Defaults.Exposed

Defaults.Exposed › Berichte

Das Zeugnis für HTTP-Sicherheitsheader: Wie das Web 2026 abschneidet

Veröffentlicht 2026-06-29

Stand der Zahlen: 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. Header-Prüfungen werden auf den Antworten beobachtet, die wir erreichen konnten. Siehe wie wir bewerten.

HTTP-Sicherheits-Header gehören zu den günstigsten Schutzmaßnahmen im Web – ein paar Zeilen Konfiguration, ohne Kosten – und die Daten zeigen, dass sie fast überall ausgelassen werden. Über 261 Millionen Domains setzen nur 4,03% jeden zentralen Header korrekt. Jeder Header blockiert einen bestimmten, realen Angriff – Clickjacking, Content-Injection, Protokoll-Downgrade, Referrer-Leakage – und jeder fehlt bei der großen Mehrheit der Websites.

Das Zeugnis

Höher ist besser – der Anteil der Domains, die jeden Header korrekt setzen. Stand 2026-06-29:

HeaderWas er verhindertDomains, die ihn setzen
HSTS (Strict-Transport-Security)Downgrade von HTTPS zu HTTP22,91% der HTTPS-Sites
Content-Security-PolicyCross-Site-Scripting / Content-Injection8,87%
X-Frame-Options / frame-ancestorsClickjacking14,48%
X-Content-Type-Options (nosniff)MIME-Type-Confusion-Angriffe16,65%
Referrer-PolicyWeitergabe besuchter URLs an Dritte10,10%
Alle oben genannten („secure by default”)Der vollständige Satz4,03%

Content-Security-Policy – die stärkste Verteidigung gegen Cross-Site-Scripting – ist der größte Ausfall: nur 8,87% der Domains liefern eine wirksame aus. Und nur 4,03% setzen den gesamten Satz korrekt.

Warum so niedrig, wenn sie kostenlos sind?

Header werden von den meisten Servern und Plattformen nicht standardmäßig installiert, also erscheinen sie nur, wenn jemand sie bewusst hinzufügt. Es gibt keine beängstigende Warnung, wenn sie fehlen – anders als bei einem abgelaufenen Zertifikat ist ein fehlender Header für den Website-Betreiber und für Besucher unsichtbar, bis er ausgenutzt wird. Genau diese Unsichtbarkeit ist der Grund, warum die Verbreitung bei den wichtigsten Headern im einstelligen Prozentbereich liegt.

Welche Header sollte ich priorisieren?

Für die meisten Websites, in dieser Reihenfolge:

  1. HSTS – sobald du auf HTTPS bist, sichere es ab. HSTS beheben.
  2. Clickjacking-Schutz – ein einzeiliger Header, der verhindert, dass deine Seiten in Frames eingebettet werden. Clickjacking beheben.
  3. X-Content-Type-Options: nosniff und Referrer-Policy – trivial hinzuzufügen. MIME-Sniffing · Referrer-Policy.
  4. Content-Security-Policy – die mächtigste und die meiste Arbeit; lohnt sich, sorgfältig umzusetzen. CSP beheben.

Häufig gestellte Fragen

Was sind HTTP-Sicherheits-Header? Anweisungen, die ein Server mit jeder Seite sendet und die dem Browser sagen, Schutzmaßnahmen durchzusetzen – Framing blockieren, gemischte Inhalte ablehnen, Skripte einschränken. Sie sind kostenlose Konfiguration, keine Software.

Warum setzen nur 4,03% des Webs sie alle? Weil sie optional und unsichtbar sind. Nichts bricht oder warnt, wenn sie fehlen, also fügen die meisten Websites sie nie hinzu – bis ein Angriff die Lücke ausnutzt.

Welcher Header ist der wichtigste? HSTS und eine Content-Security-Policy bieten den größten Schutz. CSP ist die stärkste Verteidigung gegen Cross-Site-Scripting, erfordert aber bei der Umsetzung die meiste Sorgfalt.

Wie sehe ich, welche Header meiner Website fehlen? Führe eine kostenlose, private Prüfung durch (unten) – sie listet jeden Header auf und ob du ihn gesetzt hast.

Prüfe deine Sicherheits-Header kostenlos

Sieh dir dein vollständiges Header-Zeugnis an – und genau, was hinzuzufügen ist – privat und nur für Eigentümer.

Prüfe deine Domain → · CSP beheben → · HSTS beheben → · Wie wir bewerten → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.