produkt-und-technologie

HTTPS, SSL und sichere Webseiten -- Dein Startup professionell absichern

Felix Lenhard 10 min
Zurück zum Blog

HTTPS, SSL und sichere Webseiten -- Dein Startup professionell absichern

Stell dir vor, du sitzt im Coworking-Space in Oberwart, öffnest dein Startup-Dashboard und gibst deine Login-Daten ein. Ohne HTTPS könnte jeder im selben WLAN mitlesen -- dein Benutzername, dein Passwort, alles im Klartext. Klingt beunruhigend? Ist es auch.

Nach den Cybersecurity Grundlagen und dem Thema Passwörter und Authentifizierung geht es heute um die Absicherung deiner Webseite. HTTPS ist längst kein Nice-to-have mehr -- es ist Pflicht.

Was ist HTTPS und warum brauchst du es?

HTTP vs. HTTPS

  • HTTP (Hypertext Transfer Protocol): Daten werden unverschlüsselt übertragen. Jeder, der den Datenverkehr abfängt, kann alles mitlesen.
  • HTTPS (HTTP Secure): Die Verbindung zwischen Browser und Server ist verschlüsselt. Selbst wenn jemand den Datenverkehr abfängt, sieht er nur unlesbaren Zeichensalat.

Das "S" steht für "Secure" -- und genau das macht den Unterschied.

Warum HTTPS für dein Startup unverzichtbar ist

1. Vertrauen der Kunden

Browser zeigen bei HTTP-Seiten eine deutliche Warnung an: "Nicht sicher". Für potenzielle Kunden ist das ein sofortiger Vertrauensbruch. Gerade als junges Startup im Burgenland, das sich erst einen Namen macht, kannst du dir das nicht leisten.

2. SEO-Ranking

Google bevorzugt HTTPS-Seiten in den Suchergebnissen. Wenn du ohne HTTPS unterwegs bist, wirst du schlechter gerankt -- und deine Konkurrenz zieht an dir vorbei.

3. Datenschutz und DSGVO

Die DSGVO verlangt "geeignete technische Massnahmen" zum Schutz personenbezogener Daten. Ohne HTTPS ist das praktisch nicht erfüllbar. Besonders wenn deine Webseite Kontaktformulare oder Login-Bereiche hat.

4. Performance

HTTPS mit HTTP/2 ist tatsächlich schneller als HTTP/1.1. Moderne Protokolle wie HTTP/2 und HTTP/3 setzen HTTPS voraus.

5. Integrität

HTTPS stellt sicher, dass die übertragenen Daten nicht manipuliert werden. Ohne HTTPS könnte ein Angreifer Inhalte auf deiner Webseite verändern, Werbung einschleusen oder Besucher umleiten.

SSL vs. TLS -- Was ist der Unterschied?

Du hörst oft "SSL-Zertifikat", aber technisch korrekt ist TLS:

  • SSL (Secure Sockets Layer): Das ursprüngliche Protokoll, mittlerweile veraltet und unsicher
  • TLS (Transport Layer Security): Der Nachfolger von SSL, aktuell in Version 1.3

Wenn jemand "SSL" sagt, meint er heute fast immer TLS. Die Zertifikate heissen weiterhin oft "SSL-Zertifikate", auch wenn sie TLS nutzen. Verwende immer mindestens TLS 1.2, besser noch TLS 1.3.

Wie SSL/TLS funktioniert -- einfach erklärt

Der sogenannte TLS-Handshake läuft bei jedem HTTPS-Aufruf ab:

  1. Client Hello: Dein Browser sagt dem Server, welche Verschlüsselungsmethoden er unterstützt
  2. Server Hello: Der Server wählt die beste Methode und sendet sein Zertifikat
  3. Zertifikatsprüfung: Dein Browser prüft, ob das Zertifikat gültig ist
  4. Schlüsseltausch: Browser und Server vereinbaren einen gemeinsamen Schlüssel
  5. Verschlüsselte Verbindung: Ab jetzt ist alles verschlüsselt

Das Ganze dauert nur Millisekunden und passiert im Hintergrund.

