Defaults.Exposed › Behebungen › HSTS (Strict-Transport-Security)

So beheben Sie HSTS (Strict-Transport-Security)

HSTS ist eine einzeilige Anweisung, die Ihre Website jedem Browser gibt: 'komm immer über die sichere, verschlüsselte Verbindung zu mir zurück — nie über die unsichere.' Ohne sie kann Ihr Schloss-Symbol im geteilten WLAN still und leise abgestreift werden, und der allererste Besuch Ihrer Seite ist gefährdet.

Das Wichtigste für Ihr Unternehmen: HTTPS zu haben (das Schloss-Symbol) ist nicht dasselbe wie es zu erzwingen. Ohne HSTS kann ein Angreifer im selben WLAN wie Ihr Kunde die Verbindung still und leise auf einfaches, unverschlüsseltes HTTP herabstufen — und Logins, Kartendaten und Formulardaten erfassen, während der Kunde nichts Falsches sieht. Ihr SSL-Zertifikat, für das Sie womöglich zahlen, wird umgangen. Die Behebung ist kostenlos und dauert etwa 15 Minuten für die Person, die Ihre Seite betreibt.

Was Sie das kosten kann

• Kunden im Café-, Hotel-, Flughafen- oder Konferenz-WLAN können ihre Verbindung zu Ihrer Seite still und leise herabstufen lassen und ihre Daten lesen lassen — ohne Warnung auf ihrem Bildschirm.
• Sie haben für HTTPS bezahlt und haben das Schloss-Symbol, aber ohne HSTS können Angreifer es einfach umgehen; das Zertifikat gibt ein falsches Gefühl von Sicherheit.
• Der allererste Besuch Ihrer Seite (vor jeder Weiterleitung auf HTTPS) ist der Schwachpunkt, den Angreifer ins Visier nehmen — HSTS ist das, was ihn für jeden Folgebesuch schließt.
• Ein Sicherheitsfragebogen, ein Cyberversicherungs-Formular oder die Checkliste eines Unternehmenskäufers markiert 'kein HSTS' und bringt das Geschäft ins Stocken, bis es behoben ist.
• Setzen Sie den Wert falsch (zu kurz), bekommen Sie das Schlechteste aus beiden Welten: Es sieht konfiguriert aus, bietet aber fast keinen echten Schutz.

Warum es wichtig ist. HTTPS schützt eine Verbindung, sobald sie verschlüsselt ist — aber es zwingt Browser nicht, sie zu nutzen. Angreifer nutzen diese Lücke mit 'SSL-Stripping' aus: In jedem geteilten Netzwerk halten sie den Besucher still und leise auf unsicherem HTTP und lesen alles. HSTS sagt dem Browser, einfaches HTTP für Ihre Domain vollständig zu verweigern, für lange Zeit, sodass sich die Lücke nach dem ersten Besuch schließt. Es ist ein einzelner Antwort-Header, kostenlos hinzuzufügen, und in unserer Bewertung ist es echte Punkte wert, weil ein fehlender oder zu kurzer Wert jeden Besucher im öffentlichen WLAN gefährdet.

Was das ist, in einfachen Worten

Sie haben mit ziemlicher Sicherheit HTTPS — das kleine Schloss-Symbol in der Browserleiste. Gut. Aber hier ist der Teil, von dem fast niemandem erzählt wird: HTTPS zu haben ist nicht dasselbe wie es zu erzwingen.

HTTPS macht eine Verbindung verschlüsselt, sobald der Browser sich entscheidet, sie zu nutzen. HSTS — kurz für HTTP Strict Transport Security — ist die Anweisung, die den Browser dazu bringt, sie immer zu nutzen. Es ist eine einzelne, unsichtbare Zeile, die Ihre Website jedem Besucher sendet und die im Grunde sagt:

„Von nun an, für meine Domain, sprich nur über die sichere Verbindung mit mir. Nie über die unsichere. Versuch es nicht einmal.”

Der Browser merkt sich das und befolgt es so lange, wie Sie es ihm sagen — meist ein Jahr. Nach dem ersten sicheren Besuch eines Besuchers wird sein Browser sich schlicht weigern, Ihre Seite über einfaches, unverschlüsseltes HTTP zu laden, selbst wenn etwas versucht, es zu erzwingen.

Ohne HSTS existiert diese „immer die sichere Version nutzen”-Regel nicht — und Angreifer wissen genau, wie sie die Lücke ausnutzen.

Was Sie das kosten kann

Das sind realistische, alltägliche Szenarien. Wir nennen niemals ein echtes Unternehmen; das sind Veranschaulichungen, wie die Lücke genutzt wird.

