Website Security Check – CSP, HSTS & SSL prüfen

Wenn ein Besucher Ihre Website aufruft, sendet Ihr Server nicht nur die sichtbare Seite, sondern auch 'Header' – Metainformationen im Hintergrund. Beispiel: Der Content-Security-Policy-Header sagt dem Browser: 'Führe nur Skripte aus, die ich explizit erlaube.' Selbst wenn ein Angreifer Schadcode in Ihre Seite einschleust, blockiert der Browser dessen Ausführung. Das Brillante: Browser haben diese Schutzfunktionen bereits eingebaut – Sie müssen sie nur aktivieren.

85-89% aller Websites haben keine Content-Security-Policy – trotzdem werden nicht alle gehackt. Aber wenn ein Angreifer eine Schwachstelle findet, fehlt die Sicherheitsbarriere, die den Schaden begrenzen könnte. Es ist wie ein Auto ohne ABS, Airbags und Sicherheitsgurt: Sie können jahrelang unfallfrei fahren, aber im Ernstfall fehlt der Schutz.

Der Aufwand wird oft unterschätzt: Jedes externe Skript (Analytics, Chat-Widgets, Zahlungsanbieter, Fonts, CDNs) muss identifiziert und in der Content-Security-Policy berücksichtigt werden. Dazu kommt Testing in verschiedenen Browsern, Mobilgeräten und Szenarien. Eine saubere Implementierung mit Report-Only-Phase und Monitoring braucht Zeit – Schnellschüsse führen zu blockierten Funktionen oder falscher Sicherheit.

Eine falsch konfigurierte Content-Security-Policy blockiert legitime Funktionen Ihrer Website. Ein zu schwacher HSTS-Header bietet keinen echten Schutz. Plugins und Online-Generatoren liefern oft nur Standardwerte, die nicht zu Ihrer spezifischen Infrastruktur passen. Für nachhaltige Sicherheit braucht es eine individuelle Analyse Ihrer Website, Testing in verschiedenen Szenarien und kontinuierliches Monitoring.

Die Kosten hängen von mehreren Faktoren ab: Website-Komplexität, Anzahl der Drittanbieter-Skripte, gewünschtes Sicherheitsniveau und ob CSP-Monitoring benötigt wird. Zum Vergleich: Ein durchschnittlicher Sicherheitsvorfall kostet KMU zwischen 120.000 und 1.240.000 Euro. Eine professionelle Security-Header-Implementierung ist eine Investition, die sich im Ernstfall tausendfach auszahlt.

Die Content-Security-Policy erfordert Vorsicht: Sie definiert eine Whitelist erlaubter Ressourcen. Vergessen Sie eine legitime Quelle, wird sie blockiert. Best Practice: Starten Sie mit Content-Security-Policy-Report-Only, analysieren Sie die Reports 2-4 Wochen lang, dann erst scharf schalten.

Absolute Pflicht (in dieser Reihenfolge): 1. Strict-Transport-Security (erzwingt HTTPS), 2. X-Content-Type-Options: nosniff (Einzeiler, kein Risiko), 3. X-Frame-Options: DENY (verhindert Clickjacking). Für fortgeschrittene Sicherheit: Cross-Origin-Opener-Policy (COOP), Cross-Origin-Embedder-Policy (COEP).

Option 1 (Plugin): 'HTTP Headers' für detaillierte Kontrolle installieren. Option 2 (.htaccess): Header-Direktiven direkt einfügen. Option 3 (functions.php): Für Entwickler über PHP-Code. Wichtig: CSP bei WordPress mit vielen Plugins ist komplex – starten Sie mit Report-Only und sammeln Sie 2-4 Wochen lang Daten.

Cloudflare ist hervorragend für DDoS-Mitigation, Bot-Abwehr, CDN-Beschleunigung. Security Headers setzt Cloudflare standardmäßig nicht. Konfigurieren Sie diese über Transform Rules → Modify Response Header. Die WAF und CSP sind komplementäre Schutzebenen – nicht entweder/oder.

Note A+ erfordert: HSTS mit Preload (Domain in Browser-Preload-Listen), strenge CSP ohne 'unsafe-inline', alle Optional-Header (COOP, COEP), optimale Cookie-Konfiguration mit __Host-Prefix. Der Sprung von A zu A+ erfordert oft mehr Aufwand – Note A ist bereits exzellent.

Das BSI empfiehlt Security Headers explizit im IT-Grundschutz-Kompendium (Modul APP.3.1). Die Datenschutzkonferenz verweist bei technischen Maßnahmen auf BSI-Standards. Bußgelder wurden verhängt für 'unzureichende TOM' bei XSS-Angriffen – hätte durch Security Headers verhindert werden können.

PCI-DSS 4.0: Fehlende Header = Failed Audit. ISO 27001: Security Headers fallen unter 'A.14 Sichere Entwicklung'. BSI-Grundschutz: SOLLTE-Anforderung in Modul APP.3.1. Vorbereitung: Dokumentieren Sie Ihre Header-Konfiguration und halten Sie Scan-Ergebnisse bereit.

73% der kleinen Unternehmen erlebten letztes Jahr einen Sicherheitsvorfall. Hacker nutzen automatisierte Scanner – Sie werden nicht gezielt angegriffen, sondern gefunden, weil Sie verwundbar sind. Implementation: 0-500 Euro. Durchschnittlicher Schaden: 8.300-25.000 Euro.

Requirement 6.4.3: Alle Skripte auf Zahlungsseiten müssen autorisiert und auf Integrität geprüft werden – erfordert CSP und SRI. Requirement 11.6.1: HTTP-Header müssen auf unautorisierte Änderungen überwacht werden. Bei Nichteinhaltung: Monatliche Strafen bis 100.000 Dollar, Verlust der Kartenakzeptanz.

Schwellenwerte: Mittlere Unternehmen ab 50 Mitarbeitern ODER 10 Mio. Euro Jahresumsatz. Betroffen sind 18 Sektoren: Energie, Verkehr, Banken, Gesundheit, Digitale Infrastruktur, ITK-Dienstleister u.v.m. Auch Zulieferer kritischer Unternehmen fallen indirekt unter die Pflichten.

Zusätzlich gilt §43 GmbHG: Bei leichter Fahrlässigkeit haften Sie für Schäden. Bußgelder: Bis 10 Mio. Euro oder 2% des Jahresumsatzes. Praktische Konsequenz: Dokumentieren Sie Ihre Sicherheitsmaßnahmen und lassen Sie regelmäßige Audits durchführen. Ein nachweisbares Sicherheitskonzept kann die Haftung begrenzen.

Das BSI-Grundschutz-Kompendium (APP.3.1.A21) empfiehlt explizit Security Headers. Das OLG Schleswig-Holstein urteilte 2024: TLS allein reicht nicht. Ein Scan-Ergebnis mit Note A oder besser dokumentiert die Einhaltung des Stands der Technik.

Shared-Responsibility-Modell: Der Hoster sichert Hardware, Netzwerk und Betriebssystem. Sie verantworten: Anwendungskonfiguration, Security Headers, Updates. Typische Hoster-Leistungen: DDoS-Schutz, Firewall, SSL. NICHT enthalten: CSP, HSTS, X-Frame-Options.

Kernvorteile: Sprache (vollständig deutsch), Compliance (DSGVO, BSI, BaFin-Bezüge), Praxis (konkrete Umsetzungsanleitungen), Kontext (DACH-spezifische Empfehlungen). Securityheaders.com zeigt nur 'Header fehlt'. Wir erklären: Was passiert ohne diesen Header? Wie beheben Sie das konkret?