Sind deine Security-Headers richtig konfiguriert?
HSTS, CSP, X-Frame-Options — Security-Headers schützen deine Website und deine Nutzer. Compliso prüft automatisch, ob sie vorhanden und korrekt konfiguriert sind.
Warum Security-Headers wichtig sind
Security-Headers sind HTTP-Antwort-Header, die dem Browser sagen, wie er sich verhalten soll. Sie sind eine der einfachsten und effektivsten Maßnahmen gegen häufige Angriffe wie XSS, Clickjacking und Man-in-the-Middle.
Laut Art. 32 DSGVO bist du verpflichtet, angemessene technische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Security-Headers gehören zum absoluten Minimum. Trotzdem fehlen sie auf einem Großteil deutscher Websites.
78%
deutscher Websites ohne CSP
53%
ohne Referrer-Policy
1 Min
um es zu fixen
Was Compliso prüft
6 Security-Prüfungen — automatisch bei jedem Scan.
Strict-Transport-Security (HSTS)
KritischWas es macht
Erzwingt HTTPS-Verbindungen und verhindert, dass Browser auf HTTP zurückfallen.
Risiko ohne
Ohne HSTS können Angreifer über Man-in-the-Middle-Angriffe den Datenverkehr mitlesen. Besonders gefährlich in öffentlichen WLANs.
DSGVO-Bezug
Art. 32 DSGVO fordert angemessene technische Maßnahmen zum Schutz personenbezogener Daten. Verschlüsselung der Übertragung ist eine Grundanforderung.
Content-Security-Policy (CSP)
HochWas es macht
Definiert, welche Ressourcen (Scripts, Styles, Fonts) von welchen Quellen geladen werden dürfen.
Risiko ohne
Ohne CSP können Angreifer schadhaften Code einschleusen (Cross-Site Scripting / XSS). XSS ist laut OWASP die häufigste Webanwendungs-Schwachstelle.
DSGVO-Bezug
Ein erfolgreicher XSS-Angriff kann zum Diebstahl von Session-Cookies und personenbezogenen Daten führen — ein meldepflichtiger Datenschutzvorfall nach Art. 33 DSGVO.
X-Frame-Options
MittelWas es macht
Verhindert, dass deine Website in iframes fremder Seiten eingebettet wird.
Risiko ohne
Ohne diesen Header können Angreifer Clickjacking-Angriffe durchführen: Nutzer klicken auf unsichtbare Elemente deiner Website, die über einer Fake-Seite liegen.
DSGVO-Bezug
Clickjacking kann dazu missbraucht werden, Consent-Entscheidungen zu manipulieren oder Formularabsendungen auszulösen.
X-Content-Type-Options
MittelWas es macht
Verhindert, dass Browser den MIME-Type von Dateien erraten (MIME Sniffing).
Risiko ohne
Ohne diesen Header könnten Angreifer z.B. eine als Bild getarnte JavaScript-Datei ausführen lassen.
DSGVO-Bezug
Ein weiterer Angriffsvektor, der in Kombination mit anderen Schwachstellen zu Datenabfluss führen kann.
Referrer-Policy
MittelWas es macht
Kontrolliert, welche URL-Informationen an externe Seiten weitergegeben werden.
Risiko ohne
Ohne Referrer-Policy können URLs mit sensiblen Parametern (z.B. Token, Session-IDs) an Drittanbieter weitergegeben werden.
DSGVO-Bezug
URLs können personenbezogene Daten enthalten. Die Weitergabe an Dritte ohne Rechtsgrundlage ist ein DSGVO-Verstoß.
Mixed-Content-Erkennung
HochWas es macht
Prüft, ob auf HTTPS-Seiten unverschlüsselte HTTP-Ressourcen geladen werden.
Risiko ohne
Mixed Content untergräbt die HTTPS-Verschlüsselung. Bilder, Scripts oder Stylesheets über HTTP können manipuliert werden.
DSGVO-Bezug
Wenn Tracking-Pixel oder Formulare über HTTP geladen werden, sind personenbezogene Daten unverschlüsselt im Netz.
So einfach ist die Umsetzung
Compliso scannt deine Website
Der Scanner sendet einen HTTP-Request und analysiert alle Response-Headers automatisch.
Du bekommst konkrete Empfehlungen
Für jeden fehlenden Header erhältst du eine Erklärung auf Deutsch und die empfohlene Konfiguration.
Header setzen (1 Zeile pro Header)
In Apache, Nginx oder deinem Hosting-Panel: Jeder Header ist eine einzelne Konfigurationszeile.
Nächster Scan bestätigt die Umsetzung
Beim nächsten automatischen Scan verifiziert Compliso, dass die Headers korrekt gesetzt sind.
Security-Check in wenigen Sekunden
Finde heraus, welche Security-Headers auf deiner Website fehlen — und wie du sie in Minuten einrichtest.