Exzellent

Excellence-Bonus (max. 66)

Wolf-Agents Score

Analysierte Website

megavideo.dev

93.241.220.38

Let's Encrypt Läuft in 5 Tagen ab

2/2

CT-Logs 2 SCTs

CAA 1 Issuer

3/3

DNSSEC Validiert

2/2

SRI Self-Hosted

✓

PCI-DSS 4.0.1 Req. 6.4.3

✓

Was bedeuten diese Werte?

SSL/TLS-Verschlüsselung TLSv1.3

Das Zertifikat läuft in 5 Tagen ab. Erneuern Sie es umgehend.

Certificate Transparency (CT) 2 SCTs

Dieses Zertifikat ist in öffentlichen CT-Logs registriert. Jede Zertifikatsausstellung ist transparent nachvollziehbar und Missbrauch kann erkannt werden.

WAF/CDN Nicht erkannt

Keine WAF oder CDN erkannt. Eine Web Application Firewall schützt vor Angriffen, ein CDN verbessert Performance und DDoS-Resistenz. Für öffentliche Websites empfohlen.

CAA (DNS CAA Records) 1 Issuer erlaubt

CAA Records beschränken, welche Zertifizierungsstellen (CAs) Zertifikate für diese Domain ausstellen dürfen. Erlaubt: letsencrypt.org

DNSSEC Validiert

DNSSEC schützt DNS-Antworten durch kryptografische Signaturen vor Manipulation. Angreifer können keine gefälschten DNS-Antworten einschleusen.

Subresource Integrity (SRI) Self-Hosted

Alle Ressourcen werden selbst gehostet — keine externen Abhängigkeiten, die kompromittiert werden könnten.

PCI-DSS 4.0.1 Compliance Req. 6.4.3 erfüllt

Die aktive Content Security Policy erfüllt PCI-DSS Requirement 6.4.3 (gültig ab März 2025). Dies ist relevant für Websites, die Zahlungsdaten verarbeiten.

Scan: 17.06.2026, 23:19 Uhr

Security Headers

CSP

HSTS

X-Frame

X-CTO

Referrer

Permissions

COOP

COEP

Weitere Abzüge −2 Punkte

Veraltete Header

X-XSS-Protection

Problem: Der X-XSS-Protection Header ist seit 2019 veraltet.

Risiko: Der XSS-Auditor wurde aus allen modernen Browsern entfernt, weil er selbst Sicherheitslücken verursachen konnte (XSS-Auditor-Bypass). Der Header hat keine Schutzwirkung mehr.

Lösung: Entfernen Sie diesen Header komplett. Nutzen Sie stattdessen eine Content-Security-Policy mit script-src Direktive.

Score-Berechnung

Security Headers 97/100

Weitere Abzüge −2

Basis-Score 95/100

Excellence-Bonus +56/66

Gesamt 151/166

Unser Scoring prüft 12 Sicherheitsaspekte statt nur 6 wie andere Tools – für eine umfassendere Analyse nach BSI-Grundschutz.

Vorbildliche Sicherheit mit Excellence-Bonus: Ihre Website setzt aktuelle Best Practices um und schützt Ihre Besucher optimal. Sie gehören zu den Top-Websites im Bereich Web-Security. Der Excellence-Bonus von +56 Punkten zeigt, dass Sie über den Standard hinausgehen.

Was bedeutet Ihre Note?

Note	Bedeutung	Handlungsbedarf
A+	Vorbildlich (Top 1%)	Monitoring beibehalten
A / A-	Professionell (Top 5%)	Feintuning möglich
B+ / B	Gute Basis	Optimierung empfohlen
C	Minimaler Schutz	Handeln Sie zeitnah
D / E / F	Kritisch	Sofortmaßnahmen erforderlich

Hinweis zu Subdomains

Subdomains wie shop.ihredomain.de oder blog.ihredomain.de sind technisch eigenständig. Die Sicherheitskonfiguration Ihrer Hauptdomain gilt dort nicht automatisch – jede Subdomain muss separat abgesichert werden.

Stand der Technik erfüllt

Ihre Website erfüllt die technischen Anforderungen nach Art. 32 DSGVO und BSI-Grundschutz.

Bei einem Sicherheitsvorfall können Sie nachweisen, dass angemessene technische Maßnahmen getroffen wurden.

