Web Security Guide — Ihre Website Schritt für Schritt absichern
18 Kapitel, 528+ Seiten, 28 Technologien in 5 Kategorien, copy-paste-fertige Code-Beispiele. Von Content Security Policy bis Compliance-Dokumentation — alles was Sie brauchen, um Ihre Website nach dem Stand der Technik abzusichern. Geprüft mit dem Wolf-Agents Web Security Scanner (166 Prüfpunkte, Noten A+ bis F).
Warum Web Security kein optionales Extra mehr ist
Security Headers sind der erste Verteidigungsring Ihrer Webanwendung. Sie wirken direkt im Browser des Besuchers — noch bevor Ihr Anwendungscode überhaupt ausgeführt wird. Eine korrekt konfigurierte Content Security Policy verhindert XSS-Angriffe, HSTS erzwingt verschlüsselte Verbindungen, und Subresource Integrity schützt vor Supply-Chain-Angriffen wie dem Polyfill.io-Vorfall.
Gleichzeitig steigen die regulatorischen Anforderungen: Das NIS2-Umsetzungsgesetz fordert in Maßnahme (e) die Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen. PCI DSS 4.0.1 verlangt seit März 2025 ein Script-Inventar für Payment-Seiten. Security Headers liefern dafür prüfbare, technische Nachweise.
Dieser Guide deckt alle 18 Kapitel des Wolf-Agents Web Security Checks ab — mit 166 Prüfpunkten, Noten von A+ bis F und Stack-spezifischen Anleitungen zum sofortigen Umsetzen. Über 528 Seiten in 28 Technologie-Varianten liefern copy-paste-fertige Konfigurationen. Starten Sie mit dem kostenlosen Wolf-Agents Web Security Scanner, um zu sehen, wo Ihre Website steht.
Regulatorischer Rahmen: NIS2 Art. 21 Abs. 2 fordert in zehn Maßnahmenkategorien Cybersicherheit nach dem „Stand der Technik". Security Headers adressieren insbesondere Maßnahme (e) Sicherheit bei Entwicklung und Wartung, (h) Kryptografie und (j) Sicherheit der Kommunikation. Die Compliance-Übersicht zeigt die vollständige Zuordnung zu NIS2, PCI DSS 4.0, DSGVO Art. 32 und BSI IT-Grundschutz.
18 Kapitel — von Architektur bis Compliance
Jedes Kapitel erklärt ein Sicherheitsthema, warum es wichtig ist und wie Sie es implementieren. Die Punkte zeigen den Einfluss auf Ihre Web Security Note.
Implementierungs-Architektur
Die optimale Reihenfolge und Strategie für Ihre Security-Header-Implementierung.
Content Security Policy (CSP)
Der wichtigste Schutz gegen XSS-Angriffe — kontrolliert welche Ressourcen der Browser laden darf.
HSTS
Erzwingt HTTPS-Verbindungen und verhindert SSL-Stripping-Angriffe.
Sichere Cookies
HttpOnly, Secure, SameSite und __Host-Prefix für Session-Schutz.
Permissions Policy
Kontrolliert Browser-APIs wie Kamera, Mikrofon und Geolocation.
Clickjacking-Schutz
X-Frame-Options und frame-ancestors verhindern das Einbetten Ihrer Seite in fremde Frames.
Referrer-Policy
Kontrolliert welche Referrer-Informationen bei Navigation weitergegeben werden.
X-Content-Type-Options
Verhindert MIME-Sniffing — der Browser respektiert den deklarierten Content-Type.
Cross-Origin Headers
CORP, COEP und COOP isolieren Ihre Website gegen Spectre und Seitenkanal-Angriffe.
Subresource Integrity
Hash-Prüfung für externe Scripts — verhindert Supply-Chain-Angriffe wie Polyfill.io.
security.txt
Standardisierte Kontaktinformationen für verantwortungsvolle Schwachstellen-Meldung.
DNS-Sicherheit
DNSSEC validiert DNS-Antworten, CAA Records schützen vor Fehlausstellungen.
