Web Security: Ein Jahrzehnt voller Lektionen – und die Baustellen, die bleiben

Web Security: Ein Jahrzehnt voller Lektionen – und die Baustellen, die bleiben

Jul 04, 2026 web-security ssl-certificates https security-headers dns-security

Zehn Jahre Web-Sicherheit: Was wir gelernt haben – und wo wir noch versagen

Das Web von 2016 kommt uns heute vor wie Steinzeit. Instagram hatte gerade Stories eingeführt. Pokémon Go war die größte App der Welt. Und wenn du deine Website mit HTTPS absichern wolltest, gehörtest du zu einer klaren Minderheit – oft belächelt als paranoid oder verschwenderisch.

Ein Jahrzehnt später hat sich die Landschaft so dramatisch verändert, dass die Frage nicht mehr lautet „Sollte man HTTPS nutzen?", sondern „Warum sollte man es nicht tun?" Aber das Problem mit dem Fortschritt ist: Er fordert immer mehr.

Die Zahlen sprechen eine klare Sprache

Blickt man auf die Top-Million Websites der letzten zehn Jahre, sind die Kernzahlen tatsächlich ermutigend:

  • HTTPS-Nutzung: Von rund 6 % der Top-Sites 2015 auf über 65 % heute
  • HSTS-Header: Ein 22-faches Wachstum von 11.000 auf 252.000 Sites
  • Content Security Policy (CSP): Ein massives 125-faches Wachstum von 1.365 auf 170.000 Sites

Das sind keine leeren Zahlen. Als Chrome 2017 begann, Nicht-HTTPS-Seiten als „Nicht sicher" zu markieren, brach im Web kollektive Panik aus. Aber dieser Druck hat gewirkt. Heute bist du als Website-Betreiber ohne HTTPS zunehmend die Ausnahme – besonders an der Spitze der Rankings, wo Traffic und Reputation am meisten zählen.

Die gute Nachricht: Grundlegende Sicherheit ist wirklich grundlegend geworden

Der wirklich positive Trend aus zehn Jahren Daten ist, dass sich die Basis fundamental verändert hat. Vor zehn Jahren wurden Sicherheits-Header wie X-Content-Type-Options und X-Frame-Options von weniger als 5 % der Top-Sites eingesetzt. Heute liegen diese Zahlen bei etwa 30–35 %.

Das ist bedeutsam, weil es sich hier nicht um spektakuläre Features handelt. Niemand schreibt Blogposts über X-Frame-Options (na ja, fast niemand). Das ist die Sanitärinstallation der Web-Sicherheit – das unscheinbare Zeug, das Clickjacking, MIME-Type-Sniffing-Angriffe und anderes Ungeziefer verhindert. Dass diese Standards zur Normalität geworden sind, zeigt, wie weit die Branche gekommen ist, Sicherheit als Infrastruktur zu behandeln und nicht als optional.

CSP verdient besondere Erwähnung. Zu beobachten, wie die Technologie von 1.365 auf über 170.000 Sites gewachsen ist, erinnert an den Aufstieg eines Startups vom Garagenbetrieb zum Industriestandard. CSP korrekt umzusetzen ist wirklich anspruchsvoll – man muss die Content-Quellen der eigenen Seite verstehen, Drittanbieter-Scripts, Inline-Code-Muster und mehr. Dass so viele Teams sich die Zeit genommen haben, es richtig zu machen, zeigt mir, dass die Branche in puncto „Defense in Depth" erwachsen geworden ist.

Die schlechte Nachricht: Wir stagnieren (und rutschen manchmal zurück)

Hier wird es mit dem Optimismus kompliziert. Schaut man auf die Kurve der HTTPS-Adoption in den letzten Jahren, ist sie deutlich flacher geworden. Wir haben die „einfachen" Erfolge eingesammelt – Sites, die leicht umstellen konnten, Blogs, die Let's Encrypt nutzten, Unternehmen, die das Reputationsrisiko einer „unsicheren" Kennzeichnung verstanden.

Was bleibt, sind die hartnäckigen Fälle. Legacy-Anwendungen, die erhebliche Refactoring-Arbeiten erfordern würden. Interne Tools, die niemand anfassen möchte. Sites von Organisationen, in denen Sicherheit noch immer das Problem von jemand anderem ist. Das ist keine Kritik am Fortschritt des Webs – es ist einfach die Realität, dass die letzten 10 % jeder Adoptionskurve immer die schwersten sind.

