Google Chrome markiert HTTP-Websites seit 2018 als "Nicht sicher". Trotzdem laufen 2025 immer noch 5% der deutschen Unternehmenswebsites ohne SSL. Aber SSL ist nur die Spitze des Eisbergs — echte Website-Sicherheit umfasst Security Headers, Content Security Policies, regelmäßige Updates und eine Architektur, die Angriffsflächen minimiert.
SSL/TLS: Die Basics
SSL (Secure Sockets Layer) bzw. sein Nachfolger TLS (Transport Layer Security) verschlüsselt die Verbindung zwischen Browser und Server. Das bedeutet: Daten (Formulareingaben, Passwörter, persönliche Informationen) können unterwegs nicht abgefangen oder manipuliert werden. Ein SSL-Zertifikat ist seit 2018 ein Google-Rankingfaktor und seit der DSGVO eine rechtliche Pflicht für jede Website mit Kontaktformular.
Kostenlos vs. Premium: Welches Zertifikat brauche ich?
| Zertifikat | Kosten | Validierung | Für wen |
|---|---|---|---|
| Let's Encrypt (DV) | Kostenlos | Domain-Validierung | 90% aller Websites — völlig ausreichend |
| Sectigo / DigiCert (OV) | 50–200 €/Jahr | Organisations-Validierung | Unternehmen, die den Firmennamen im Zertifikat wollen |
| Extended Validation (EV) | 200–1.000 €/Jahr | Erweiterte Prüfung | Banken, E-Commerce — grüne Adressleiste (veraltet) |
Unsere Empfehlung: Let's Encrypt für alle. Vercel, Netlify und Cloudflare stellen automatisch kostenlose SSL-Zertifikate aus. Es gibt keinen Grund, 2025 noch für SSL zu bezahlen.
Security Headers: Die unsichtbare Schutzschicht
HTTP Security Headers sind Anweisungen, die der Server an den Browser sendet. Sie verhindern ganze Angriffskategorien — XSS, Clickjacking, MIME-Sniffing — mit wenigen Zeilen Konfiguration. Trotzdem setzen über 70% aller Websites keine oder unzureichende Security Headers.
// next.config.ts — Security Headers für Next.js
const securityHeaders = [
{ key: 'X-Content-Type-Options', value: 'nosniff' },
{ key: 'X-Frame-Options', value: 'DENY' },
{ key: 'X-XSS-Protection', value: '1; mode=block' },
{ key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
{ key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
{
key: 'Content-Security-Policy',
value: "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;"
},
{
key: 'Strict-Transport-Security',
value: 'max-age=63072000; includeSubDomains; preload'
},
];Statische Websites: Sicher by Design
Der beste Schutz gegen Angriffe ist eine minimale Angriffsfläche. Statisch generierte Next.js-Websites haben keine Datenbank, keinen Admin-Bereich, keine Plugin-Schwachstellen. Es gibt schlicht nichts anzugreifen. Kein SQL-Injection möglich (keine SQL-Datenbank), kein Brute-Force auf Login-Seiten (kein Login), keine Plugin-Exploits (keine Plugins). Das ist Security by Architecture — und der Grund, warum wir keine WordPress-Seiten mehr bauen.
Checkliste: Website-Sicherheit 2025
- 01☐ SSL/TLS aktiv — HTTPS erzwungen, HTTP → HTTPS Redirect
- 02☐ HSTS Header gesetzt — verhindert SSL-Stripping-Angriffe
- 03☐ Content-Security-Policy — kontrolliert, welche Ressourcen geladen werden dürfen
- 04☐ X-Frame-Options: DENY — verhindert Clickjacking
- 05☐ X-Content-Type-Options: nosniff — verhindert MIME-Sniffing
- 06☐ Referrer-Policy gesetzt — kontrolliert, welche Informationen bei ausgehenden Links mitgesendet werden
- 07☐ Permissions-Policy — deaktiviert nicht benötigte Browser-APIs (Kamera, Mikrofon, Geolocation)
- 08☐ Regelmäßige Dependency-Updates — npm audit, Dependabot oder Renovate
- 09☐ Keine sensiblen Daten im Client-Code — API-Keys, Tokens etc. nur server-side
Website-Sicherheit ist kein einmaliges Setup — es ist ein fortlaufender Prozess. Aber die Grundlagen sind mit den richtigen Tools in wenigen Stunden implementiert. Wir helfen Ihnen gerne dabei.