Häufige Fragen

Security Headers sind HTTP-Antwort-Header, die den Browser anweisen, bestimmte Sicherheitsrichtlinien durchzusetzen. Sie schützen vor:

• Clickjacking: X-Frame-Options verhindert, dass Ihre Seite in einen fremden Frame eingebettet wird
• Cross-Site Scripting (XSS): Content-Security-Policy blockiert eingeschleuste Schadskripte
• MIME-Sniffing: X-Content-Type-Options verhindert, dass Dateien als Code interpretiert werden
• SSL-Stripping: Strict-Transport-Security erzwingt HTTPS-Verbindungen

Ohne diese Headers ist Ihre Webseite für Angreifer ein leichtes Ziel — und SecurityHeaders.com bewertet das mit Note F.

SecurityHeaders.com bewertet, ob Ihre Webseite die wichtigsten HTTP-Security-Headers sendet (HSTS, CSP, X-Frame-Options u.a.).

Note F bedeutet: Kein einziger Schutz-Header ist aktiv. Clickjacking, XSS und Man-in-the-Middle-Angriffe werden dadurch deutlich einfacher. Das ist für Angreifer ein öffentlich sichtbares Signal, dass Ihre Seite ein leichtes Ziel ist.

Die gute Nachricht: Note A ist in unter 24 Stunden erreichbar — ohne Downtime und ohne CMS-Login.

Nein. SSL/TLS verschlüsselt die Verbindung zwischen Browser und Server — das ist wichtig, aber es schützt nicht vor:

• Clickjacking-Angriffen
• Cross-Site Scripting (XSS)
• Fehlender Content-Security-Policy

Security Headers sind die zweite Verteidigungslinie — und werden am häufigsten vergessen. Beides zusammen (SSL + Security Headers) bietet umfassenden Schutz.

Nein. Für den Header-Fix arbeiten wir ausschliesslich auf Server-/Header-Ebene — ohne CMS-Login.

Bei der WordPress-Härtung benötigen wir SSH- oder Panel-Zugang zum Server, jedoch nie Zugriff auf gespeicherte Mandantendaten. Ihre Schweigepflicht bleibt vollständig gewahrt.

Nein. Alle Maßnahmen werden im laufenden Betrieb durchgeführt. Unsere Kunden verzeichnen 0 Minuten Downtime.

Die Header-Optimierung erfolgt auf Serverebene, ohne das CMS zu beeinflussen. Bei der WordPress-Härtung arbeiten wir so, dass Ihre Seite durchgehend erreichbar bleibt.

Nein. Die implementierten Headers bleiben dauerhaft aktiv, solange Ihre Server-Konfiguration nicht geändert wird.

Bei einem Hosting-Wechsel empfehlen wir eine erneute Prüfung. Für laufende Überwachung, Re-Audits und automatische Benachrichtigungen bei Änderungen empfehlen wir Cyber-Mandat Pro.

Leider nein. SSL/TLS verschlüsselt die Verbindung, schützt aber nicht vor:

• Clickjacking: Ohne X-Frame-Options kann Ihre Seite in bösartige Frames eingebettet werden
• XSS-Angriffen: Ohne CSP können Schadskripte injiziert werden
• Man-in-the-Middle: Ohne HSTS können SSL-Verbindungen auf HTTP herabgestuft werden

Security Headers und SSL ergänzen sich — beides zusammen ist notwendig.

Die durchschnittlichen Wiederherstellungskosten nach Ransomware in der Schweiz liegen bei CHF 1.04 Millionen (Sophos/IT-Markt 2025). 54% der Schweizer Unternehmen zahlen Lösegeld.

Unsere präventive Härtung kostet ab CHF 390 — das entspricht 0.04% der durchschnittlichen Schadenskosten.

Eine verhinderte Ransomware-Anfrage rechtfertigt die Investition.