Noch besorgniserregender ist der Aufstieg und Fall bestimmter Schutzmechanismen. Extended-Validation-Zertifikate (EV), einst als Goldstandard der Vertrauensindikatoren verkauft (erinnert ihr euch an die grüne Leiste im Browser?), sind im Grunde zusammengebrochen. Browser-Hersteller entfernten die distinctive Benutzeroberfläche, die EV-Zertifikate für Nutzer sichtbar machte. Ohne diese Differenzierung gab es keine Geschäftsgrundlage mehr für Premium-Preise. Von 15.600 zum Peak bis auf etwas über 4.000 im Jahr 2026. Ein faszinierendes Fallbeispiel dafür, wie Nutzererfahrung die Sicherheitsökonomie formt.

Die neuen Kids auf dem Block: Sicherheit 2026 und darüber hinaus

Die wirklich interessanten Daten aus aktuellen Erhebungen betreffen nicht die alten Standards – sondern das, was als nächstes kommt.

Post-Quanten-Kryptografie taucht langsam in der Praxis auf. Noch nicht weit verbreitet, aber wir sehen erste vorsichtige Implementierungen, während sich die Branche auf eine Zukunft vorbereitet, in der Quantencomputer aktuelle Verschlüsselung brechen könnten. Hier tut die Sicherheitswelt, was sie am besten kann: sich auf Bedrohungen vorbereiten, bevor sie Realität werden.

Cross-Origin-Isolation, ECH (Encrypted Client Hello) und andere datenschutzschonende Technologien befinden sich similarly im frühen Adoptionsstadium. Das sind die Bausteine eines Webs, das resistenter gegen Überwachung und Manipulation ist.

Cookie-Sicherheit hat ebenfalls neue Aufmerksamkeit bekommen. Da Third-Party-Cookies endlich browserübergreifend abgeschafft werden (nach Jahren der Verzögerung), ist die Pflege von First-Party-Cookies wichtiger denn je. Sichere, SameSite-bewusste Cookies waren vor fünf Jahren für viele Entwickler keine Priorität. Heute gehören sie zum Grundhandwerk.

Was das für deine Projekte bedeutet

Wenn du heute eine neue Site oder Anwendung startest, ist die Botschaft aus einem Jahrzehnt Daten klar: Behandle Sicherheit als grundlegende Infrastruktur, nicht als nachträglichen Einfall. HTTPS ist nicht optional. Sicherheits-Header sind nicht optional. Die Tools sind ausgereift, die Kosten sind gesunken, und die Konsequenzen beim Weglassen dieser Grundlagen sind gestiegen.

Aber hör dort nicht auf. Die Front der Web-Sicherheit hat sich verschoben. Achte auf:

  • Post-Quantum- readiness: Denk frühzeitig darüber nach, wie sich deine Infrastruktur weiterentwickeln muss
  • Cookie-Migration: Prüfe deine Cookie-Nutzung, bevor die Third-Party-Einschränkungen greifen
  • Datenschutzschonende Alternativen: ECH und ähnliche Technologien kommen in einen Browser in deiner Nähe

Das Web von 2026 ist unsagbar sicherer als 2016. Aber Sicherheit ist kein Ziel, sondern eine fortlaufende Unterhaltung zwischen Verteidigern und Angreifern, Standardisierungsgremien und Browser-Herstellern, Entwicklern und Nutzern. Dass wir diese Unterhaltung noch führen, noch messen, noch verbessern – das ist der eigentliche Gewinn des letzten Jahrzehnts.

Auf die nächsten zehn Jahre, in denen wir das Web sicherer machen – ein Header nach dem anderen, ein Zertifikat nach dem anderen, ein gut konfigurierter Server nach dem anderen.


Brauchst du Hilfe bei deinen Sicherheitsgrundlagen? Bei NameOcean gibt es kostenlose SSL-Zertifikate, automatisierte DNS-Verwaltung und Hosting-Umgebungen, die für moderne Sicherheitsstandards konfiguriert sind. Denn der beste Zeitpunkt, deine Seite abzusichern, war vor einem Jahrzehnt. Der zweitbeste Zeitpunkt ist jetzt.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DA ZH-HANS EN