbeiten regelmäßig genau diese Listen ab – manchmal in einem einzelnen Sprint, manchmal über mehrere Monate verteilt. Wichtig ist, dass es überhaupt anfängt.