Was sind Security Headers?

Security Headers sind HTTP-Antwortheader, die dem Browser Sicherheitsregeln für eine Website mitteilen.

Welche Security Headers sind besonders wichtig?

Häufig relevant sind HSTS, Content Security Policy, X-Frame-Options oder frame-ancestors, X-Content-Type-Options, Referrer-Policy und Permissions-Policy.

Ist eine Website sicher, wenn alle Security Headers gesetzt sind?

Nein. Security Headers reduzieren bestimmte Risiken, ersetzen aber keine sichere Entwicklung, Updates, Backups, Zugriffskontrollen und Incident-Prozesse.

Kann eine falsche Content Security Policy eine Website beschädigen?

Ja. Eine zu restriktive oder falsch geplante CSP kann Skripte, Bilder, Fonts, Formulare, Payments oder Tracking blockieren.

Muss jede Website HSTS verwenden?

HSTS ist für viele produktive Websites sinnvoll, sollte aber bewusst konfiguriert werden, insbesondere wenn Subdomains oder Preload betroffen sind.

Wie oft sollte man Security Headers prüfen?

Mindestens nach Releases, Hosting-Änderungen, CMS-Updates und neuen Drittanbieter-Skripten. Für wichtige Websites sind wiederkehrende Checks sinnvoll.

Kann ich Security Headers ohne Entwickler prüfen?

Ja, viele Header lassen sich remote prüfen. Für Bewertung und Umsetzung sollte bei komplexeren Themen wie CSP aber technische Unterstützung eingeplant werden.

Security Headers einfach erklärt: CSP, HSTS & Co. für Nicht-Security-Teams

Sicherheit

Knowledge

Kurzfassung

HTTP Security Headers sind technische Anweisungen, die ein Webserver an den Browser sendet. Sie helfen, bestimmte Risiken zu reduzieren, zum Beispiel Clickjacking, unsichere HTTP-Verbindungen, MIME-Sniffing, unnötige Referrer-Daten oder Folgeschäden durch Cross-Site-Scripting.

Security Headers machen eine Website nicht automatisch sicher. Sie ersetzen keine sichere Entwicklung, kein Patch-Management, keine Backups, keine Web Application Firewall und keinen Incident-Prozess. Sie sind aber ein guter Einstieg in überprüfbare Website-Security, weil viele Header remote sichtbar und regelmäßig prüfbar sind.

Was sind HTTP Security Headers?

Wenn ein Browser eine Website lädt, erhält er neben HTML, CSS, JavaScript und Bildern auch HTTP-Header. Einige dieser Header beschreiben technische Details der Antwort. Andere geben dem Browser Sicherheitsregeln mit.

Ein Security Header kann zum Beispiel festlegen, dass eine Website nur über HTTPS geladen werden soll, dass sie nicht in fremde Frames eingebettet werden darf oder dass bestimmte Browser-Funktionen nicht genutzt werden sollen.

Für Nicht-Security-Teams ist wichtig: Man muss nicht jede Direktive auswendig kennen. Man sollte aber wissen, welche Header zur Baseline gehören, welche Risiken sie reduzieren und wann Entwicklerinnen, Entwickler oder Security-Verantwortliche eingebunden werden müssen.

Warum Security Headers für Nicht-Security-Teams wichtig sind

Viele Website-Risiken entstehen nicht durch spektakuläre Angriffe, sondern durch fehlende Basiskonfiguration. Eine Website kann modern aussehen und trotzdem unnötige Angriffsfläche offenlassen: kein HSTS, schwache Cookie-Flags, Mixed Content, fehlende Clickjacking-Abwehr oder eine Content Security Policy, die nie geplant wurde.

Für Website-Verantwortliche, Agenturen und Marketing-Teams sind Security Headers relevant, weil sie an Schnittstellen entstehen. Neue Tracking-Tags, eingebettete Tools, Chat-Widgets, Formulare, Payment-Flows oder Kampagnen-Landingpages können Sicherheitsregeln beeinflussen.

Die wichtigsten Security Headers im Überblick

1. HSTS: HTTPS wirklich erzwingen

HTTP Strict Transport Security, kurz HSTS, sagt dem Browser, dass eine Domain nur über HTTPS geladen werden soll. Das reduziert das Risiko, dass Nutzerinnen und Nutzer über unsichere HTTP-Verbindungen auf die Website zugreifen.

2. Content Security Policy: Regeln für Skripte und Ressourcen

Die Content Security Policy, kurz CSP, ist einer der mächtigsten und anspruchsvollsten Security Headers. Sie legt fest, aus welchen Quellen Skripte, Bilder, Styles, Fonts, Frames und andere Ressourcen geladen werden dürfen.