Excellence-Bonus +66 Punkte möglich

+56/66

Content Security Policy

CSP strict-dynamic script-src 'strict-dynamic' verwenden

CSP Nonces Nonces für Inline-Scripts nutzen

CSP Hashes SHA-Hashes für Inline-Scripts

CSP default-src: none

CSP object-src: none

CSP base-uri eingeschränkt

CSP frame-ancestors

CSP form-action

CSP upgrade-insecure-requests

CSP Reporting (report-uri) report-uri Direktive für Violation-Reports

Modernes CSP-Reporting (report-to)

Trusted Types

HTTP Strict Transport Security

HSTS max-age >= 1 Jahr

HSTS includeSubDomains

HSTS preload Flag

HSTS Preload-Liste

HSTS Preload-Antrag ausstehend Preload-Antrag bei hstspreload.org eingereicht (wartet auf Aufnahme)

Cookie-Sicherheit

Alle Cookies Secure Secure-Flag für alle Cookies

Alle Cookies HttpOnly HttpOnly-Flag für alle Cookies

Alle Cookies SameSite=Strict SameSite=Strict für alle Cookies

Cookie __Host- Prefix __Host- Prefix für sichere Cookies

Datensparsamkeit (Keine Cookies)

Subresource Integrity

Alle CDN mit SRI integrity= für CDN-Ressourcen

Alle externen Ressourcen geschützt SRI für alle externen Scripts/Styles

Keine externen Abhängigkeiten

HTTPS-Redirects

Direkt HTTPS

Sauberer HTTP-zu-HTTPS Redirect

WWW-Normalisierung

Cross-Origin Headers

Cross-Origin-Opener-Policy

Cross-Origin-Embedder-Policy

CORP: same-origin

CORP: same-site Guter Schutz - Ressource nur von gleicher Site ladbar

CORP: cross-origin Nur mit COEP sinnvoll - erlaubt Einbettung von überall

Cross-Origin Isolated

Security Reporting

Report-To Header Zentrales Reporting-Endpoint konfiguriert

Network Error Logging

Reporting-Endpoints Header

Origin-Agent-Cluster

DNSSEC

DNSSEC Validiert

DNSSEC Aktiviert (teilweise) DNSSEC aktiviert, aber nicht vollständig validiert

CAA iodef-Reporting

SSL/TLS-Verschlüsselung

TLS 1.3

Cache-Control (BSI)

Cache-Control Header

no-store Direktive

private Direktive

must-revalidate Direktive

OWASP-konforme Konfiguration

Clear-Site-Data

Stateless Website (Ohne Login)

Clear-Site-Data Header Clear-Site-Data Header vorhanden (gut für Logout-Seiten)

Vollständige Clear-Site-Data Alle Direktiven: "cache", "cookies", "storage" oder "*"

security.txt (RFC 9116)

security.txt vorhanden

security.txt vollständig

+10 weitere Punkte möglich durch Implementierung der oben markierten Maßnahmen. Damit erreichen Sie Note A+!

✓ Vorhandene Sicherheitsheader

8Header aktiv

✓Content-Security-PolicyExzellent BSI BSI APP.3.1.A21

25/25 Punkte ⭐ +11/19 Bonus

XSS-Schutz durch Content Security Policy aktiv

default-src 'none'; form-action 'self'; script-src-elem 'self'; style-src-elem '...

✓ Bonus-Punkte (+11)

Modernes CSP-Reporting (report-to)+1
Trusted Types — DOM-XSS-Schutz aktiviert (verhindert 61% der DOM-XSS)+3
Strikteste Basis — alles explizit erlaubt+2
Flash/Java-Plugins blockiert+1
Base-Tag-Injection verhindert+1
Clickjacking-Schutz via CSP (ersetzt X-Frame-Options)+1
Formular-Ziele eingeschränkt — Phishing erschwert+1
HTTP-Ressourcen automatisch auf HTTPS umgeleitet+1

Nonces: Nein strict-dynamic: Nein unsafe-inline: Nein unsafe-eval: Nein

Was schützt dieser Header? ▼

Ihre Website kontrolliert, welcher Code ausgeführt werden darf. Nur explizit erlaubte Skripte können geladen werden — eingeschleuster Schadcode wird blockiert.

✓ Durch diese Konfiguration sind Sie geschützt vor:

Ein Angreifer findet eine Eingabelücke in Ihrem Kontaktformular oder Kommentarfeld
Er schleust ein unsichtbares JavaScript-Skript ein (z.B. über einen manipulierten Link)
Jeder Besucher Ihrer Website führt diesen Schadcode aus — ohne es zu bemerken

Auswirkung:429.000 Kunden betroffen, Kreditkartendaten gestohlen

Ihr Schutz:Eine strikte CSP hätte das eingeschleuste Skript blockiert

Strafe:20 Millionen Pfund DSGVO-Strafe

✓Strict-Transport-SecurityExzellent BSI BSI APP.3.1.A21

20/20 Punkte ⭐ +5/5 Bonus

HTTPS-Verschlüsselung wird erzwungen

max-age=63072000; includeSubDomains; preload

max-age: 730 Tage (2.0 Jahre) includeSubDomains: Ja preload: Ja

✓ In Browser-Preload-Liste eingetragen

✓ Bonus-Punkte (+5)

max-age >= 1 Jahr+1
includeSubDomains gesetzt+1
preload Flag gesetzt+1
In HSTS Preload-Liste eingetragen+2

Was schützt dieser Header? ▼

Browser kommunizieren ausschließlich verschlüsselt mit Ihrer Website. Selbst wenn ein Nutzer http:// eingibt, wird automatisch auf HTTPS umgeleitet — noch bevor die erste Anfrage gesendet wird.

