Kurz erklärt
Content Security Policy (CSP) funktioniert wie eine Gästeliste für Ihre Website: CSP definiert über einen HTTP-Header, welche externen Ressourcen – Skripte, Bilder, Schriftarten, Verbindungen – geladen werden dürfen. Alles, was nicht auf dieser Whitelist steht, wird vom Browser blockiert.
Warum CSP kritisch ist
81% der deutschen Unternehmen waren 2024 von Cyberangriffen betroffen. Der durchschnittliche Schaden eines Datenlecks beträgt in Deutschland 5,31 Millionen Euro. CSP schützt vor der häufigsten Angriffsmethode: Cross-Site-Scripting (XSS).
Ohne CSP können Angreifer sensible Daten abgreifen: Kundendaten bei Dienstleistern, Patientendaten bei Ärzten, Kreditkartendaten bei Online-Shops. Die Folgen reichen von DSGVO-Bußgeldern bis 20 Millionen Euro über Reputationsverlust bis zur persönlichen Haftung der Geschäftsführung.
Die wichtigsten CSP-Direktiven
Fetch-Direktiven kontrollieren, woher Ressourcen geladen werden:
default-src 'self' – Fallback: nur eigene Domainscript-src 'nonce-{random}' 'strict-dynamic' – JavaScript mit Nonce-Tokenstyle-src 'self' – CSS nur von eigener Domainimg-src 'self' data: https: – Bilder von eigener Domain und HTTPS-Quellenconnect-src 'self' – AJAX/WebSocket nur zur eigenen Domainobject-src 'none' – Flash & Plugins komplett blockieren
Dokument-Direktiven schützen die Seitenstruktur:
frame-ancestors 'self' – Clickjacking-Schutzbase-uri 'self' – verhindert Base-Tag-Hijackingform-action 'self' – kontrolliert Formular-Ziele
Moderne CSP-Implementierung
Nonces sind die empfohlene Methode für Inline-Skripte:
<script nonce="abc123def456">console.log("Erlaubt");</script>
Der CSP-Header enthält: script-src 'nonce-abc123def456'
'strict-dynamic' ist das Herzstück moderner CSP-Policies: Skripte, die von einem vertrauenswürdigen (ge-nonce-ten) Skript geladen werden, erben das Vertrauen. Das macht komplexe Whitelist-Konfigurationen überflüssig.
Nächste Schritte
- CSP-Header in Webserver-Konfiguration (Apache, nginx) oder Edge-Service (Cloudflare) einfügen
- Mit
Content-Security-Policy-Report-Only im Monitoring-Modus testen
- CSP-Reports analysieren und Policy schrittweise verschärfen
- Auf
'unsafe-inline' und 'unsafe-eval' verzichten – diese machen CSP wirkungslos