Zum Inhalt springen
Sorrel
← Blog

05. Mai 2026 · Florian Wartner

HTTP-Security-Header: Website absichern und Art. 32 DSGVO erfüllen

HSTS, Content-Security-Policy und Co. schützen Ihre Besucher vor Angriffen und gehören zu den technischen Maßnahmen nach Art. 32 DSGVO. So setzen Sie die wichtigsten Sicherheits-Header Schritt für Schritt.

sicherheitsecurity-headertom

HTTP-Sicherheits-Header sind eine der günstigsten und wirksamsten Schutzmaßnahmen für eine Website: Der Server schickt dem Browser ein paar zusätzliche Anweisungen, und der setzt sie zum Schutz der Besucher um. Datenschutzrechtlich zählen sie zu den technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO. Fehlen sie, ist das ein Indiz für unzureichende Sicherheit.

Warum Sicherheits-Header zur DSGVO gehören

Art. 32 DSGVO verlangt ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten. Ohne HSTS können Verbindungen unverschlüsselt abgegriffen werden, ohne Content-Security-Policy lassen sich fremde Skripte einschleusen, die Daten abziehen. Beides erhöht das Risiko einer Datenpanne.

Schritt 1: Verschlüsselung mit HSTS erzwingen

Setzen Sie Strict-Transport-Security, damit Browser ausschließlich über HTTPS verbinden. Beginnen Sie mit einer kurzen max-age und erhöhen Sie sie, sobald alles stabil läuft.

Schritt 2: Content-Security-Policy definieren

Mit Content-Security-Policy legen Sie fest, von welchen Quellen Skripte, Stile und Medien laden dürfen. Das verhindert Cross-Site-Scripting und unterbindet nebenbei unerwünschtes Drittanbieter-Tracking. Starten Sie im Report-Only-Modus, um nichts zu zerstören.

Schritt 3: Ergänzende Header setzen

Aktivieren Sie X-Content-Type-Options: nosniff, X-Frame-Options: SAMEORIGIN (gegen Clickjacking), eine restriktive Referrer-Policy und eine Permissions-Policy, die nicht benötigte Browser-Funktionen abschaltet.

Schritt 4: Regelmäßig prüfen

Header geraten bei Relaunches und Server-Umzügen schnell verloren. Prüfen Sie nach jeder größeren Änderung, ob die Header noch gesetzt sind - am besten automatisiert im Rahmen Ihres Datenschutz-Monitorings.

Fazit

Mit vier sauber gesetzten Header-Gruppen heben Sie das Sicherheitsniveau Ihrer Seite deutlich und untermauern Ihre TOM nach Art. 32 DSGVO. Ein Sicherheits-Header-Check zeigt in Sekunden, was noch fehlt.

Rechtsquelle: Art. 32 DSGVO (Sicherheit der Verarbeitung).