HTTP Security Header sind Anweisungen, die Ihr Webserver an den Browser sendet, um zusätzliche Schutzmaßnahmen zu aktivieren. Sie kosten nichts, sind in Minuten konfiguriert und schließen ganze Kategorien von Angriffen aus. Trotzdem fehlen sie bei der Mehrheit aller KMU-Webseiten. Dieser Artikel erklärt die wichtigsten Header und ihre korrekte Konfiguration.
Die 7 wichtigsten Security Header
| Header | Schützt vor | Empfohlener Wert |
|---|---|---|
| Strict-Transport-Security | Downgrade-Angriffe, HTTP-Zugriff | max-age=31536000; includeSubDomains; preload |
| Content-Security-Policy | XSS, Code-Injection, Clickjacking | Individuell konfiguriert (whitelist-basiert) |
| X-Frame-Options | Clickjacking | DENY oder SAMEORIGIN |
| X-Content-Type-Options | MIME-Type-Sniffing | nosniff |
| Referrer-Policy | Informationsleck über Referrer | strict-origin-when-cross-origin |
| Permissions-Policy | Unerlaubter Zugriff auf Browser-APIs | camera=(), microphone=(), geolocation=() |
| X-XSS-Protection | Reflected XSS (Legacy-Browser) | 0 (bei vorhandener CSP deaktivieren) |
Content-Security-Policy: Der mächtigste Header
Die Content-Security-Policy (CSP) ist der wirksamste Security Header. Sie definiert exakt, welche Ressourcen der Browser laden darf: Skripte, Styles, Bilder, Fonts und mehr. Eine strikte CSP verhindert die Ausführung von Inline-Skripten und blockiert damit die meisten XSS-Angriffe effektiv.
Die Konfiguration einer CSP erfordert Sorgfalt, da eine zu restriktive Policy die Funktionalität Ihrer Webseite beeinträchtigen kann. Starten Sie mit dem Report-Only-Modus, um Verstöße zu identifizieren, bevor Sie die Policy scharf schalten.
Testen Sie Ihre Header
Prüfen Sie Ihre Security Header mit Online-Tools wie securityheaders.com oder nutzen Sie unseren eigenen HTTP Header Checker. Die meisten KMU-Webseiten erzielen nur eine Note D oder F – obwohl die Verbesserung wenige Minuten dauert.
Unsere IT-Security-Reviews prüfen auch die HTTP Security Header Ihrer Webseiten und geben konkrete Verbesserungsempfehlungen. Kontaktieren Sie uns für eine Überprüfung.
Fazit
HTTP Security Header sind eine der einfachsten und wirksamsten Sicherheitsmaßnahmen für Webseiten. Sie kosten nichts, sind in Minuten konfiguriert und schließen ganze Angriffskategorien aus. Es gibt keinen Grund, sie nicht zu setzen.