Was bedeutet "Security Headers"?
Security Headers sind unsichtbare Anweisungen, die deine Website beim Aufruf an den Browser mitschickt, wie eine Hausordnung für den Besuch. Der Browser folgt diesen Regeln automatisch und schützt damit deine Besucher:innen vor gängigen Angriffen (z. B. eingeschleuste Schadcodes, gefälschte Logins, abgegriffene Daten).
Security Headers werden mit jedem HTTP-Response mitgesendet: der Browser interpretiert sie automatisch als Sicherheitsregeln. Sie kosten kein Geld, kein Plugin, keine Wartung. Sie müssen nur korrekt gesetzt sein.
Die wichtigsten:
- Content-Security-Policy (CSP): verhindert XSS-Angriffe, indem sie definiert, welche Scripts/Styles geladen werden dürfen
- Strict-Transport-Security (HSTS): erzwingt HTTPS-Verbindungen
- X-Frame-Options DENY: schützt vor Clickjacking
- X-Content-Type-Options nosniff: verhindert MIME-Type-Confusion
- Permissions-Policy: deaktiviert sensible Browser-APIs (Camera, Mic, Geolocation) für deine Site
Praktisches Beispiel CSP: Ohne CSP kann jeder Tracker, der irgendwo im Code landet (versehentlich, durch Plugin, durch kompromittierten Drittanbieter), Daten an Dritte schicken. Mit strikter CSP lädt der Browser ihn erst gar nicht: du verlierst nichts, weil dein eigener Code nichts Externes braucht.
Die meisten KMU-Websites haben keine dieser Header konfiguriert: aus Unwissenheit oder weil der Hosting-Provider sie nicht setzt. Webeo Sites haben alle korrekt aktiviert, automatisch, bei jedem Request. A+ auf Mozilla Observatory und securityheaders.com ist Standard, nicht Best Case.