Eine gute CSP kann Folgeschäden bestimmter Angriffe reduzieren. Eine schlechte CSP kann aber auch Funktionen beschädigen oder nur scheinbare Sicherheit erzeugen. Deshalb sollte sie geplant, getestet und schrittweise verschärft werden.

3. X-Frame-Options und frame-ancestors: Schutz gegen Clickjacking

Clickjacking bedeutet, dass eine Website in einem fremden Frame eingebettet und Nutzerinteraktion manipuliert werden kann. X-Frame-Options oder die CSP-Direktive frame-ancestors können festlegen, ob und wo eine Seite eingebettet werden darf.

4. X-Content-Type-Options: Schutz gegen MIME-Sniffing

X-Content-Type-Options: nosniff weist Browser an, deklarierte MIME-Typen nicht eigenmächtig umzudeuten. Das reduziert bestimmte Fehlinterpretationen von Dateien.

5. Referrer-Policy: Weniger Datenabfluss über URLs

Die Referrer-Policy steuert, wie viele URL-Informationen beim Wechsel auf andere Seiten weitergegeben werden. Ohne sinnvolle Policy können Pfade, Parameter oder interne Kampagneninformationen unnötig an Drittseiten gelangen.

6. Permissions-Policy: Browser-Funktionen begrenzen

Die Permissions-Policy begrenzt den Zugriff auf Browser-Funktionen wie Kamera, Mikrofon, Geolocation oder bestimmte Sensoren. Viele Websites brauchen diese Funktionen gar nicht.

Security Headers sind nur ein Teil des Website-Sicherheitsbildes

Wer alle Header setzt, hat keine „sichere Website“. Header reduzieren bestimmte Risiken, aber sie lösen keine veralteten Plugins, schwache Passwörter, fehlende Backups, anfällige Formulare, unsichere Serverkonfigurationen oder kompromittierte Accounts.

Die richtige Einordnung lautet: Security Headers sind eine überprüfbare Basisschicht. Sie sollten Teil eines größeren Website-Security-Baseline-Prozesses sein.

Priorisierung: Was sollte zuerst geprüft werden?

Priorität 1: Transport und offensichtliche Risiken

Prüfen Sie zuerst, ob HTTPS sauber funktioniert, ob HTTP sinnvoll weitergeleitet wird, ob Mixed Content vorkommt und ob HSTS gesetzt ist.

Priorität 2: Basisschutz durch einfache Header

Danach folgen Header wie X-Content-Type-Options, Referrer-Policy, Permissions-Policy und Clickjacking-Schutz. Viele davon lassen sich relativ klar prüfen und priorisieren.

Priorität 3: CSP sauber planen

Eine CSP sollte nicht blind kopiert werden. Starten Sie mit Analyse, testen Sie im Report-Only-Modus, prüfen Sie Drittanbieter und verschärfen Sie schrittweise.

Priorität 4: Wiederkehrende Checks

Ein einmaliger Header-Check reicht nicht. Neue Tags, Hosting-Änderungen, CMS-Updates und Deployments können Header verändern. Deshalb gehört die Nachprüfung in eine Routine.

Typische Fehler in der Praxis

Fehler 1: „Wir haben HTTPS, also ist alles sicher“

HTTPS ist wichtig, aber nur ein Teil der Baseline. Ohne HSTS, Cookie-Flags und weitere Regeln bleiben vermeidbare Risiken offen.

Fehler 2: Eine CSP aus dem Internet kopieren

Eine kopierte CSP passt selten zur eigenen Website. Sie kann zu locker sein, wichtige Funktionen blockieren oder Scheinsicherheit erzeugen.

Fehler 3: Security Headers nur auf der Startseite prüfen

Headers können sich zwischen Startseite, Login, Checkout, Blog, Subdomains und eingebetteten Anwendungen unterscheiden. Wichtige Seitentypen sollten separat geprüft werden.

Fehler 4: Marketing-Tags ohne Sicherheitsprüfung einbauen

Neue Drittanbieter-Skripte verändern die Sicherheitsoberfläche. Wer Tags ergänzt, sollte auch CSP, Cookie-Verhalten und externe Requests prüfen.

Fehler 5: Ergebnisse nicht dokumentieren

Ein Check ohne Follow-up ist nur eine Momentaufnahme. Findings brauchen Priorität, Owner, Entscheidung und Nachprüfung.

