← Zurück zum Blog Sicherheit

HTTP-Security-Header, die Ihrer Website Fehlen

Envestis Team 17 Min. Lesezeit

Es gibt einen kostenlosen Test, den Sie jetzt sofort auf Ihrer Unternehmenswebsite durchfuhren konnen. Gehen Sie zu securityheaders.com, geben Sie Ihre Domain ein und klicken Sie auf Scan. Sie erhalten eine Note von A+ bis F. Wenn Ihre Website von einer typischen Web-Agentur im Tessin erstellt wurde, werden Sie ein F sehen. Vielleicht ein D, wenn Sie Gluck haben.

Dieses F bedeutet, dass Ihrer Website HTTP-Security-Header fehlen, die jede Website haben sollte. Diese Header sind Anweisungen von Ihrem Webserver an den Browser des Besuchers. Ohne sie arbeitet der Browser mit Standardeinstellungen, die Ihre Website und Ihre Besucher angreifbar machen.

Content-Security-Policy (CSP)

CSP ist der machtigste Security Header. Er teilt dem Browser genau mit, welche Inhaltsquellen auf Ihrer Seite erlaubt sind. Er verhindert Cross-Site Scripting (XSS), indem nicht autorisierte Scripts nicht ausgefuhrt werden.

Warum Agenturen es nicht Implementieren

CSP erfordert genaues Wissen daruber, was Ihre Website woher ladt. Jeder Drittanbieter-Dienst muss explizit freigegeben werden. Bei falscher Policy gehen Dinge kaputt. Agenturen uberspringen es lieber.

Startpunkt: Report-Only-Modus

Beginnen Sie mit Content-Security-Policy-Report-Only, der nichts blockiert, sondern Verstoeße protokolliert.

Strict-Transport-Security (HSTS)

HSTS sagt dem Browser: "Verwende immer HTTPS." Verhindert SSL-Stripping-Angriffe in offentlichen WLANs.

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Mehr zur SSL/TLS-Konfiguration in unserem Artikel uber SSL-Zertifikate und was sie wirklich schutzen.

X-Frame-Options

Verhindert Clickjacking, indem Ihre Website nicht in einen iframe auf einer anderen Website eingebettet werden kann.

X-Frame-Options: DENY

X-Content-Type-Options

X-Content-Type-Options: nosniff

Verhindert MIME-Type-Sniffing durch den Browser, was zur Code-Ausfuhrung missbraucht werden kann.

Referrer-Policy

Referrer-Policy: strict-origin-when-cross-origin

Kontrolliert, welche Referrer-Informationen bei der Navigation zu anderen Websites gesendet werden.

Permissions-Policy

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Deaktiviert Browser-Funktionen, die Ihre Website nicht benotigt.

Was Ihre Note Bedeutet

NoteBedeutung
A+Alle empfohlenen Header vorhanden und korrekt konfiguriert.
ADie meisten Header vorhanden.
B-CEinige Header vorhanden, aber wichtige fehlen.
DNur Basis-Header vorhanden.
FKeine oder fast keine Security Headers.

Warum Web-Agenturen im Tessin sie nicht Konfigurieren

  • Nicht Teil der Standard-Entwicklungs-Checkliste
  • CSP ist zeitaufwandig korrekt zu konfigurieren
  • Angst, Funktionalitat zu beschadigen
  • Mangel an Sicherheitswissen
  • "Der Kunde hat es nicht verlangt"

Implementierungsleitfaden

Apache (.htaccess)

Header always set Content-Security-Policy "default-src 'self'; script-src 'self' https://www.googletagmanager.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; frame-ancestors 'none'"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set X-Frame-Options "DENY"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"

Nginx

add_header Content-Security-Policy "..." always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options "DENY" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
server_tokens off;

Cloudflare

Konfigurieren Sie uber Transform Rules im Cloudflare-Dashboard. HSTS verfugbar per Ein-Klick unter SSL/TLS > Edge Certificates.

Testen nach Implementierung

  1. Erneut auf securityheaders.com scannen
  2. Jede Seite testen, besonders Formulare und Drittanbieter-Widgets
  3. Browser-Konsole (F12) auf CSP-Verstoeße prufen
  4. Auf mehreren Browsern testen
  5. Google Analytics verifizieren

Haufige Fallstricke

  • CSP zu restriktiv: 'unsafe-inline' fur Scripts zu blockieren macht die meisten WordPress-Sites kaputt.
  • HSTS bei Mixed Content: Erst Mixed Content beheben, dann HSTS aktivieren.
  • Subdomains vergessen: Mit includeSubDomains muss jede Subdomain HTTPS unterstutzen.
  • Doppelte Header: Vermeiden Sie, dass Server und Anwendung denselben Header setzen.

Fur unseren detaillierten Leitfaden siehe Security-Header-Implementierung Schritt fur Schritt. Wenn Sie mochten, dass wir die Security Headers fur Ihre Website implementieren, kontaktieren Sie unser Team.

Wollen Sie wissen, ob Ihre Website sicher ist?

Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.

Kostenloses Audit Anfordern

Verwandte Artikel

Sicherheit

WordPress-Schwachstellen 2025: Warum Ihre Website Immer Noch Gefahrdet Ist

WordPress betreibt uber 40% des Webs, aber seine Popularitat macht es zum grossten Ziel fur Angreifer. Wir analysieren die haufigsten Schwachstellenklassen, echte CVEs und konkrete Schritte zur Hartung Ihrer Installation.

· 18 Min. Lesezeit
Sicherheit

SPF, DKIM und DMARC: Schutzen Sie Ihr Unternehmen vor Email-Spoofing

Email-Spoofing kostet Unternehmen jahrlich Milliarden durch BEC-Betrug und Phishing. SPF, DKIM und DMARC sind drei Protokolle, die korrekt konfiguriert das Falschen Ihrer Domain nahezu unmoglich machen.

· 15 Min. Lesezeit
Sicherheit

Exponierte Admin-Seiten: Ein Geschenk fur Hacker

Ihre /wp-admin, /admin oder /login-Seite ist fur das gesamte Internet sichtbar. Bots scannen sie gerade. CAPTCHA allein wird Sie nicht retten. So nutzen Angreifer exponierte Admin-Panels aus und was Sie dagegen tun sollten.

· 13 Min. Lesezeit

Schnellkontakt