--- title: "Wie sicher sind die Security Headers?" description: "Sehr sicher: höchste Bewertung (A+) bei den drei Tools, die auch IT-Berater und Compliance-Auditoren verwenden. Konkret heisst das: die häufigsten Angriffs-Varianten (Phishing, eingeschleuste Tracker, abgegriffene Daten) werden automatisch blockiert, bevor sie überhaupt anfangen. In 5 Sekunden selbst überprüfbar." canonical: https://webeo.ch/faq/sicherheit/wie-sicher-sind-die-security-headers language: de-CH --- Sehr sicher: höchste Bewertung (A+) bei den drei Tools, die auch IT-Berater und Compliance-Auditoren verwenden. Konkret heisst das: die häufigsten Angriffs-Varianten (Phishing, eingeschleuste Tracker, abgegriffene Daten) werden automatisch blockiert, bevor sie überhaupt anfangen. In 5 Sekunden selbst überprüfbar. **Was sind Security Headers überhaupt?** Unsichtbare Schutz-Anweisungen, die deine Webeo Site bei jedem Aufruf an den Browser deiner Besucher:innen sendet, wie eine Hausordnung beim Betreten der Praxis. Der Browser hält sich daran und blockiert automatisch verschiedene Angriffs-Varianten, bevor sie überhaupt anfangen. **Wovor sie konkret schützen:** - **Eingeschleuste Fremd-Inhalte**: z.B. Tracker oder Werbung, die jemand über ein Schlupfloch einbaut - **Gefälschte Login-Masken** (Phishing): Angreifer können deine Seite nicht in einem fremden Frame missbrauchen - **Manipulierte Verbindungen**: Browser erzwingen verschlüsselte HTTPS-Verbindung, immer - **Datenklau über fremde Dienste**: Browser sendet keine sensiblen Daten an Drittanbieter **Konkret aktiv bei deiner Webeo Site:** - **HSTS mit Preload**: HTTPS-Pflicht, auch wenn jemand `http://` tippt - **Strikte Content-Security-Policy**: blockiert fremde Scripts und Tracker - **X-Frame-Options DENY**: kein Einbetten in fremde Seiten - **X-Content-Type-Options nosniff**: Browser interpretiert Dateien streng wie deklariert - **Referrer-Policy strict-origin-when-cross-origin**: keine sensiblen URLs werden weitergegeben - **Permissions-Policy**: Kamera, Mikrofon, Geolocation usw. standardmässig aus **So prüfst du das selbst (auch ohne IT-Hintergrund):** Geh auf [securityheaders.com](https://securityheaders.com), gib deine Domain ein, drücke Enter: nach 5 Sekunden siehst du die Note. A+ ist die höchste. Das ist exakt das Tool, das auch Versicherungen und IT-Berater für ihre Audits verwenden. Wenn jemand nachfragt, ist das der Link, den du zeigst.