✓ Durch diese Konfiguration sind Sie geschützt vor:

Ihr Kunde verbindet sich mit einem öffentlichen WLAN (Café, Hotel, Flughafen)
Ein Angreifer im gleichen Netzwerk fängt die erste HTTP-Anfrage ab
Er leitet Ihren Kunden auf eine HTTP-Version Ihrer Seite um

Auswirkung:Über 1 Million Downloads eines Tools, das in öffentlichen WLANs Session-Cookies stahl

Ihr Schutz:HSTS erzwingt HTTPS ab dem ersten Besuch — SSL-Stripping wird unmöglich

✓X-Frame-Options BSI BSI APP.3.1.A21

15/15 Punkte

Clickjacking-Schutz aktiv

DENY

Was schützt dieser Header? ▼

Ihre Website kann nicht in unsichtbaren Frames auf fremden Seiten eingebettet werden. Angreifer können Ihre Besucher nicht dazu bringen, unwissentlich Aktionen auf Ihrer Seite auszuführen.

✓ Durch diese Konfiguration sind Sie geschützt vor:

Ein Angreifer erstellt eine verlockende Webseite ("Gewinnspiel", "Gratis-Download")
Er lädt Ihre echte Website in einem unsichtbaren Frame darüber
Der Besucher sieht die Fake-Seite, klickt aber auf Elemente Ihrer echten Seite

Auswirkung:Millionen ungewollte "Likes" für Spam-Seiten

Ihr Schutz:X-Frame-Options: DENY verhindert jegliche Frame-Einbettung

✓X-Content-Type-Options BSI BSI APP.3.1.A21

10/10 Punkte

MIME-Sniffing-Schutz aktiv

nosniff

Was schützt dieser Header? ▼

Browser vertrauen dem Content-Type Ihrer Server-Antworten und raten nicht mehr. Eine als Bild getarnte JavaScript-Datei wird nicht mehr ausgeführt.

✓ Durch diese Konfiguration sind Sie geschützt vor:

Browser versuchen "hilfreich" zu sein und raten den Dateityp
Ein Angreifer lädt eine Datei hoch die aussieht wie ein Bild (bild.jpg)
In Wirklichkeit enthält die Datei JavaScript-Code

✓Referrer-Policy BSI BSI APP.3.1.A21

10/10 Punkte

URL-Weitergabe wird kontrolliert

no-referrer

Was schützt dieser Header? ▼

Wenn Besucher auf externe Links klicken, wird nur Ihre Domain übertragen, nicht der vollständige Pfad. Sensible URL-Parameter wie Session-IDs oder Kundennummern bleiben privat.

✓ Durch diese Konfiguration sind Sie geschützt vor:

Ein Besucher klickt auf einen externen Link auf Ihrer Seite
Der Browser sendet die vollständige Quell-URL mit (Referrer-Header)
URLs wie /kunden/max-mustermann/vertrag-123456 werden übertragen

✓Permissions-Policy BSI BSI APP.3.1.A21

7/10 Punkte

Browser-APIs werden eingeschränkt

geolocation=(), microphone=(), camera=()

Was schützt dieser Header? ▼

Eingebettete Inhalte (Werbung, Widgets, iFrames) können keine sensiblen Browser-Funktionen nutzen. Kamera, Mikrofon und Standort sind nur für Ihre eigene Domain erlaubt.

✓ Durch diese Konfiguration sind Sie geschützt vor:

Moderne Browser haben mächtige APIs: Kamera, Mikrofon, Standort
Jedes eingebettete Element (Werbung, Widgets) kann diese anfordern
Ein kompromittiertes Werbebanner könnte Kamera-Zugriff verlangen

✓Cross-Origin-Opener-Policy BSI BSI APP.3.1.A21

5/5 Punkte ⭐ +2/2 Bonus

Cross-Origin-Isolation aktiv

same-origin

Was schützt dieser Header? ▼

Ihre Website ist von anderen Browser-Tabs isoliert. Spectre-ähnliche Seitenkanalangriffe, die Daten aus anderen Tabs auslesen könnten, werden verhindert.