TLS & Zertifikate
TLS 1.3, Certificate Transparency und korrekte Zertifikatsketten.
Cache-Control
Sicherheitsrelevante Cache-Direktiven verhindern das Speichern sensibler Daten.
Reporting API
Report-To und NEL liefern automatisierte Berichte über Sicherheitsverstöße und Netzwerkfehler.
Clear-Site-Data
Löscht Cookies, Cache und Storage beim Logout — verhindert Session-Überbleibsel.
Weitere Header
Origin-Agent-Cluster, COEP Credentialless und experimentelle Sicherheits-Header.
Compliance-Übersicht
NIS2, PCI DSS, DSGVO und BSI IT-Grundschutz — welche Header welche Anforderung erfüllen.
Anleitungen nach Technologie
28 Technologien in 5 Kategorien — von Webservern über CMS und Frameworks bis zu Hosting-Anbietern und CDNs. Wählen Sie Ihre Technologie für eine Übersicht aller verfügbaren Security-Header-Anleitungen.
Webserver
Direkte HTTP-Header-Kontrolle auf Server-Ebene
Nginx
Webserver #1 — optimale Header-Kontrolle über nginx.conf
Alle Anleitungen →Apache
.htaccess und mod_headers Konfiguration
Alle Anleitungen →LiteSpeed
Apache-kompatibel mit Web Admin Console und LSCache
Alle Anleitungen →Caddy
Caddyfile Header-Direktiven
Alle Anleitungen →IIS
web.config XML, IIS Manager und PowerShell
Alle Anleitungen →CMS & Shop-Systeme
Plugin-basiert oder über CMS-eigene Konfiguration
WordPress
functions.php, Plugins und Theme-Integration
Alle Anleitungen →TYPO3
TYPO3 v12/v13 — natives csp.yaml, TypoScript und Extension-Management
Alle Anleitungen →Drupal
Security Kit Modul (seckit), EventSubscriber und .htaccess-Fallback
Alle Anleitungen →Joomla
Eingebautes HTTP Headers Plugin mit GUI-Konfiguration
Alle Anleitungen →Contao
Natives CSP-Framework (5.3+), Twig-Templates und CspHandler
Alle Anleitungen →Shopware
Natives CSP-System, shopware.yaml und Payment-Provider-Integration
Alle Anleitungen →Frameworks & Sprachen
Middleware, Config-Dateien und Code-basierte Header
Next.js
next.config.js, Middleware und Server Components
Alle Anleitungen →Nuxt
nuxt-security Modul, routeRules und Nitro Server Middleware
Alle Anleitungen →Express
helmet.js und Custom Middleware
Alle Anleitungen →Laravel
Middleware, spatie/laravel-csp und config/session.php
Alle Anleitungen →Spring Boot
Spring Security 6.x SecurityFilterChain und Thymeleaf-Nonces
Alle Anleitungen →PHP
header(), auto_prepend_file und PSR-15 Middleware
Alle Anleitungen →Astro
Middleware (SSR), Hosting-Config (SSG) und Hybrid-Modus
Alle Anleitungen →Hosting-Anbieter
.htaccess, Kundenbereich oder Hosting-spezifische Tools
Hetzner
Hetzner Cloud und Dedicated — nginx/Apache auf eigenem Server
Alle Anleitungen →IONOS
Shared Hosting (.htaccess), WordPress Hosting und vServer/Cloud
Alle Anleitungen →Strato
Shared Hosting, V-Server — .htaccess und Strato-Kundenbereich
Alle Anleitungen →All-Inkl
.htaccess mit mod_headers — alle Tarife, KAS-Konfiguration
Alle Anleitungen →Shopify
Limitierte Header-Kontrolle — Cloudflare O2O als Lösung
Alle Anleitungen →CDN & Edge-Plattformen
Edge Rules, Response Policies und Deployment-Config
Cloudflare
Transform Rules und Cloudflare Workers
Alle Anleitungen →Vercel
vercel.json headers, Edge Middleware und Framework-Integration
Alle Anleitungen →Netlify
_headers, netlify.toml und Deno Edge Functions
Alle Anleitungen →AWS CloudFront
Response Headers Policy, Lambda@Edge und CloudFront Functions
Alle Anleitungen →Bunny CDN
Edge Rules, Bunny API und Perma-Cache Konfiguration
Alle Anleitungen →In 3 Schritten zur sicheren Website
Scannen
Der kostenlose Web Security Check analysiert Ihre Website in Sekunden. 166 Prüfpunkte, 8 Noten von A+ bis F — Sie sehen sofort, wo Sie stehen und wo Handlungsbedarf besteht.