1. Die Café-Kasse. Ein Kunde öffnet Ihren Shop im Café-WLAN und geht zur Kasse. Ein Angreifer im selben Netzwerk führt ein kostenloses, weithin bekanntes Tool aus, das den Kunden auf einfachem HTTP statt HTTPS hält. Der Kunde sieht, was wie Ihre normale Seite aussieht — keine Warnung, kein gebrochenes Schloss-Symbol an der Stelle, auf die er blicken würde — und tippt seine Kartendaten ein. Der Angreifer liest jeden Tastenanschlag. Ihr SSL-Zertifikat bewirkte nichts, weil die Verbindung gar nie sicher werden durfte.

2. Der reisende Mitarbeiter. Ein Mitarbeiter meldet sich von einem Hotel oder Flughafen aus in Ihrem Admin-Panel oder Webmail an. Derselbe Herabstufungs-Trick erfasst seinen Benutzernamen und sein Passwort. Nun hat der Angreifer einen Weg in Ihr Unternehmen — nicht weil Ihre Passwortrichtlinie schwach war, sondern weil die Anmeldeseite über unsicheres HTTP erreichbar war.

3. Das Geschäft, das stockt. Ein größerer Kunde schickt Ihnen vor der Unterschrift seinen Standard-Sicherheitsfragebogen. Eine Zeile fragt: „Erzwingt Ihre Website HTTPS über HSTS?” Ihr IT-Kontakt muss mit „nein” antworten, und der Einkaufsprozess pausiert, während Sie hastig eine kostenlose 15-Minuten-Einstellung beheben, die nun wie ein rotes Signal vor einem Käufer aussieht.

4. Die Cyberversicherungs- oder Compliance-Prüfung. Der Scan eines Versicherers oder ein Prüfer, der Ihre Datenschutzhaltung begutachtet, markiert den fehlenden Header. Die Verschlüsselung personenbezogener Daten ist eine ausdrückliche Erwartung der Datenschutzregeln (DSGVO Artikel 32), und „wir haben ein Zertifikat, aber erzwingen es nicht” ist eine schwache Position.

5. Das falsche Sicherheitsgefühl. Sie zahlen für SSL, das Schloss-Symbol erscheint, und jeder nimmt an, die Seite sei sicher. Das ist sie meist auch — bis ein Kunde in einem geteilten Netzwerk ist, was genau dann ist, wenn er am verwundbarsten und am wenigsten geneigt ist, etwas Falsches zu bemerken.

Der rote Faden: die Kosten sind nicht abstrakt. Es ist die Karte oder das Login eines echten Kunden, erfasst im denkbar schlechtesten Moment, ohne dass ein Alarm losgeht.

Was es eigentlich ist

Wenn ein Browser Ihre Website um eine Seite bittet, sendet Ihr Server die Seite zurück plus einige unsichtbare „Header” — zusätzliche Anweisungen, die der Browser liest, der Besucher aber nie sieht. HSTS ist einer dieser Header:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Drei Teile zählen:

• max-age — wie lange (in Sekunden) der Browser sich merken soll, HTTPS zu erzwingen. 31536000 ist ein Jahr. Das ist der Kern davon: zu kurz, und es hilft kaum.
• includeSubDomains — die Regel auf jede Subdomain ausdehnen (shop., app., mail. und so weiter), nicht nur auf Ihre Hauptadresse.
• preload — Ihre Domain in eine Master-Liste eintragen, die in Browser eingebaut ist, sodass der Schutz selbst bei der allerersten Anfrage eines Besuchers gilt, bevor er Ihre Seite je gesehen hat.

Warum „der erste Besuch” zählt

HSTS hat eine inhärente Einschränkung: Ein Browser befolgt die Regel erst, nachdem er den Header mindestens einmal gesehen hat. Die allererste Verbindung eines brandneuen Besuchers ist also weiterhin ein winziges Gefährdungsfenster. Zwei Dinge verengen es: eine HTTP-zu-HTTPS-Weiterleitung (die ihn schnell auf die sichere Version bringt) und preload (das das Fenster vollständig entfernt). Deshalb paart eine vollständige Einrichtung HSTS mit einer ordentlichen Weiterleitung.

Wie „gut” aussieht — und wie es bewertet wird

Unsere Prüfung liest Ihren Live-Header und bewertet das max-age:

Ein Header also, der existiert, aber auf ein paar Minuten gesetzt ist, wird als Durchfaller behandelt — er sieht konfiguriert aus, erfüllt aber seine Aufgabe nicht. Zielen Sie auf ein Jahr. Die Prüfung vermerkt außerdem, ob includeSubDomains und preload vorhanden sind.

So beheben Sie es (kostenlos, ~15 Minuten)

Geben Sie diesen Abschnitt an die Person weiter, die Ihre Website betreibt — Ihren IT-Menschen, Webentwickler oder Hosting-Support. Die Behebung ist kostenlos. Es ist ein einzelner Header oder ein Schalter in Ihrer Hosting-Plattform. Es gibt nichts zu kaufen.

