Website-Pflichtencheckvon Jurono
SicherheitWebsiteTechnikWartungDatenschutz

Security Header: Der unterschätzte Website-Check für Browser-Schutz

HTTP-Sicherheitsheader wie CSP, HSTS und Referrer-Policy sind kleine Konfigurationen mit großer Wirkung. Website-Teams sollten sie nicht als einmaligen Scan, sondern als Wartungsaufgabe behandeln.

Von Jurono
Aktualisiert: 7. Juli 2026

Viele Website-Projekte prüfen Sicherheit erst, wenn etwas sichtbar kaputt ist: Login funktioniert nicht, Formular-Spam explodiert, ein Plugin hat eine Lücke oder der Kunde fragt nach einem Security-Scan. Dabei gibt es eine unspektakuläre Basis, die viel früher auffällt: HTTP-Sicherheitsheader.

Security Header sind keine Firewall und ersetzen keinen sauberen Code. Aber sie geben dem Browser klare Regeln: Welche Quellen dürfen Skripte laden? Soll die Website dauerhaft nur per HTTPS geöffnet werden? Wie viel Referrer-Information geht an externe Dienste? Darf die Seite in fremde Frames eingebettet werden?

OWASP beschreibt HTTP Header als einfache, aber wirksame Verstärkung für Web-Sicherheit. MDN dokumentiert unter anderem, dass Content Security Policy Ressourcen einschränken und gegen Cross-Site-Scripting helfen kann, HSTS künftige Zugriffe auf HTTPS erzwingt und Referrer-Policy steuert, wie viel Herkunftsinformation bei Requests mitgesendet wird.

Warum Header in Website-Audits gehören

Für kleine Websites, WordPress-Projekte, SaaS-Landingpages und Agenturprojekte sind Header oft zwischen Hosting, CMS, CDN, Framework und Reverse Proxy verteilt. Genau dort entstehen Lücken:

  • Der CDN setzt HSTS, aber die Staging-Domain bricht.
  • Das Framework setzt Standardheader, aber der Reverse Proxy überschreibt sie.
  • Ein Cookie- oder Chat-Widget braucht externe Skripte und die CSP wird aus Bequemlichkeit zu weit geöffnet.
  • Referrer-Policy fehlt und Kampagnen-URLs mit Parametern werden unnötig an Dritte weitergegeben.
  • X-Powered-By verrät unnötig Framework-Details.
  • Alte Header wie X-XSS-Protection werden blind kopiert, obwohl moderne Empfehlungen eher CSP bevorzugen.

Das Problem ist selten ein einzelner fehlender Header. Das Problem ist, dass niemand weiß, welche Schicht die Header kontrolliert.

Die praktische Mindestprüfung

Ein Website-Check sollte nicht einfach nur ein Online-Scanner-Ergebnis kopieren. Besser ist ein kleiner, nachvollziehbarer Audit:

  1. Produktionsdomain testen: Welche Header werden auf Startseite, Unterseiten, Login, Formularen und Checkout ausgeliefert?
  2. Redirect-Kette prüfen: Kommt HTTP sauber auf HTTPS? Werden Header erst nach dem finalen Redirect gesetzt?
  3. CSP realistisch bewerten: Gibt es eine Policy oder nur unsafe-inline und Wildcards?
  4. HSTS vorsichtig einführen: Erst kurze Laufzeit testen, dann längere Werte und Subdomains nur, wenn Zertifikate und Subdomains wirklich unter Kontrolle sind.
  5. Referrer-Policy setzen: Für viele Websites ist strict-origin-when-cross-origin ein sinnvoller Ausgangspunkt.
  6. MIME-Sniffing verhindern: X-Content-Type-Options: nosniff setzen und Content-Types korrekt ausliefern.
  7. Embedding regeln: frame-ancestors in CSP nutzen, wenn Seiten nicht fremd eingebettet werden sollen.
  8. Caching sensibler Seiten prüfen: Login, Konto, Checkout und interne Bereiche brauchen andere Regeln als öffentliche Assets.

CSP ohne Selbstzerstörung

Content Security Policy ist mächtig, aber auch der Header, mit dem Teams sich am schnellsten selbst ins Knie schießen. Eine zu harte Policy kann Formulare, Zahlungen, Tracking, Videos oder Consent-Banner brechen. Eine zu weiche Policy sieht gut aus, schützt aber kaum.