SSL-Zertifikate -- Welches brauchst du?

Arten von Zertifikaten

Domain Validation (DV)

  • Bestätigt nur, dass du die Domain kontrollierst
  • Ausstellung in Minuten
  • Kostenlos verfügbar (Let's Encrypt)
  • Reicht für die meisten Startups

Organization Validation (OV)

  • Bestätigt zusätzlich deine Organisation
  • Ausstellung in 1-3 Tagen
  • Kosten: 50-200 EUR/Jahr
  • Empfohlen für Business-Webseiten

Extended Validation (EV)

  • Umfassende Prüfung deines Unternehmens
  • Ausstellung in 1-2 Wochen
  • Kosten: 100-500 EUR/Jahr
  • Früher grüne Adressleiste, heute nur noch Details im Zertifikat sichtbar
  • Für die meisten Startups überdimensioniert

Meine Empfehlung für Startups

Fang mit Let's Encrypt (DV) an. Es ist kostenlos, automatisch erneuerbar und wird von allen Browsern anerkannt. Wenn dein Startup wächst und du ein höheres Vertrauensniveau brauchst (z.B. für einen Onlineshop), steig auf OV um.

Let's Encrypt einrichten -- Schritt für Schritt

Let's Encrypt ist der Game-Changer für Webseiten-Sicherheit. Kostenlose SSL-Zertifikate für alle, automatisch erneuerbar.

Option 1: Über deinen Hosting-Anbieter

Die meisten modernen Hosting-Anbieter bieten Let's Encrypt mit einem Klick an:

  • Netlify: Automatisch aktiviert
  • Vercel: Automatisch aktiviert
  • All-Inkl (beliebter österreichischer/deutscher Hoster): Im Adminpanel aktivierbar
  • World4You (österreichisch): SSL kostenlos inkludiert
  • Hetzner: Über das Kontrollpanel

Option 2: Mit Certbot auf dem eigenen Server

Wenn du einen eigenen Server betreibst (z.B. bei Hetzner oder Exoscale):

# Certbot installieren (Ubuntu/Debian)
sudo apt update
sudo apt install certbot python3-certbot-nginx

# Zertifikat anfordern und Nginx konfigurieren
sudo certbot --nginx -d deinedomain.at -d www.deinedomain.at

# Automatische Erneuerung testen
sudo certbot renew --dry-run

Certbot kümmert sich automatisch um die Erneuerung alle 90 Tage.

Option 3: Über Cloudflare

Cloudflare bietet kostenlos SSL/TLS als Teil ihres CDN-Dienstes:

  1. Registriere dich bei Cloudflare
  2. Füge deine Domain hinzu
  3. Ändere die Nameserver bei deinem Domain-Registrar
  4. SSL/TLS wird automatisch aktiviert

Achtung: Wähle bei Cloudflare den Modus "Full (Strict)", damit die Verbindung durchgehend verschlüsselt ist.

HTTPS richtig konfigurieren

Ein Zertifikat zu haben ist nur der erste Schritt. Hier sind die wichtigen Konfigurationen:

HTTP auf HTTPS umleiten

Stelle sicher, dass alle HTTP-Anfragen automatisch auf HTTPS umgeleitet werden:

Nginx:

server {
    listen 80;
    server_name deinedomain.at www.deinedomain.at;
    return 301 https://$host$request_uri;
}

Apache (.htaccess):

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

HSTS aktivieren

HTTP Strict Transport Security (HSTS) weist Browser an, deine Seite ausschliesslich über HTTPS aufzurufen:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Wichtig: Aktiviere HSTS erst, wenn HTTPS zuverlässig funktioniert. Ein Fehler kann dazu führen, dass deine Seite nicht mehr erreichbar ist.

