Sicherheit
Sicherheits-Header
Kurz erklärt
HTTP-Sicherheits-Header sind Server-Anweisungen, die der Browser zum Schutz der Besucher umsetzt - etwa HSTS (erzwungenes HTTPS), Content-Security-Policy (gegen XSS) und X-Frame-Options (gegen Clickjacking). Sie zählen zu den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO.
Sicherheits-Header sind eine einfache, wirksame Schutzschicht: Sie kosten nichts und reduzieren das Risiko gängiger Angriffe erheblich.
Die wichtigsten Header
- Strict-Transport-Security (HSTS): erzwingt verschlüsselte HTTPS-Verbindungen.
- Content-Security-Policy (CSP): legt fest, welche Skripte und Ressourcen laden dürfen - schützt vor Cross-Site-Scripting und unerwünschtem Tracking.
- X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy: schützen vor MIME-Sniffing, Clickjacking und ungewolltem Datenabfluss.
Bezug zur DSGVO
Art. 32 DSGVO verlangt dem Risiko angemessene technische Maßnahmen zum Schutz personenbezogener Daten. Fehlende Sicherheits-Header sind ein Indiz für unzureichende TOM.
Rechtsquelle: Art. 32 DSGVO (Sicherheit der Verarbeitung).