Der bessere Weg:

  • Erst Inventar der externen Skripte, Styles, Bilder, Frames und APIs erstellen.
  • Dann eine Content-Security-Policy-Report-Only testen.
  • Verstöße sammeln und bewusst entscheiden, was wirklich erlaubt sein muss.
  • Danach schrittweise erzwingen.
  • Jede neue Drittanbieter-Integration als CSP-Änderung behandeln.

Gerade für Agenturen ist das ein guter Übergabepunkt: Wenn der Kunde später ein neues Tracking-Pixel einbaut, sollte klar sein, dass dies nicht nur Marketing ist, sondern auch Security-Konfiguration verändert.

Header als Wartungsaufgabe

Security Header sind kein Einmal-Ticket. Sie ändern sich mit Hosting, CDN, Framework, Plugins und Drittanbieter-Tools. Deshalb gehören sie in eine Wartungsroutine:

  • Nach Relaunch oder Hostingwechsel erneut prüfen.
  • Nach CDN- oder Proxy-Änderungen Header vergleichen.
  • Nach neuen Formular-, Payment-, Chat- oder Tracking-Tools CSP testen.
  • Einmal pro Quartal einen Header-Scan durchführen.
  • Header-Konfiguration im Repository oder Betriebshandbuch dokumentieren.

Fazit

HTTP-Sicherheitsheader sind langweilig im besten Sinn. Sie machen keine schöne Landingpage und verkaufen kein Produkt. Aber sie reduzieren unnötige Angriffsfläche, schützen Nutzer:innen und zeigen, ob ein Website-Team seine Infrastruktur im Griff hat. Ein guter Website-Check sollte deshalb nicht nur Plugins, Performance und Cookie-Banner prüfen, sondern auch die Header, die der Browser wirklich sieht.

Quellen

Hinweis: Dieser Beitrag ist eine technische Einordnung und keine Rechtsberatung.

Jurono Logo

Jurono

Technische Website-Prüfung, Website-Fixes und AI-Code-Rettung für kleine Unternehmen, Praxen, Kanzleien und Gründer:innen in Deutschland.

Holen Sie sich unsere kostenlose Sicherheitscheckliste.

Kostenlose PDF herunterladen

Passende Angebote

Direkt weiterkommen

Basierend auf den Themen dieses Artikels – ohne lange Suche.

Pflichtencheck Pro

Wenn die Website wichtig ist, aber unklar bleibt, welche technischen Pflichtsignale, Risiken und Fixes wirklich Priorität haben.

549

Prüfung, Bewertung und konkreter Maßnahmenplan innerhalb von 3-5 Werktagen.

  • Alles aus dem Quick Scan, gründlicher bewertet und dokumentiert
  • Konkrete Fundstellen zu Cookie-, Tracking- und externen Dienstsignalen
  • Sichtbare Pflichtbereiche technisch geprüft, ohne Rechtsberatung
Klarheit mit Pflichtencheck Pro

Website Quick Scan

Wenn niemand genau weiß, welche Skripte, Cookie-Signale oder technischen Risiken gerade auf Ihrer Website laufen.

249

Technische Ersteinschätzung und klare Prioritäten innerhalb von 2 Werktagen.

  • Sie sehen schnell, ob Tracking, Cookies, externe Dienste oder HTTPS auffällig sind
  • Mobile-, Ladezeit- und Technik-Probleme werden verständlich eingeordnet
  • Die wichtigsten Punkte stehen in einer kurzen Prioritätenliste
Passend dazu: Website Quick Scan

Website Schutz & Wartung

Für kleine Unternehmen ohne internes Webteam, die laufende technische Ruhe statt gelegentlicher Notfälle brauchen.

279/Monat

Monatliche technische Betreuung nach einem kurzen Onboarding-Check.

  • Updates und Backups nach Systemzugang kontrolliert begleiten
  • Monatlicher Kurzcheck auf neue technische Auffälligkeiten
  • Bis zu 90 Minuten kleine Änderungen oder Fixes pro Monat
Klarheit mit Website Schutz & Wartung

Erst Klarheit, dann entscheiden.

Starten Sie mit einer technischen Prüfung. Wenn nur Kleinigkeiten auffallen, können Sie es dabei belassen, den Bericht weitergeben oder später gezielte Fixes buchen.

Technische Prüfung und Umsetzung, keine Rechtsberatung. Ich prüfe sichtbare Signale, Einbindungen und Auslieferungsprobleme; Rechtstexte und verbindliche juristische Bewertungen bleiben Aufgabe von Anwält:innen oder Datenschutzberatung.

Security Header: Der unterschätzte Website-Check für Browser-Schutz