Cross-Site-Scripting (XSS) ist die häufigste Angriffsmethode auf Websites. Angreifer schleusen Schadcode ein, der Kundendaten abgreift – unsichtbar für Sie und Ihre Besucher.
Content Security Policy: Schutzschild für Ihre Website
81% der deutschen Unternehmen wurden 2024 angegriffen. Die häufigste Methode: eingeschleuster Schadcode über Ihre Website. Content Security Policy blockiert diese Angriffe automatisch – bevor Schaden entsteht. Nur 19% aller Websites haben diesen Schutz. Ihre auch?
Warum Ihre Website ein Ziel ist
Der durchschnittliche Schaden eines Datenlecks beträgt in Deutschland 5,31 Millionen Euro. 60% der kleinen und mittleren Unternehmen schließen innerhalb von sechs Monaten nach einem schweren Angriff.
DSGVO Art. 32 verlangt "technische Schutzmaßnahmen". Ohne CSP fehlt ein wichtiger Baustein – mit möglichen Bußgeldern bis 20 Millionen Euro und persönlicher Geschäftsführerhaftung.
Wie Content Security Policy funktioniert
Content Security Policy funktioniert wie eine Gästeliste für Ihre Website. Der Browser weiß genau, welche Skripte, Bilder und Verbindungen erlaubt sind – alles andere wird blockiert. Versucht ein Angreifer, Schadcode einzuschleusen, hat dieser keine Berechtigung und wird nicht ausgeführt.
Wir implementieren CSP als HTTP-Header mit strikten Regeln: Nur vertrauenswürdige Quellen werden zugelassen. Eingeschleuster Code kann keine Daten an fremde Server senden, keine Session-Cookies stehlen, keine Formulare umleiten. Der Angriff läuft ins Leere.
Die Einrichtung erfolgt ohne Ausfallzeit. Zuerst analysieren wir Ihre Website, dann testen wir die Policy im Report-Only-Modus. Erst wenn alles funktioniert, wird der Schutz scharf geschaltet. Das Ergebnis ist messbar: Ihr Security-Score steigt von D oder F auf A+.
Was Sie konkret davon haben
So setzen wir CSP für Sie um
01
Analyse
Wir scannen Ihre Website und identifizieren alle externen Ressourcen: Skripte, Fonts, Analytics, eingebettete Inhalte. Das ist die Grundlage für Ihre individuelle Policy.
02
Policy erstellen
Basierend auf der Analyse erstellen wir eine strikte CSP-Policy. Nur notwendige Quellen werden zugelassen – nach dem Whitelist-Prinzip.
03
Test-Phase
Die Policy läuft 2-4 Wochen im Report-Only-Modus. Wir sehen, was blockiert würde, ohne dass etwas kaputt geht. Feinjustierung bei Bedarf.
04
Aktivierung
Nach erfolgreicher Test-Phase wird der Schutz scharf geschaltet. Sie erhalten Dokumentation, Security-Score-Nachweis und Empfehlungen für die Wartung.
Der Unterschied
Was unterscheidet eine durch CSP geschützte Website von einer ungeschützten? Hier die wichtigsten Punkte – und was sie für Ihr Unternehmen bedeuten.
Ohne CSP
Ungeschützte Website
- XSS-Schutz: Schadcode kann eingeschleust werden
- Datenabfluss: Skripte können Daten an beliebige Server senden
- Clickjacking: Seite kann in fremde Frames eingebettet werden
- Security-Score: D bis F (kritisch)
- DSGVO Art. 32: Schutzmaßnahme fehlt
- Bei Sicherheitsvorfall: Haftungsrisiko hoch
Mit CSP
Geschützte Website
- XSS-Schutz: Nicht autorisierter Code wird blockiert
- Datenabfluss: Nur freigegebene Verbindungen möglich
- Clickjacking: Einbettung nur von erlaubten Domains
- Security-Score: A+ (optimal)
- DSGVO Art. 32: Dokumentierter Nachweis
- Bei Sicherheitsvorfall: Sorgfaltspflicht nachweisbar erfüllt
Häufige Fragen
CSP ist ein Sicherheitsmechanismus, der dem Browser mitteilt, welche Inhalte auf Ihrer Website erlaubt sind. Nicht autorisierte Skripte werden automatisch blockiert – bevor sie Schaden anrichten können.
Ja. CSP funktioniert unabhängig vom CMS. Bei WordPress-Seiten mit vielen Plugins ist die Konfiguration aufwendiger, aber der Schutz funktioniert genauso zuverlässig.
Nicht wenn es richtig gemacht wird. Wir testen jede Policy 2-4 Wochen im Report-Only-Modus. Erst wenn alles funktioniert, wird der Schutz aktiviert.
Für einfache Websites wenige Stunden. Bei komplexen Seiten mit vielen externen Diensten rechnen Sie mit 1-2 Tagen plus 2-4 Wochen Test-Phase.
Bei statischen Websites minimal. Bei CMS-Seiten mit neuen Plugins oder Diensten muss die Policy angepasst werden. Wir bieten Wartungsverträge für laufende Betreuung.
CSP ist ein wichtiger Baustein der technischen Schutzmaßnahmen nach Art. 32, aber nicht der einzige. Es zeigt jedoch dokumentierbar, dass Sie aktiv Maßnahmen ergreifen.
Zahlen, die überzeugen
81% der deutschen Unternehmen wurden 2024 Opfer von Cyberangriffen. Die Frage ist nicht ob, sondern wann.
Nur 19% aller Websites haben CSP implementiert. Die Mehrheit ist ungeschützt – obwohl die Lösung existiert.
60% der kleinen und mittleren Unternehmen schließen innerhalb von 6 Monaten nach einem schweren Cyberangriff.