Sicherheits-Header setzen

Zusätzlich zu HSTS solltest du weitere Sicherheits-Header konfigurieren:

# Verhindert Clickjacking
add_header X-Frame-Options "SAMEORIGIN" always;

# Verhindert MIME-Sniffing
add_header X-Content-Type-Options "nosniff" always;

# Aktiviert XSS-Schutz
add_header X-XSS-Protection "1; mode=block" always;

# Content Security Policy (CSP)
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline';" always;

# Referrer Policy
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

TLS-Konfiguration optimieren

Deaktiviere alte, unsichere Protokolle und Cipher Suites:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

Mixed Content vermeiden

Ein häufiger Fehler: Deine Seite läuft über HTTPS, aber einzelne Ressourcen (Bilder, Scripts, Stylesheets) werden noch über HTTP geladen. Das nennt man "Mixed Content" und Browser blockieren das zunehmend.

So findest du Mixed Content

  1. Browser-Konsole: Öffne die Entwicklertools (F12) und prüfe die Konsole auf Warnungen
  2. Online-Tools: Nutze Dienste wie "Why No Padlock?" oder den "SSL Labs Test"
  3. Crawling: Tools wie Screaming Frog können deine gesamte Seite auf Mixed Content prüfen

So behebst du Mixed Content

  • Ersetze alle http://-URLs durch https:// oder besser noch durch protokoll-relative URLs (//)
  • Prüfe eingebettete Inhalte (iframes, Videos)
  • Aktualisiere externe Skripte und Libraries
  • Prüfe deine Datenbank (bei WordPress: Search-and-Replace-Plugin)

Sicherheit testen

Nachdem du alles eingerichtet hast, teste deine Konfiguration:

SSL Labs Server Test

Geh auf ssllabs.com/ssltest und gib deine Domain ein. Ziel ist eine A+ Bewertung. Der Test prüft:

  • Zertifikatsglütigkeit
  • Protokoll-Unterstützung
  • Schlüsselaustausch
  • Cipher-Stärke

Security Headers Test

Unter securityheaders.com kannst du prüfen, ob deine Sicherheits-Header korrekt gesetzt sind. Auch hier ist A+ das Ziel.

Mozilla Observatory

Das Observatory von Mozilla bietet einen umfassenden Sicherheitscheck für deine Webseite.

Häufige Fehler und wie du sie vermeidest

1. Abgelaufene Zertifikate

Let's Encrypt-Zertifikate laufen nach 90 Tagen ab. Stelle sicher, dass die automatische Erneuerung funktioniert. Richte Monitoring ein, das dich warnt, wenn ein Zertifikat bald abläuft.

2. Falsche Domain im Zertifikat

Dein Zertifikat muss alle Domains abdecken, unter denen deine Seite erreichbar ist (z.B. deinedomain.at UND www.deinedomain.at).

3. Wildcard-Zertifikate leichtfertig nutzen

Ein Wildcard-Zertifikat (*.deinedomain.at) ist praktisch, aber wenn der private Schlüssel kompromittiert wird, sind alle Subdomains betroffen.

4. Alte TLS-Versionen nicht deaktivieren

TLS 1.0 und 1.1 sind unsicher und sollten deaktiviert sein. Prüfe deine Konfiguration.

5. Keine Umleitung von HTTP auf HTTPS

Wenn deine Seite noch über HTTP erreichbar ist, nutzen viele Besucher die unverschlüsselte Version. Richte eine automatische Umleitung ein.