Eine wichtige Reihenfolge-Regel zuerst: HSTS ist klebrig — sobald aktiviert, verweigern Browser einfaches HTTP für Ihre Domain für die volle max-age. Bestätigen Sie also, dass HTTPS auf Ihrer Hauptseite und jeder Subdomain korrekt funktioniert, bevor Sie es breit einschalten. Der sichere Weg ist: mit einem kurzen Wert testen → bestätigen, dass nichts bricht → auf ein Jahr heben.

Schritt 1 — Stellen Sie sicher, dass HTTPS bereits überall funktioniert

Besuchen Sie Ihre Seite und wichtige Subdomains über https:// und bestätigen Sie, dass sie sauber mit einem gültigen Zertifikat laden. Bestätigen Sie auch, dass einfache http://-Anfragen auf https:// weiterleiten. (Falls nicht, beheben Sie zuerst die HTTP-zu-HTTPS-Weiterleitung — HSTS setzt voraus, dass sie vorhanden ist.)

Schritt 2 — Fügen Sie den Header hinzu (wählen Sie Ihre Plattform)

Cloudflare (oder ähnliches CDN): Das ist am einfachsten. Gehen Sie zu SSL/TLS → Edge Certificates → HTTP Strict Transport Security (HSTS) und aktivieren Sie es. Setzen Sie Max-Age auf 6 Monate oder 12 Monate und aktivieren Sie „Apply HSTS policy to subdomains”, sobald Sie sicher sind, dass alle Subdomains auf HTTPS sind.

Nginx: Fügen Sie innerhalb Ihres HTTPS-server-Blocks hinzu:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Apache: Stellen Sie sicher, dass mod_headers aktiviert ist, und fügen Sie dann zu Ihrem HTTPS-Virtual-Host hinzu:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Microsoft IIS: Fügen Sie zu web.config innerhalb von <customHeaders> hinzu:

<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload" />

Hinweis zu Google Workspace / Microsoft 365: Diese betreiben Ihre E-Mail, nicht Ihr Website-Hosting — HSTS wird dort gesetzt, wo Ihre öffentliche Website tatsächlich liegt (Ihr CDN, Webserver oder Baukasten), nicht in der Workspace-/365-Verwaltung. Wenn Ihre Seite auf einem Baukasten wie Squarespace, Wix oder Shopify liegt, wird HSTS meist für Sie gehandhabt; prüfen Sie deren SSL-/Sicherheitseinstellungen, falls unsere Prüfung es markiert.

Schritt 3 — Klein testen, dann festlegen

Beginnen Sie mit max-age=300 (5 Minuten). Bestätigen Sie, dass die Seite überall weiterhin perfekt lädt. Heben Sie es dann auf max-age=31536000 (ein Jahr). Das ist die Einstellung für volle Punktzahl.

Schritt 4 (optional, Goldstandard) — preload

Sobald Sie zuversichtlich sind und eine Weile einen Ein-Jahres-Header mit includeSubDomains betrieben haben, können Sie Ihre Domain unter hstspreload.org einreichen, um in Browser eingebaut zu werden. Das schließt das Erstbesuchs-Fenster vollständig. Behandeln Sie es als bewusste Verpflichtung — eine Domain von der Liste zu entfernen ist langsam.

Häufige Fehler

• max-age zu kurz setzen. Ein Wert von ein paar Minuten oder Stunden sieht konfiguriert aus, bietet aber fast keinen Schutz — und unsere Prüfung behandelt alles unter einem Tag als Durchfaller. Verwenden Sie ein Jahr.
• includeSubDomains einschalten, bevor Subdomains HTTPS-bereit sind. Wenn eine Subdomain nicht vollständig auf HTTPS ist, kann die klebrige Regel sie für Besucher unerreichbar machen. Bringen Sie zuerst jede Subdomain auf HTTPS.
• HSTS hinzufügen, aber keine HTTP-zu-HTTPS-Weiterleitung haben. HSTS setzt voraus, dass Besucher die sichere Version erreichen; ohne die Weiterleitung ist der erste Besuch unnötig gefährdet. Beheben Sie beides zusammen.
• Direkt zu preload springen, um „gründlich zu sein”. Preload ist schwer rückgängig zu machen. Verdienen Sie es schrittweise nach einem stabilen Ein-Jahres-Header — überstürzen Sie es nicht.
• Annehmen, das Schloss-Symbol bedeute, dass Sie abgesichert sind. Das Schloss-Symbol und HSTS sind verschiedene Dinge. Sie können ein perfektes Zertifikat haben und diese Prüfung trotzdem nicht bestehen.

FAQ