Warum SSL allein nicht genügt: Die zweite Verteidigungslinie

"Wir haben doch ein SSL-Zertifikat" — dieser Satz ist so häufig wie falsch. SSL (heute offiziell TLS genannt) verschlüsselt zwar die Verbindung zwischen Browser und Server, aber es schützt nicht vor einer ganzen Reihe von Angriffen, die täglich Tausende von Websites kompromittieren.

Was SSL wirklich macht

Ein SSL-Zertifikat stellt sicher, dass die Daten zwischen Ihrem Besucher und Ihrem Server verschlüsselt übertragen werden. Das ist wichtig und richtig:

• Kein Abhören der Verbindung durch Dritte
• Schutz vor Man-in-the-Middle-Angriffen
• Authentifizierung: Der Server ist wirklich Ihrer
• Das grüne Schloss in der Browserleiste

Aber — und das ist entscheidend — SSL endet an der Verschlüsselung. Was auf Ihrer Website passiert, wenn die Daten einmal angekommen sind, davon bekommt SSL nichts mit.

Was SSL nicht schützt

Hier sind die Angriffe, gegen die SSL machtlos ist:

Clickjacking

Was passiert: Ein Angreifer bettet Ihre Website in einen unsichtbaren iFrame ein. Der Besucher klickt auf etwas, das wie ein normaler Button aussieht — in Wirklichkeit klickt er auf Ihrer Website.

Beispiel: Ein Besucher sieht einen Link "Gewinnen Sie ein iPhone" und klickt darauf. In Wirklichkeit hat er gerade einen Kauf auf Ihrer Website bestätigt — in einem unsichtbaren Frame.

Die Lösung: X-Frame-Options Header

Cross-Site Scripting (XSS)

Was passiert: Ein Angreifer schleust bösartigen JavaScript-Code in Ihre Seite ein. Dieser Code kann dann Cookies stehlen, Tastatureingaben aufzeichnen oder den Besucher auf eine gefälschte Website umleiten.

Beispiel: Ein Kommentarfeld auf Ihrer Website akzeptiert ungefilterten HTML-Code. Ein Angreifer fügt ein Script ein, das die Session-Cookies aller Besucher stiehlt.

Die Lösung: Content-Security-Policy (CSP) Header

SSL-Stripping / Downgrade-Angriffe

Was passiert: Ein Angreifer in einem offenen WLAN sitzt zwischen Ihrem Besucher und dem Server. Er "strippt" das SSL-Zertifikat und leitet den Besucher auf eine unverschlüsselte Version weiter — ohne dass jemand es bemerkt.

Die Lösung: Strict-Transport-Security (HSTS) Header

Das HTTPS + Security Headers Prinzip

Die beste Verteidigung besteht aus zwei Schichten:

1. Schicht 1: HTTPS (SSL/TLS) — Verschlüsselt die Verbindung
2. Schicht 2: Security Headers — Schützen die Anwendung selbst

Beides zusammen ist wie eine Burg mit Mauern (HTTPS) und einem Burggraben (Security Headers). Nur zusammen sind Sie vollständig geschützt.

Die sechs wichtigsten Security Headers

Für eine vollständige Absicherung Ihrer Website empfehlen wir diese Header:

• Strict-Transport-Security (HSTS)
  Erzwingt HTTPS-Verbindungen und verhindert SSL-Stripping.
• Content-Security-Policy (CSP)
  Kontrolliert, welche Ressourcen auf Ihrer Seite geladen werden dürfen. Blockiert eingeschleustes JavaScript.
• X-Frame-Options
  Verhindert, dass Ihre Seite in Frames eingebettet wird.
• X-Content-Type-Options
  Verhindert, dass der Browser Dateien als etwas anderes interpretiert als sie tatsächlich sind (MIME-Sniffing).
• Referrer-Policy
  Kontrolliert, welche Referrer-Informationen beim Klick auf Links weitergegeben werden.
• Permissions-Policy
  Deaktiviert unnötige Browser-Features wie Geolocation oder Mikrofon, die von Angreifern missbraucht werden könnten.

Wie Sie Ihre Website prüfen

Der einfachste Weg, den aktuellen Stand Ihrer Website zu prüfen:

1. Gehen Sie zu securityheaders.com
2. Geben Sie Ihre Website-URL ein
3. Sie erhalten eine Note von F bis A

Ziel ist Note A. Das ist in der Regel innerhalb von 24 Stunden erreichbar — ohne Änderungen an Ihrem WordPress selbst.

Fazit

SSL ist wichtig — aber es ist nur der erste Schritt. Für echte Sicherheit brauchen Sie auch Security Headers. Together schützen sie Ihre Website — und damit Ihre Besucher, Mandanten und Patienten.

AidSec bringt Ihre Website in unter 24 Stunden von Note F zu A — ohne Downtime, ohne CMS-Änderungen.