Rapid Header Fix (CHF 390):

• Nur Security Headers (Note F → A)
• Header-Optimierung auf Serverebene
• Ohne CMS-Login
• In unter 24 Stunden

Kanzlei-Härtung (CHF 790):

• Vollständige WordPress-Härtung inkl. Firewall
• Login-Verschleierung & Brute-Force-Schutz
• Professionelle Firewall-Konfiguration
• nDSG-Konformitäts-Check
• Schriftliches Audit-Protokoll

Für Kanzleien mit sensiblen Mandantendaten empfehlen wir die Kanzlei-Härtung.

Wenn Sie Schutz, Nachweise und Re-Audits nicht intern koordinieren wollen — ja.

Cyber-Mandat Pro (CHF 89/Monat) enthält:

• Monatlicher Compliance-Status für Partner und Inhaber
• Re-Audit der Security Headers und WordPress-Konfiguration
• Nachweisarchiv und exportierbare Reports
• Vorfall- und Maßnahmenjournal
• Domain-Reputation & Blacklist-Monitoring

Das entspricht weniger als einem Arbeitstag pro Jahr für Status, Nachweise und Re-Audits — und gibt Ihnen rechtssichere Nachweise für das nDSG.

Das nDSG sieht Bussen bis CHF 250'000 für verantwortliche natürliche Personen vor (Art. 60ff. nDSG).

Bei Verletzung der beruflichen Schweigepflicht (Art. 62 nDSG) drohen ebenfalls Bussen bis CHF 250'000 — besonders relevant für:

• Anwälte (Anwaltsgeheimnis nach Art. 321 StGB)
• Ärzte (Patientengeheimnis)
• Notare (Notariatsgeheimnis)

Art. 8 nDSG verlangt technische Schutzmaßnahmen für Personendaten:

• Zugriffskontrollen und Authentifizierung
• Verschlüsselung und Pseudonymisierung
• Datensicherung und Wiederherstellung
• IT-Sicherheitskonzept und Incident-Response

Fehlende Security Headers können als Organisationsmangel gewertet werden — mit entsprechenden Konsequenzen bei Datenschutzverletzungen.

Das nDSG unterscheidet nicht nach Unternehmensgröße. Auch kleine Kanzleien müssen:

• Nachweise über getroffene Schutzmaßnahmen erbringen
• Bei Datenschutzverletzungen die Aufsichtsbehörde informieren
• Rechtssichere Dokumentation führen

Cyber-Mandat Pro macht diese Nachweispflichten einfach und automatisiert — ohne dass Sie IT-Experte sein müssen.

Nach der Umsetzung können Sie das Ergebnis selbst prüfen:

1. Gehen Sie zu securityheaders.com
2. Geben Sie Ihre Webseiten-URL ein
3. Sie sollten Note A sehen

Zusätzlich erhalten Sie von uns ein schriftliches Audit-Protokoll mit allen implementierten Maßnahmen — ideal für Ihre nDSG-Dokumentation.

Bei einem Hosting-Wechsel bleiben die Security Headers in der Regel nicht automatisch erhalten — sie sind serverseitig konfiguriert.

Nach einem Hosting-Wechsel empfehlen wir:

1. Prüfung auf securityheaders.com
2. Bei Bedarf: Erneute Header-Optimierung

Cyber-Mandat Pro Kunden werden automatisch benachrichtigt, wenn ihre Seite nicht mehr Note A ist.

Ja. Als Betreiberin oder Betreiber einer Webseite sind Sie verantwortlich für den Datenschutz — unabhängig davon, wer WordPress installiert hat.

Das nDSG kennt keine Ausnahme für "Ich wusste nicht, wie meine Webseite konfiguriert ist". Mit einer Härtung durch AidSec stellen Sie sicher, dass Sie Ihrer Sorgfaltspflicht nachgekommen sind.

Sofortmaßnahmen:

1. Website vom Netz trennen (Wartungsmodus)
2. Alle Passwörter ändern (CMS, FTP, Datenbank)
3. Hosting-Provider informieren
4. Forensische Analyse durchführen

Unsere Notfall-Intervention umfasst: Malware-Entfernung, Blacklist-Bereinigung, forensische Analyse und Backup-Wiederherstellung — alles zu einem Pauschalpreis von CHF 990.

