Security Headers Note F: Ursachen, Risiken und wie Sie auf Note A kommen

Auf SecurityHeaders.com kann jeder die HTTP-Sicherheitskonfiguration einer Webseite prüfen – in Sekunden und kostenlos. Das Ergebnis ist eine Note von A+ bis F. Die meisten Kanzlei-Webseiten erhalten Note F, ohne dass die Inhaber davon wissen.

Was sind Security Headers?

Security Headers sind Anweisungen, die Ihr Webserver bei jedem Seitenaufruf an den Browser sendet. Sie legen fest, welche Inhalte geladen werden dürfen und welche nicht. Fehlen diese Anweisungen, steht der Browser ohne Schutzregeln da.

Die wichtigsten Header im Überblick:

• HSTS (Strict-Transport-Security) – erzwingt verschlüsselte Verbindungen über HTTPS.
• CSP (Content-Security-Policy) – verhindert das Nachladen schädlicher Skripte von fremden Quellen.
• X-Frame-Options – schützt vor Clickjacking, bei dem Ihre Seite unsichtbar in eine fremde Seite eingebettet wird.
• X-Content-Type-Options – verhindert, dass Browser Dateitypen falsch interpretieren.
• Referrer-Policy – kontrolliert, welche Informationen beim Verlassen Ihrer Seite weitergegeben werden.
• Permissions-Policy – deaktiviert Zugriffe auf Kamera, Mikrofon und Standort, wenn diese nicht benötigt werden.

Warum haben die meisten Kanzlei-Webseiten Note F?

WordPress, Joomla und vergleichbare CMS setzen keine Security Headers von sich aus. Hosting-Anbieter konfigurieren sie ebenfalls nicht standardmässig. Und die meisten Webagenturen kümmern sich um Design und Inhalte – nicht um Serverkonfiguration.

Das Ergebnis: Ihre Webseite funktioniert einwandfrei und sieht professionell aus. Aber im Hintergrund fehlt eine ganze Schutzschicht. Das fällt erst auf, wenn jemand den Test auf SecurityHeaders.com durchführt – oder wenn ein Angreifer die Schwachstelle ausnutzt.

Welche Risiken birgt Note F?

Fehlende Security Headers öffnen konkrete Angriffswege:

• Clickjacking: Angreifer betten Ihre Seite in einen unsichtbaren Rahmen ein und fangen Klicks ab.
• Cross-Site Scripting (XSS): Schädlicher Code wird in Ihre Webseite eingeschleust und im Browser Ihrer Besucher ausgeführt.
• Man-in-the-Middle-Angriffe: Ohne HSTS kann die Verbindung auf unverschlüsseltes HTTP herabgestuft werden.
• Datenabfluss: Unkontrollierte Referrer-Informationen verraten interne URL-Strukturen und Sitzungsdaten.
• Reputationsschaden: Mandanten und Partner, die den Test kennen, sehen sofort: Diese Kanzlei nimmt IT-Sicherheit nicht ernst.
• nDSG-Risiko: Fehlende technische Schutzmassnahmen können als Verstoss gegen die Sorgfaltspflicht gewertet werden.

Von Note F zu Note A in unter 24 Stunden

AidSec bietet mit dem Rapid Header Fix einen standardisierten Prozess, der zuverlässig funktioniert:

1. Analyse: Wir prüfen Ihre aktuelle Konfiguration und identifizieren fehlende Header.
2. Implementierung: Die Header werden direkt auf Serverebene gesetzt – kein CMS-Login, kein Plugin, kein Risiko für Ihre Inhalte.
3. Verifikation: Nach der Umsetzung testen wir das Ergebnis auf SecurityHeaders.com und dokumentieren Note A.
4. Dokumentation: Sie erhalten einen Vorher-Nachher-Bericht als Nachweis für Ihre nDSG-Dokumentation.

Während des gesamten Prozesses gibt es keine Ausfallzeit. Ihre Webseite bleibt durchgehend erreichbar. Das Ergebnis ist öffentlich überprüfbar – jeder kann es auf SecurityHeaders.com selbst verifizieren.

Fazit

Note F ist kein kosmetisches Problem. Es ist eine messbare Sicherheitslücke, die automatisierte Scanner als Einladung lesen. Die gute Nachricht: Die Behebung dauert weniger als 24 Stunden und beginnt ab CHF 490. Kein technisches Vorwissen nötig, kein Zugriff auf Mandantendaten erforderlich.

← Zurück zur Übersicht