Chromium-basierte Browser markieren HTTP-Seiten seit 2018 als unsicher. Aber 2026 reicht HTTPS alleine nicht mehr. auch wenn 74 % der DACH-KMU denken: „SSL = fertig“. Ohne zusätzliche Security-Header bleibt eine Website offen für eine ganze Klasse von Angriffen, die SSL gar nicht abdecken kann.
Was SSL/TLS 2026 wirklich bedeutet
TLS 1.3 ist heute Standard, TLS 1.0 und 1.1 gelten seit Jahren als veraltet und werden von modernen Browsern aktiv blockiert. Let's Encrypt hat SSL-Zertifikate gratis gemacht. die technische und finanzielle Hürde ist damit weg. Jeder seriöse Hosting-Anbieter bietet inzwischen automatische SSL-Erneuerung. Wer 2026 noch ohne HTTPS unterwegs ist, hat ein aktives Problem, keine Technikfrage mehr.
Security Headers. das vergessene Sicherheitsnetz
Security-Header sind HTTP-Antwort-Header, die dem Browser sagen, wie er mit der Website umgehen soll. Sie schützen nicht die Verbindung (das macht SSL), sondern das Verhalten im Browser. Fünf Header gelten 2026 als Minimum. und fast niemand hat sie alle korrekt gesetzt.
Strict-Transport-Security (HSTS)
HSTS zwingt Browser, Ihre Domain auch bei zukünftigen Besuchen ausschließlich über HTTPS aufzurufen. selbst wenn ein Nutzer „http://“ eintippt. Das verhindert SSL-Stripping-Angriffe in offenen WLANs. Typische Konfiguration: `max-age=31536000; includeSubDomains`. Einmal gesetzt, merkt sich der Browser das ein Jahr lang.
Content-Security-Policy (CSP)
CSP ist der wichtigste Security-Header überhaupt. Er schützt vor Cross-Site-Scripting (XSS) und Code-Injection. Die Policy definiert, welche Skripte, Styles, Images und Fonts aus welchen Quellen geladen werden dürfen. Einschleusung von Schadcode durch Kommentarfelder, Formulare oder kompromittierte Dritt-Skripte wird dadurch im Browser blockiert. noch bevor der Code überhaupt ausgeführt werden kann.
X-Frame-Options / CSP frame-ancestors
Dieser Header verhindert Clickjacking: Ihre Website wird von einem Angreifer in einem unsichtbaren iFrame geladen, und der User klickt auf scheinbar andere Buttons, während er unbewusst Aktionen auf Ihrer Seite auslöst. Mit `X-Frame-Options: DENY` oder `frame-ancestors 'self'` in der CSP wird das Einbetten verboten.
X-Content-Type-Options: nosniff
Verhindert MIME-Type-Sniffing. Ohne diesen Header versucht der Browser zu erraten, was für ein Dateityp vorliegt. was Angreifer ausnutzen, um z.B. Bilder mit JavaScript-Code zu tarnen und bei Upload-Funktionen als Skript ausführen zu lassen. Ein Einzeiler, der eine ganze Angriffsklasse schließt.
Referrer-Policy
Kontrolliert, welche Referrer-Informationen beim Weiterklicken an externe Seiten geleakt werden. DSGVO-relevant, wenn Nutzer-URLs sensible Daten enthalten (z.B. Session-Tokens in URLs, Suchbegriffe, personenbezogene Pfade). Empfehlung: `strict-origin-when-cross-origin`. teilt nur die Domain, nie den vollen Pfad.
Warum das wichtig ist. die Angriffe 2026
Die konkreten Angriffe, die 2026 gegen schlecht konfigurierte Websites laufen, sind keine Theorie. Sie passieren täglich. automatisiert, gegen jede Website, die ein Scanner findet.
- Cross-Site-Scripting (XSS) bleibt Top-3 OWASP-Risiko. CSP ist die wirksamste Gegenmaßnahme
- Clickjacking über iFrame-Attacks auf Login-Seiten und Zahlungsformulare
- Session-Hijacking bei Cookies ohne Secure- und HttpOnly-Flag
- Credential-Stuffing-Angriffe, bei denen geleakte Passwörter massenhaft durchprobiert werden
- Supply-Chain-Attacks auf kompromittierte CDNs und Drittanbieter-Skripte
DSGVO Art. 32. was das Gesetz fordert
DSGVO Artikel 32 verlangt „angemessene technische und organisatorische Maßnahmen“ zur Datensicherheit. Deutsche und österreichische Gerichte haben in mehreren Urteilen bestätigt, dass HTTPS plus grundlegende Security-Header inzwischen als Mindeststandard gelten. Wer sie nicht hat, steht bei einer Datenpanne wesentlich schlechter da. die Haftung verlagert sich dann deutlich in Richtung Betreiber, weil „Stand der Technik“ nicht erfüllt war.