Nach der Wiederherstellung empfehlen wir eine vollständige WordPress-Härtung, um weitere Angriffe zu verhindern.

Mindestens monatlich, besser wöchentlich. Veraltete WordPress-Installationen sind eine der häufigsten Angriffsvektoren.

Unsere Kanzlei-Härtung umfasst auch eine Update-Strategie:

• Automatische Plugin-Updates für Sicherheits-Patches
• Monitoring bei крупных Updates
• Test-Umgebung für größere Updates

Cyber-Mandat Pro Kunden werden bei kritischen Sicherheitsupdates benachrichtigt.

HTTPS = HTTP + Verschlüsselung (TLS/SSL). HTTPS schützt die Verbindung zwischen Browser und Server.

Warum reicht das nicht?

• SSL verhindert nur Abhören der Verbindung
• Es schützt nicht vor XSS, Clickjacking oder CSRF
• Ein Angreifer kann trotzdem bösartigen Code einschleusen

Security Headers (CSP, X-Frame-Options etc.) sind die notwendige Ergänzung zu HTTPS.

SPF (Sender Policy Framework): Legt fest, welche Server E-Mails für Ihre Domain senden dürfen.

DKIM (DomainKeys Identified Mail): Fügt eine digitale Signatur hinzu, die die Echtheit der E-Mail bestätigt.

DMARC: Kombiniert SPF und DKIM und legt fest, was bei fehlgeschlagenen Prüfungen passieren soll.

Alle drei sind notwendig für vollständigen E-Mail-Schutz und werden von Gerichten und Behörden zunehmend gefordert.

Oft liegt es an fehlender oder falscher E-Mail-Authentifizierung. Ohne SPF, DKIM und DMARC:

• E-Mails landen im Spam
• Manche Empfänger lehnen E-Mails komplett ab
• Spoofing möglich (jemand gibt sich als Sie aus)

Unsere E-Mail-Sicherheit (CHF 149) konfiguriert alle drei Protokolle korrekt.

Ohne Verschlüsselung: Ja. Unverschlüsselte E-Mails können auf jedem Knotenpunkt zwischen Absender und Empfänger gelesen werden.

Für Kanzleien und Praxen ist das besonders problematisch:

Wir empfehlen zusätzlich zu SPF/DKIM/DMARC auch Ende-zu-Ende-Verschlüsselung (PGP/S/MIME) für besonders sensitive Kommunikation.

Indirekt, ja. Das Anwaltsgeheimnis (Art. 321 StGB) schützt Kommunikation. Wenn Ihre Website gehackt wird und Angreifer Zugriff auf Mandantenlisten oder Fallinformationen erhalten, kann das als Verletzung der Sorgfaltspflicht gewertet werden.

Das nDSG verlangt zudem technische Schutzmaßnahmen (Art. 8). Security Headers sind ein wichtiger Teil davon — sie verhindern, dass Angreifer Code in Ihre Seite einschleusen können.

Notare unterliegen besonderen Verschwiegenheitspflichten. Für Ihre Website bedeutet das:

• Zusätzlicher Schutz vor Injection-Angriffen
• Sichere Formulare für Mandantenanfragen
• Keine Spuren von Mandantendaten in Logfiles
• nDSG-konforme Datenspeicherung

Unsere Kanzlei-Härtung ist speziell auf solche Anforderungen ausgelegt.

Ja, dringend empfohlen. Aber präventiver Schutz ist besser als Versicherung:

• Prävention kostet einen Bruchteil der Versicherungsprämie
• Eine gehackte Kanzlei verliert Reputation und Mandanten
• Wiederherstellung kostet immer mehr als Prävention

Unsere Cyber-Mandat Pro liefert Ihnen auch den notwendigen Nachweis für Ihre Versicherung, dass Sie angemessene Schutzmaßnahmen getroffen haben.