DL Detlev Lengsfeld SEO · KI · Web Security

Sicherheits-Header: Die unsichtbaren Regeln, die Ihre Website schützen

Stellen Sie sich vor, Ihre Buchungsseite taucht eins zu eins auf einer fremden Website auf — gleiches Aussehen, gleiches Formular, Ihr Logo. Ihre Patienten oder Mandanten geben dort ihre Daten ein, im guten Glauben, bei Ihnen zu sein. Die Daten landen woanders.

Oder: Über Ihre Seite legt sich, für den Besucher unsichtbar, eine zweite Ebene. Er klickt auf das, was er für Ihren „Termin anfragen"-Button hält — und löst in Wahrheit etwas ganz anderes aus.

Beides ist möglich, weil die meisten kleinen Websites dem Browser des Besuchers keinerlei Anweisungen geben, was erlaubt ist und was nicht. Diese Anweisungen heißen Sicherheits-Header — und wo sie fehlen, erlaubt der Browser im Zweifel alles.

Was Sicherheits-Header sind

Jedes Mal, wenn jemand Ihre Website öffnet, schickt Ihr Server dem Browser nicht nur die Seite, sondern auch eine Reihe unsichtbarer Hinweise: wie er die Seite behandeln soll, was er zulassen darf und was nicht. Diese Hinweise sind die Sicherheits-Header — eine Art Hausordnung, die jedem Besucher an der Tür in die Hand gedrückt wird.

Das Problem: Bei kleinen Websites fehlt diese Hausordnung fast immer komplett. Der Server schweigt, und der Browser tut, was technisch möglich ist — auch das, was Sie nie erlaubt hätten.

Woran Sie merken, dass welche fehlen

Sicherheits-Header sind öffentlich auslesbar — jeder kann in Sekunden sehen, welche Ihre Website mitschickt und welche nicht. Bei den meisten kleinen Betrieben ist die Antwort: keine.

Und auch hier gilt, wie bei der E-Mail-Sicherheit: vorhanden heißt nicht richtig. Ein Header kann gesetzt sein und trotzdem zu schwach konfiguriert, um den Missbrauch tatsächlich zu verhindern. Der Unterschied steckt im Detail, das man nicht sieht, ohne gezielt hinzusehen.

Die wichtigsten Header — einfach erklärt

HTTPS erzwingen (HSTS): Stellt sicher, dass Ihre Website ausschließlich verschlüsselt aufgerufen wird. Ohne das kann jemand im selben offenen WLAN — Café, Wartezimmer, Hotel — die Verbindung mitlesen oder umleiten.

Einbetten verhindern (X-Frame-Options / Content-Security-Policy): Verbietet, dass Ihre Seite in eine fremde Website eingebettet wird. Genau das schließt das Szenario vom Anfang aus — die nachgebaute Buchungsseite, den unsichtbaren Klick.

Inhaltstyp festlegen (X-Content-Type-Options): Hindert den Browser daran, Dateien „zu erraten" und im Zweifel als ausführbaren Code zu behandeln — ein häufiger Hebel für eingeschleuste Schadfunktionen.

Es gibt weitere, aber diese drei schließen die größten und häufigsten Lücken bei kleinen Websites.

Was Sie jetzt tun können

Sicherheits-Header kosten nichts und brauchen keine neue Software — sie werden einmal serverseitig gesetzt. Der Haken ist derselbe wie überall in der Web-Sicherheit: zu wenig schützt nicht, zu viel bricht etwas. Eine zu strenge Regel kann Ihre eigene Seite lahmlegen — eingebundene Schriften, Kartenmodule, das Buchungstool. Ein zu früh erzwungenes HTTPS kann Sie aussperren.

Genau das prüfe ich für Sie. Ich lese aus, welche Header Ihre Website mitschickt und welche fehlen, sage Ihnen in klaren Worten, wo Sie angreifbar sind — und setze den Schutz auf Wunsch so, dass er greift, ohne Ihre eigene Seite zu beschädigen.

Die Sicherheits-Header sind einer von mehreren Punkten, die mein Web Security Check abdeckt. Wenn Sie wissen wollen, was Ihre Website aktuell preisgibt: Schreiben Sie mir die Domain — den Rest übernehme ich.