WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

Welchen Sicherheitsheader sollte ich zuerst bereitstellen?

Beginnen Sie mit der sichersten Baseline: X-Content-Type-Options, einer bewussten Referrer-Policy, sicheren Cookie-Flags und einem stufenweisen CSP-Rollout. HSTS ist leistungsstark, sollte aber erst erzwungen werden, wenn HTTPS ueberall stabil ist, wo Sie es benoetigen.

Kann ein starker CSP Anwendungssicherheitstests ersetzen?

Nein. CSP reduziert das browserseitige Ausfuehrungsrisiko, ersetzt aber weder Code-Reviews, noch Abhaengigkeitshygiene, noch DAST, noch Authentifizierungspruefungen, noch Remediation-Workflows.

Sollten sich KMU um Permissions-Policy kuemmern?

Ja. Selbst einfache Websites profitieren davon, Browser-Faehigkeiten explizit zu deaktivieren, die sie nicht nutzen. Es ist eine kostenguenstige Moeglichkeit, unnoetige Exposition zu reduzieren.

Wie oft sollten Header ueberprueft werden?

Ueberpruefen Sie sie nach Deployments, wenn sich Drittanbieter-Skripte aendern, und nach einem wiederkehrenden Monitoring-Zeitplan. Die Header-Haltung driftet leise ab, wenn niemand dafuer verantwortlich ist.

Sicherheitsheader-Checkliste — Produktions-Baseline fuer KMU

Warum Sicherheitsheader weiterhin unverzichtbar sind

Sicherheitsheader gehoeren zu den wenigen Haertungskontrollen, die Ihre Baseline sofort verbessern, ohne Ihr Produkt umschreiben zu muessen. Sie teilen dem Browser mit, wie er Ihre Seiten, Cookies, Framing-Richtlinien und Regeln fuer das Laden externer Ressourcen behandeln soll.

Fuer KMU sind Header besonders wertvoll, da sie ganze Kategorien haeufiger Fehler bei schnellen Produktiterationen reduzieren: permissives Framing, Mixed Content, schwache Cookie-Einstellungen, versehentliche Skripteinbindung und unkontrollierte Drittanbieter-Integrationen. Sie ersetzen keinen sicheren Code, aber sie reduzieren den Explosionsradius, wenn etwas durchrutscht.

Das operative Ziel ist nicht, einen perfekten Score bei einem oeffentlichen Benchmark zu erreichen. Das Ziel ist, eine kleine, stabile Header-Baseline zu betreiben, die zu Ihrem Stack passt, Deployments ueberlebt und kontinuierlich ueberprueft wird, anstatt einmal konfiguriert und dann vergessen zu werden.

Empfohlene Produktions-Baseline

Eine solide KMU-Baseline beginnt mit einem kurzen Satz von Headern, die jeweils einen klaren operativen Zweck haben. Halten Sie die Richtlinie fuer Ihr Team verstaendlich und versionieren Sie sie wie jede andere Produktionskonfiguration, damit Aenderungen ueberprueft und rueckgaengig gemacht werden koennen.

Content-Security-Policy: Script-, Style-, Connect-, Image- und Frame-Quellen auf bekannte Urspruenge beschraenken, dann schrittweise verschaerfen.
Strict-Transport-Security: HTTPS mit langem max-age erst erzwingen, nachdem sichergestellt ist, dass jede Subdomain sicher HTTPS bereitstellen kann.
X-Content-Type-Options: nosniff: MIME-Verwirrung fuer Skripte und Stile verhindern.
Referrer-Policy: unnoetige Datenlecks reduzieren bei gleichzeitiger Beibehaltung berechtigter Analytics-Anwendungsfaelle.
Permissions-Policy: Browser-Faehigkeiten deaktivieren, die Sie nicht explizit benoetigen, wie Kamera, Mikrofon, Geolokalisierung oder Interest-Cohort-Funktionen.
Set-Cookie-Flags: Secure, HttpOnly und SameSite mit expliziter Absicht bei Session-Cookies verwenden.
Frame-Schutz: frame-ancestors in CSP oder X-Frame-Options verwenden, wenn Legacy-Kompatibilitaet erforderlich ist.

