HTTPS verschlüsselt nahezu alle Informationen, die zwischen Client und Webservice ausgetauscht werden. Richtig konfiguriert, garantiert es drei Dinge:

• Vertraulichkeit. Eine Verbindung ist verschlüsselt und URLs, Cookies und andere sensible Metadaten sind geschützt.
• Authentizität. Ein Besucher interagiert mit der „echten“ Website und nicht mit einem Imitat oder über einen „Man-in-the-Middle“.
• Integrität. Die zwischen dem Besucher und der Website übermittelten Daten wurden nicht manipuliert oder verändert.

Einfache HTTP-Verbindungen können leicht überwacht, verändert oder nachgeahmt werden. Jede unverschlüsselte verschickte HTTP-Anfrage beinhaltet Meta-Informationen und ermöglicht Rückschlüsse auf das Verhalten. Das Mitlauschen und Nachverfolgen von unverschlüsseltem Surfen ist zur Selbstverständlichkeit geworden.

DSGVO: Erwägungsgrund 83, Art. 5.1.f, Art. 25, Art. 32.1
Nach DSGVO Art. 25 ist ein Controller für die Durchsetzung des Datenschutzes bereits in der Entwicklung und in Standardeinstellungen auf dem aktuellen Stand der Technik verantwortlich. Verschlüsselte Verbindungen sind eine etablierte Technologie zum Schutz der Privatsphäre von Website-Besuchern vor Lauschangriffen.

HTTP Strict Transport Security (HSTS) ist ein breit unterstützter Standard zum Schutz der Besucher, der sicherstellt, dass der Browser die Verbindung zu einem Webauftritt immer über HTTPS herstellt. Mit HSTS entfällt die unsichere Notwendigkeit der Weiterleitung eines Besuchers von - zu -URLs.

Eine Content Security Policy (CSP) ist eine zusätzliche Sicherheitsebene, die dazu beiträgt, bestimmte Arten von Angriffen wie Cross-Site-Scripting (XSS) und Data-Injection zu erkennen und zu entschärfen. Diese Angriffe werden für die bösartige Veränderung einer Website über Datendiebstahl bis hin zur Verbreitung von Malware genutzt.

Der Referrer-Header ist ein Albtraum für die Privatsphäre, da er es Websites und Diensten ermöglicht, Sie und Ihre Besucher im gesamten Web zu verfolgen und ihre Surfgewohnheiten (und damit möglicherweise private, sensible Informationen) herauszufinden, insbesondere in Kombination mit Cookies.

Durch die Festlegung einer Referrer-Richtlinie können Websites den Browsern mitteilen, dass sie keine Referrer weitergeben dürfen. Mit der Referrer-Richtlinie können sie eine Richtlinie festlegen, die auf alle angeklickten Links sowie auf alle anderen von der Seite generierten Anfragen (Bilder, JS usw.) angewendet wird.

DSGVO: Erwägungsgrund 83, Art. 5.1.c, Art. 25, Art. 32.2
Das Setzen einer Referrer-Richtlinie ist ein einfacher Weg zur Datenminimierung (Art. 5.1.c) und trägt dazu bei, dass personenbezogene Daten nicht unnötigerweise offengelegt werden (Art. 32.2).

Die Verwendung von Content Delivery Networks (CDNs) zum Hosten von Dateien wie Skripten oder Stilvorlagen kann die Leistung einer Website verbessern und die Bandbreite reduzieren. Die Verwendung von CDNs birgt jedoch auch das Risiko, dass ein Angreifer, der die Kontrolle über ein CDN erlangt, beliebige bösartige Inhalte in Dateien auf dem CDN injizieren (oder die Dateien komplett ersetzen) und somit potenziell alle Websites angreifen kann, die Dateien von diesem CDN abrufen.

Subresource Integrity minimiert das Risko solcher Angriffe. Es stellt sicher, dass Dateien einer Webanwendung, die von CDN oder sonstigen Quellen stammen, auch ohne Manipulationen geladen werden können.

DSGVO: Erwägungsgrund 83, Art. 5.1.f, Art. 25, Art. 32.2
Dies ist eine einfache Maßnahme gegen unbefugte Offenlegung oder Zugriff auf personenbezogene Daten, welche übertragen, gespeichert oder anderweitig verarbeitet werden könnten.

DSGVO: Art. 5.1.c, Art. 5.1.f, Art. 25, Art. 32.1-2.
Diese Header helfen dabei, das Risiko eines Datenmissbrauchs zu minimieren.