✓ Durch diese Konfiguration sind Sie geschützt vor:

Spectre-Angriffe (2018) nutzten CPU-Schwachstellen in allen modernen Prozessoren
Bösartige Websites können über Timing-Angriffe Daten aus anderen Tabs auslesen
Ohne COOP teilen sich Ihre Seite und andere Tabs den gleichen Browsing-Kontext

Auswirkung:Betraf alle modernen CPUs weltweit — Milliarden Geräte

Ihr Schutz:COOP isoliert Ihren Tab von fremden Ursprüngen — Datenexfiltration wird verhindert

✓Cross-Origin-Embedder-Policy BSI BSI APP.3.1.A21

5/5 Punkte ⭐ +1/1 Bonus

Eingebettete Ressourcen werden kontrolliert

require-corp

Was schützt dieser Header? ▼

Alle eingebetteten Ressourcen müssen explizit CORS-Header setzen. Dies verhindert unbeabsichtigte Datenexfiltration über Timing-Angriffe.

✓ Durch diese Konfiguration sind Sie geschützt vor:

Ihre Website bindet Bilder, Skripte oder iFrames von externen Quellen ein
Ohne COEP können diese Ressourcen für Timing-Angriffe missbraucht werden
Ein Angreifer misst, wie lange das Laden bestimmter Ressourcen dauert

Auswirkung:Ermöglichte das Auslesen von Speicher über präzise Timing-Messungen

Ihr Schutz:COEP stellt sicher, dass alle eingebetteten Ressourcen explizit CORS erlauben

Veraltete Header

1Header veraltet

⚠X-XSS-ProtectionVeraltet

-2 Punkte

0

Dieser Header ist seit 2019 veraltet und sollte entfernt werden

📖 Warum ist dieser Header problematisch? ▼

Problem

Der X-XSS-Protection Header ist seit 2019 veraltet.

Risiko

Der XSS-Auditor wurde aus allen modernen Browsern entfernt, weil er selbst Sicherheitslücken verursachen konnte (XSS-Auditor-Bypass). Der Header hat keine Schutzwirkung mehr.

Lösung

Entfernen Sie diesen Header komplett. Nutzen Sie stattdessen eine Content-Security-Policy mit script-src Direktive.

Entfernen Sie diesen Header aus Ihrer Serverkonfiguration.

Apache: Header unset X-XSS-Protection
nginx: # Zeile mit add_header X-XSS-Protection entfernen
Nutzen Sie stattdessen eine Content-Security-Policy

security.txt RFC 9116

Exzellent

Die security.txt zeigt Security-Researchern, wie sie Sicherheitslücken melden können.

Pflichtfelder (RFC 9116)

✓ Contact 2 Kontakte
✓ Expires 31.12.2026

Optionale Felder

✓ Encryption
✓ Canonical
✓ Languages de, en

security.txt anzeigen

Raw Headers

Alle HTTP-Response-Header der Website

Header	Wert
`HTTP/2 200`
`content-security-policy`	default-src 'none'; form-action 'self'; script-src-elem 'self'; style-src-elem 'self'; style-src-attr 'none'; manifest-src 'self'; media-src 'self'; base-uri 'self'; object-src 'none'; script-src 'self'; script-src-attr 'none'; style-src 'self'; img-src 'self' data:; child-src 'none'; worker-src 'none'; frame-src 'none'; font-src 'self' data:; connect-src 'self'; frame-ancestors 'none'; upgrade-insecure-requests; require-trusted-types-for 'script'; report-to csp-endpoint;
`cross-origin-embedder-policy`	require-corp
`cross-origin-opener-policy`	same-origin
`cross-origin-resource-policy`	same-origin
`permissions-policy`	geolocation=(), microphone=(), camera=()
`referrer-policy`	no-referrer
`strict-transport-security`	max-age=63072000; includeSubDomains; preload
`x-content-type-options`	nosniff
`x-frame-options`	DENY
`alt-svc`	h3=":443"; ma=86400
`cache-control`	no-store, private, must-revalidate
`content-encoding`	br
`content-length`	5769
`content-type`	text/html; charset=utf-8
`date`	Wed, 17 Jun 2026 23:19:24 GMT
`etag`	"6a332202-1689"
`last-modified`	Wed, 17 Jun 2026 22:38:58 GMT
`nel`	{ "report_to": "default", "max_age": 86400, "success_fraction": 0, "failure_fraction": 0.01 }
`origin-agent-cluster`	?1
`reporting-endpoints`	default="https://megavideo.dev/.well-known/reports/default", csp-endpoint="https://megavideo.dev/.well-known/reports/csp", nel-endpoint="https://megavideo.dev/.well-known/reports/nel"
`vary`	Accept-Encoding
`x-permitted-cross-domain-policies`	none
`x-waf`	ModSecurity; blocking
`x-xss-protection`	0

Vollständigen Report per E-Mail erhalten

Geben Sie Ihre E-Mail-Adresse ein, um den detaillierten Security-Report mit allen Handlungsempfehlungen zu erhalten.

Wir verwenden Ihre E-Mail nur für den Report. Datenschutz