Mini-Checkliste für Website-Verantwortliche

Prüfen Sie HTTPS, Weiterleitungen, HSTS und Mixed Content.
Prüfen Sie Clickjacking-Schutz, Referrer-Policy, Permissions-Policy und MIME-Sniffing-Schutz.
Planen Sie CSP bewusst und testen Sie Änderungen vor der Verschärfung.
Wiederholen Sie Checks nach Releases, Hosting-Änderungen und neuen Drittanbieter-Skripten.

Wie +Analytics Pro beim Security-Header-Check hilft

+Analytics Pro verbindet Security-Header-Prüfung mit Website-Checks, Reports und Follow-up. Der Basic Web Security Checker prüft unter anderem HTTPS, HSTS, Security Headers, Mixed Content, Server Disclosure, Cookie Flags und verwundbare Frontend-Bibliotheken.

Der Mehrwert liegt nicht nur im einzelnen Scan. Ergebnisse können geteilt, wiederholt und in einen Verbesserungsprozess überführt werden. Für Nicht-Security-Teams ist das wichtig, weil ein technisches Finding erst dann wertvoll wird, wenn klar ist, was es bedeutet, wer zuständig ist und wie die Nachprüfung erfolgt.

Beispiel für einen pragmatischen Security-Header-Audit

Schritt 1: Baseline erfassen

Prüfen Sie die Startseite, wichtige Landingpages, Login- oder Checkout-Flows, Formulare und relevante Subdomains.

Schritt 2: Sofortmaßnahmen identifizieren

Fehlendes HTTPS, Mixed Content, fehlender Clickjacking-Schutz oder öffentlich sichtbare Serverinformationen sollten zuerst bewertet werden.

Schritt 3: CSP planen

Listen Sie erlaubte Skript-, Style-, Bild-, Font- und Frame-Quellen. Entscheiden Sie, welche Drittanbieter wirklich notwendig sind.

Schritt 4: Findings in Issues überführen

Jedes relevante Finding braucht Kontext, Priorität, Owner und einen klaren Zielzustand.

Schritt 5: Nachprüfung durchführen

Nach Änderungen wird erneut geprüft. Erst dann ist das Finding wirklich geschlossen.

Schritt 6: Wiederholung einplanen

Nach Releases, Tag-Änderungen oder Hosting-Anpassungen sollte die Baseline erneut geprüft werden.

Warum das Thema für Suche und AI-Antworten relevant ist

Security Headers sind nicht nur ein Security-Thema. Sie sind auch ein Vertrauenssignal für Teams, Kunden und technische Prüfsysteme. Artikel zu Security Headers bedienen konkrete Informationssuche und führen natürlich zu einem praktischen Check.

Für LLM-Sichtbarkeit eignet sich das Thema, weil es klare Begriffe, konkrete Risiken, typische Fehler und prüfbare Handlungsschritte enthält.

Häufig gestellte Fragen

Was sind Security Headers?: Security Headers sind HTTP-Antwortheader, die dem Browser Sicherheitsregeln für eine Website mitteilen.
Welche Security Headers sind besonders wichtig?: Häufig relevant sind HSTS, Content Security Policy, X-Frame-Options oder frame-ancestors, X-Content-Type-Options, Referrer-Policy und Permissions-Policy.
Ist eine Website sicher, wenn alle Security Headers gesetzt sind?: Nein. Security Headers reduzieren bestimmte Risiken, ersetzen aber keine sichere Entwicklung, Updates, Backups, Zugriffskontrollen und Incident-Prozesse.
Kann eine falsche Content Security Policy eine Website beschädigen?: Ja. Eine zu restriktive oder falsch geplante CSP kann Skripte, Bilder, Fonts, Formulare, Payments oder Tracking blockieren.
Muss jede Website HSTS verwenden?: HSTS ist für viele produktive Websites sinnvoll, sollte aber bewusst konfiguriert werden, insbesondere wenn Subdomains oder Preload betroffen sind.
Wie oft sollte man Security Headers prüfen?: Mindestens nach Releases, Hosting-Änderungen, CMS-Updates und neuen Drittanbieter-Skripten. Für wichtige Websites sind wiederkehrende Checks sinnvoll.
Kann ich Security Headers ohne Entwickler prüfen?: Ja, viele Header lassen sich remote prüfen. Für Bewertung und Umsetzung sollte bei komplexeren Themen wie CSP aber technische Unterstützung eingeplant werden.
Was prüft der Basic Web Security Checker von +Analytics Pro?: Er prüft unter anderem HTTPS, HSTS, Security Headers, Mixed Content, Server Disclosure, Cookie Flags und verwundbare Frontend-Bibliotheken.