Spezialfall: E-Commerce und Zahlungsdaten

Wenn dein Startup einen Onlineshop betreibt oder Zahlungsdaten verarbeitet, gelten strengere Regeln:

  • PCI DSS Compliance: Der Payment Card Industry Data Security Standard verlangt TLS 1.2 oder höher
  • Kein Direct-Card-Processing: Nutze Zahlungsanbieter wie Stripe, Mollie oder die österreichische eps-Überweisung, die PCI-konform sind
  • Zusätzliche Verschlüsselung: Sensible Daten müssen auch in der Datenbank verschlüsselt sein
  • Regelmässige Scans: PCI DSS verlangt vierteljährliche Schwachstellen-Scans

Content Security Policy (CSP) -- Fortgeschrittener Schutz

Eine CSP ist wie eine Whitelist für deine Webseite. Du definierst genau, welche Ressourcen von welchen Quellen geladen werden dürfen:

Content-Security-Policy: default-src 'self';
  script-src 'self' https://cdn.jsdelivr.net;
  style-src 'self' https://fonts.googleapis.com;
  img-src 'self' https://images.unsplash.com data:;
  font-src 'self' https://fonts.gstatic.com;
  connect-src 'self' https://api.deinedomain.at;

CSP schrittweise einführen

  1. Starte im Report-Only-Modus: Die Policy wird nicht durchgesetzt, aber Verstösse werden gemeldet
  2. Analysiere die Reports und passe die Policy an
  3. Aktiviere die Policy im Enforcement-Modus
  4. Überwache kontinuierlich

Automatisierung und Monitoring

Zertifikats-Monitoring

Nutze Tools, die dich rechtzeitig warnen:

  • Uptime Robot: Kostenlos, prüft auch SSL-Ablauf
  • StatusCake: SSL-Monitoring inklusive
  • Certbot Timer: Lokales Monitoring der Erneuerung

Automatisierte Security-Scans

Integriere Sicherheitschecks in deine CI/CD-Pipeline:

  • Mozilla TLS Observatory CLI: Automatisierter TLS-Test
  • testssl.sh: Umfassendes TLS-Testing-Script
  • Lighthouse: Google-Tool für Web-Sicherheit und Performance

Checkliste: HTTPS und Webseiten-Sicherheit

  • SSL/TLS-Zertifikat installieren (Let's Encrypt empfohlen)
  • HTTP auf HTTPS umleiten (301 Redirect)
  • HSTS-Header aktivieren
  • Sicherheits-Header setzen (X-Frame-Options, CSP, etc.)
  • TLS 1.0 und 1.1 deaktivieren
  • Mixed Content bereinigen
  • SSL Labs Test durchführen (Ziel: A+)
  • Security Headers Test bestehen
  • Automatische Zertifikatserneuerung einrichten
  • Monitoring für Zertifikatsablauf einrichten

Fazit

HTTPS ist die absolute Grundlage für eine sichere Webpräsenz. Mit Let's Encrypt ist es kostenlos, mit modernen Hosting-Anbietern oft sogar automatisch. Es gibt keinen Grund mehr, auf HTTPS zu verzichten. Setz dich heute Nachmittag hin und prüfe deine Webseite -- mit den Tools und Tipps aus diesem Beitrag hast du in ein bis zwei Stunden alles im Griff.

Im nächsten Beitrag geht es um ein Thema, das viele Startups unterschätzen: Datensicherung und Backup-Strategien. Denn was nützt die sicherste Webseite, wenn deine Daten weg sind?

Dieser Beitrag ist Teil der Serie "Cybersecurity für Startups" auf dem Startup Burgenland Blog. Du baust gerade dein Startup auf und brauchst Unterstützung? Startup Burgenland bietet dir Beratung, Förderungen und ein starkes Netzwerk -- von der Idee bis zum Markteintritt. Melde dich bei uns und werde Teil der wachsenden Startup-Community im Burgenland!

Dies ist Beitrag 3 von 10 der Serie "Cybersecurity für Startups" in der Kategorie Produkt und Technologie.

Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.

Tags: https ssl tls webseiten-sicherheit cybersecurity startup verschluesselung
Veröffentlicht am
Alle Beiträge

Erstgespräch vereinbaren

Du überlegst zu gründen oder bist schon mittendrin? Schreib uns ein formloses E-Mail -- wir melden uns innerhalb weniger Tage.

E-Mail schreiben