Verstehen
Jedes Kapitel erklärt das „Warum" hinter jedem Security Header. Keine Black-Box-Empfehlungen — Sie verstehen die Bedrohung, die Lösung und die Konfigurationsoptionen.
Kostenlos nutzen — oder mit Monitoring absichern
Kostenlos
- Alle 18 Kapitel lesen
- Stack-spezifische Anleitungen
- Web Security Check unbegrenzt nutzen
- Code-Beispiele kopieren
Mit Abo
ab 199 EUR/Mo- Alles aus Kostenlos
- Automatisches Monitoring alle 6 Stunden
- Score-Historien und Trend-Analysen
- Wöchentlicher Digest per E-Mail
Wie sicher ist Ihre Website?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Was sind Security Headers?
Security Headers sind HTTP-Antwort-Header, die dem Browser Sicherheitsrichtlinien mitteilen — z.B. welche Scripts geladen werden dürfen (CSP), ob HTTPS erzwungen wird (HSTS) oder ob die Seite eingebettet werden darf (X-Frame-Options). Sie sind die erste Verteidigungslinie gegen XSS, Clickjacking und andere Browser-basierte Angriffe.
Welche Security Headers brauche ich?
Mindestens: Content-Security-Policy, Strict-Transport-Security (HSTS), X-Content-Type-Options, X-Frame-Options und Referrer-Policy. Für maximale Sicherheit zusätzlich: Permissions-Policy, Cross-Origin Headers (CORP/COEP/COOP) und Subresource Integrity. Der Wolf-Agents Web Security Check prüft alle relevanten Header mit 166 Prüfpunkten.
Kann ich Security Headers ohne Programmierkenntnisse einrichten?
Ja, für die meisten Webserver und Hoster genügt eine Konfigurationsdatei. Bei Apache reicht eine .htaccess-Datei, bei Nginx eine Zeile in der nginx.conf. Unsere Stack-spezifischen Anleitungen liefern copy-paste-fertige Konfigurationen für jeden Schritt.
Wie teste ich meine Security Headers?
Mit dem kostenlosen Wolf-Agents Web Security Check. Er prüft 166 Punkte in 8 Kategorien und gibt für jeden Header eine Note von A+ bis F. Sie erhalten konkrete Verbesserungsvorschläge und können den Scan beliebig oft wiederholen.
Was passiert wenn ich keine Security Headers habe?
Ohne Security Headers ist Ihre Website anfällig für XSS-Angriffe, Clickjacking, MIME-Sniffing und SSL-Stripping. Angreifer können beliebigen Code im Browser Ihrer Besucher ausführen, Sessions stehlen oder Phishing-Overlays einblenden. Zudem fehlt ein nachweisbarer Compliance-Baustein für NIS2, PCI DSS und DSGVO.
Sind Security Headers für SEO relevant?
Indirekt ja. Google bevorzugt sichere Websites (HTTPS ist Ranking-Signal seit 2014). Security Headers verhindern Website-Defacement und Malware-Injection, die zu Google Safe Browsing-Warnungen führen können. Eine kompromittierte Website verliert organischen Traffic innerhalb von Stunden.
Wie lange dauert die Implementierung?
Für einen einzelnen Header wie HSTS: unter 5 Minuten. Für eine vollständige Security-Header-Konfiguration: 30-60 Minuten bei einfachen Setups, 2-4 Stunden bei komplexen Anwendungen mit vielen Drittanbieter-Scripts. Beginnen Sie immer mit den einfachen Headern und arbeiten Sie sich zu CSP vor.