Wie man Header bereitstellt, ohne die Produktion zu beschaedigen

Der haeufigste Fehler ist, einen ambitionierten CSP im Enforcement-Modus auszuliefern, ohne zu wissen, was Ihr Frontend tatsaechlich laedt. Ein sichereres Rollout-Muster ist, Ihre First-Party- und Drittanbieter-Urspruenge zu inventarisieren, eine Report-kompatible Version im Staging bereitzustellen, Rauschen zu beseitigen und erst dann in der Produktion durchzusetzen.

Behandeln Sie Header als Anwendungsvertrag. Wenn Marketing-Skripte, Analytics, Chat-Widgets, Zahlungsanbieter oder KI-Anbieter eingefuehrt werden, muss die Header-Baseline in derselben Aenderung ueberprueft werden. Andernfalls entsteht ein Zyklus, in dem Features die Richtlinie stillschweigend schwaechen und niemand weiss, wem die Regression gehoert.

Es ist auch wichtig, oeffentliche Seiten von authentifizierten Oberflaechen zu unterscheiden. Ihr Dashboard, Ihre Marketing-Website, Ihr Authentifizierungsfluss und Ihre Datei-Download-Endpunkte benoetigen moeglicherweise leicht unterschiedliche Richtlinien. Ein einziger kopierter Header-Block ueber alle Routen hinweg ist oft zu grob und verursacht entweder Brueche oder ungerechtfertigte Ausnahmen.

Was kontinuierlich ueberprueft werden muss

Die Validierung sollte Vorhandensein, Syntax und geschaeftliche Relevanz abdecken. Einen CSP-Header zu haben reicht nicht, wenn er ueberall Wildcard-Quellen enthaelt. HSTS zu haben reicht nicht, wenn Redirects noch ueber HTTP laufen oder kritische Subdomains unbeabsichtigt ausgelassen werden.

WarDek ist hier nuetzlich, weil es Header in ein operatives Signal verwandelt statt in einen einmaligen Screenshot. Sie koennen pruefen, ob wichtige Header fehlen, Regressionen nach Deployments erkennen und die Header-Haltung mit dem Rest der Website-Baseline verbinden: TLS-Qualitaet, Cookies, exponierte Dateien, CORS und Compliance-Nachweise.

Die besten Teams definieren Verantwortliche, dokumentieren Ausnahmen und fuehren eine kurze Remediation-Warteschlange. Ein Header-Problem sollte nicht ewig in einem generischen Backlog verbleiben. Es sollte einen Verantwortlichen, einen Grund, ein Ziel-Fix und einen Validierungsschritt nach dem Deployment haben.

Haeufige Fehler, die Teams vermeiden sollten

Optimieren Sie nicht nur fuer Eitelkeitsnoten. Einige oeffentliche Scanner belohnen aggressive Einstellungen, die Ihre geschaeftlichen Einschraenkungen nicht widerspiegeln. Ihre Mission ist eine dauerhafte Richtlinie, die Ihr Team versteht und pflegen kann.

Vermeiden Sie unsafe-inline und unsafe-eval in CSP, es sei denn, Sie haben einen Uebergangsplan, um sie zu entfernen. Wenn Sie sie voruebergehend beibehalten muessen, dokumentieren Sie warum, wo und fuer wie lange. Dasselbe gilt fuer breite connect-src- oder frame-src-Erlaubnisse fuer Drittanbieter-Tools, die niemand kuerzlich ueberprueft hat.

Denken Sie daran, dass Header Teil einer breiteren Vertrauenshaltung sind. Sie unterstuetzen sicheres Browsen, ersetzen aber weder Patching, noch Zugriffskontrolle, noch Monitoring, noch sichere Entwicklungspraktiken, noch Compliance-Nachweise. Betrachten Sie sie als Basiskontrolle, die kontinuierlich ueberprueft und Nicht-Spezialisten klar erklaert werden sollte.