Wie prüfe ich meine Website?
Ein schneller Check dauert keine zwei Minuten. Unser kostenloses Tool unter `/tools/ssl-check` prüft TLS-Version, Zertifikatsgültigkeit und alle fünf relevanten Security-Header auf einen Blick und erklärt in Klartext, was fehlt. Alternativen: SSL Labs Test (ssllabs.com) für tiefgehende TLS-Analyse, securityheaders.com für reine Header-Analyse mit A–F-Bewertung.
Setup. was wirklich aufwändig ist und was nicht
Der Aufwand wird oft massiv überschätzt. Vier von fünf Headern sind Einzeiler in der Server-Konfiguration. Nur CSP braucht echtes Testing, weil es bestehende Skripte blockieren kann, wenn Quellen nicht sauber whitelisted sind.
- SSL-Zertifikat: 5 Minuten über das Hosting-Panel (Let's Encrypt, meist 1-Klick)
- HSTS: 1 Minute. eine Zeile in der Server-Konfiguration
- X-Frame-Options: 1 Minute. eine Zeile
- X-Content-Type-Options: 1 Minute. eine Zeile
- Referrer-Policy: 1 Minute. eine Zeile
- CSP: 30 Minuten bis 2 Stunden. braucht Testing mit Report-Only-Modus, bis alle legitimen Quellen erfasst sind
Der häufigste Fehler
SSL wird installiert, Haken gesetzt, nie wieder angeschaut. Aber SSL-Zertifikate laufen ab: bei Let's Encrypt alle 90 Tage, bei kommerziellen Anbietern meist nach einem Jahr. Ohne konfiguriertes Auto-Renewal geht die Website eines Morgens einfach nicht mehr. und der Browser zeigt den großen roten Sicherheitswarnbildschirm. Zweiter häufiger Fehler: HTTPS aktiviert, aber HTTP-Version läuft parallel weiter, ohne Redirect. Damit ist der Schutz nur kosmetisch.
Unser Tipp: Einmal sauber aufsetzen, Monitoring auf Zertifikatsablauf und Header-Integrität einrichten, und das Thema ist für Jahre erledigt. Wer unsicher ist, ob die eigene Konfiguration sitzt, startet mit dem SSL-Check. in zwei Minuten steht das Ergebnis schwarz auf weiß.
Häufige Fragen
- Brauche ich wirklich alle Security-Header?
- Ja. aber nicht alle auf einmal. HSTS, X-Frame-Options, X-Content-Type-Options und Referrer-Policy sind jeweils Einzeiler ohne Nebenwirkungen und sollten sofort gesetzt werden. CSP ist aufwändiger, aber der wichtigste Schutz vor XSS. Wer die ersten vier hat und CSP fehlt, hat bereits deutlich mehr Sicherheit als 80 % der Konkurrenz.
- Kann CSP meine Website kaputtmachen?
- Wenn zu restriktiv konfiguriert: ja. Skripte, Styles oder Fonts aus nicht gewhitelisteten Quellen werden dann blockiert. Website kann visuell brechen oder Funktionen (Analytics, Chat-Widgets) ausfallen. Lösung: CSP zuerst im `Content-Security-Policy-Report-Only`-Modus testen. Der meldet Verstöße, blockiert aber nichts. Nach ein bis zwei Wochen Testlauf kennt man alle legitimen Quellen und kann scharf schalten.
- Wie oft muss ein SSL-Zertifikat erneuert werden?
- Let's Encrypt: alle 90 Tage, aber fast immer automatisch. Kommerzielle Zertifikate (DigiCert, Sectigo etc.): typischerweise 1 Jahr. Seit 2020 erlauben Browser keine Laufzeiten über 398 Tage mehr. In der Praxis: einmal Auto-Renewal beim Hoster aktivieren, dann läuft es. Trotzdem einen Kalender-Reminder setzen, damit bei Fehlern Zeit zum Reagieren bleibt.
- Ist Let's Encrypt gut genug für ein Business?
- Ja, technisch vollwertig. Let's Encrypt-Zertifikate bieten identische Verschlüsselung wie kommerzielle Zertifikate und werden von allen Browsern als gleichwertig akzeptiert. Kommerzielle Anbieter lohnen sich nur in Sonderfällen: Extended-Validation-Zertifikate (EV) mit Firmennamen-Anzeige (inzwischen optisch kaum noch sichtbar), Wildcard-Zertifikate mit längerer Laufzeit oder Support-SLAs für Hochverfügbarkeits-Setups.