Daten aus dem SiteGuardian EU Web Security Benchmark — April 2026, 704.044 bewertete Websites aus 30 Ländern.
94,8% fallen durch
Wir haben 704.044 europäische Websites automatisiert geprüft — über sechs Dimensionen: HTTP-Security-Headers, TLS-Konfiguration, DNS-Sicherheit, E-Mail-Authentifizierung, Accessibility und Cookie-Compliance.
Das Ergebnis:
| Note | Anteil |
|---|---|
| A | 0,0% (16 Websites) |
| B | 0,2% |
| C | 5,0% |
| D | 52,5% |
| F | 42,3% |
Das sind keine Nischenseiten. Im Benchmark stecken Unternehmen, Behörden, Krankenhäuser, Banken und E-Commerce-Plattformen aus der gesamten EU — Organisationen, die unter NIS2, DORA oder DSGVO operieren und täglich personenbezogene Daten verarbeiten.
Die regulatorische Landschaft: Was die EU verlangt
Die EU hat in den letzten drei Jahren einen regulatorischen Rahmen geschaffen, der Web-Sicherheit von einem Nice-to-have zur Pflicht macht. Drei Regelwerke sind besonders relevant:
NIS2 (Richtlinie 2022/2555) — seit Oktober 2024 in nationales Recht umzusetzen. Artikel 21(2) verlangt von wesentlichen und wichtigen Einrichtungen konkrete Maßnahmen: Kryptographie, Incident Response, Lieferkettensicherheit und — in Absatz (e) — Vulnerability Handling and Disclosure. Betroffen sind Energie, Transport, Gesundheitswesen, digitale Infrastruktur, Fertigung, Lebensmittel, Postdienste und digitale Anbieter. Strafen: bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes.
DORA (Verordnung 2022/2554) — gilt seit Januar 2025 für den Finanzsektor. Artikel 6-8 fordern ein ICT-Risikomanagement inklusive Schwachstellenidentifikation und -behebung. Betroffen sind Banken, Versicherer, Investmentfirmen, Krypto-Dienstleister und deren kritische IT-Zulieferer.
Cyber Resilience Act (Verordnung 2024/2847) — Meldepflichten für aktiv ausgenutzte Schwachstellen ab September 2026 (Art. 11), koordinierte Vulnerability Disclosure ab Dezember 2027 (Art. 14). Betroffen sind Hersteller, Importeure und Händler digitaler Produkte. Strafen: bis zu 15 Mio. EUR oder 2,5% des Umsatzes.
Die Anforderungen sind da. Wie sieht die Realität aus?
HTTP-Security-Headers: Die erste Verteidigungslinie fehlt
Security Headers sind serverseitige Anweisungen, die den Browser schützen — gegen Cross-Site-Scripting, Clickjacking, MIME-Confusion und Downgrade-Angriffe. Sie kosten nichts, brauchen meist eine Zeile Konfiguration, und werden trotzdem kaum eingesetzt:
| Header | Adoption | Was er schützt |
|---|---|---|
| Strict-Transport-Security (HSTS) | 27,6% | Verhindert Downgrade auf HTTP |
| X-Content-Type-Options | 27,7% | Blockt MIME-Sniffing |
| X-Frame-Options | 19,2% | Verhindert Clickjacking |
| Referrer-Policy | 13,1% | Kontrolliert Referrer-Leaks |
| Content-Security-Policy (CSP) | 10,8% | Mitigiert XSS und Injection |
| Permissions-Policy | 6,4% | Schränkt Browser-APIs ein |
Drei von vier Websites erlauben unverschlüsselte Verbindungen, obwohl ein TLS-Zertifikat vorhanden ist — HSTS fehlt. 24,3% leiten nicht einmal automatisch auf HTTPS um.
Content Security Policy — die wirksamste Einzelmaßnahme gegen XSS-Angriffe — ist bei 89% der Websites nicht vorhanden.
E-Mail-Sicherheit: Phishing leicht gemacht
Phishing und Business Email Compromise sind die häufigsten Angriffsvektoren in Europa. Die technischen Gegenmaßnahmen existieren seit Jahren — und werden nicht eingesetzt:
| Standard | Adoption | Zweck |
|---|---|---|
| SPF | 75,7% | Absenderverifikation |
| STARTTLS | 56,3% | Transportverschlüsselung |
| DMARC | 46,8% | Policy-Durchsetzung |
| DKIM | 31,1% | Nachrichtenintegrität |
| MTA-STS | 0,5% | Erzwungene Transportverschlüsselung |
SPF allein reicht nicht. Ohne DMARC mit reject- oder quarantine-Policy kann jeder E-Mails im Namen Ihrer Domain versenden. Von den 46,8% die DMARC haben, setzen 63% die Policy auf none — also keine Durchsetzung. Die Domain bleibt spoofbar.
Besonders aufschlussreich sind die Fehlkonfigurationen im Feld. Wir finden DMARC-Policies wie quarantaine, rejet, keiner, brak (polnisch für "fehlt"), beleidsnaam (niederländisch für "Policy-Name") — und eine Website, die ihren kompletten RSA-Schlüssel ins Policy-Feld kopiert hat. Solche Konfigurationsfehler sind schwer zu entdecken — der Record existiert, die Compliance-Checkliste ist abgehakt, aber der Schutz greift nicht. Genau für diese Lücke zwischen "konfiguriert" und "wirksam" haben wir SiteGuardian entwickelt: automatisierte Prüfung, die nicht nur das Vorhandensein, sondern die korrekte Funktion jeder Maßnahme verifiziert.
DNS: Das Fundament ist ungesichert
| Standard | Adoption | Zweck |
|---|---|---|
| DNSSEC | 15,8% | Schutz vor DNS-Manipulation |
| CAA | 3,0% | Kontrolle über Zertifikatsausstellung |
| MTA-STS | 0,5% | Erzwungene E-Mail-Verschlüsselung |
| DANE/TLSA | <1% | Zertifikatspinning für SMTP |
84% der europäischen Domains haben keinen DNSSEC-Schutz. Ein Angreifer, der DNS-Antworten manipulieren kann, kann Nutzer auf gefälschte Seiten umleiten — inklusive gültigem TLS-Zertifikat, wenn kein CAA-Record die Ausstellung einschränkt. 97% haben keinen.
Der security.txt-Indikator
RFC 9116 definiert eine einfache Textdatei unter /.well-known/security.txt, die Sicherheitsforschern einen standardisierten Meldekanal bietet. Das BSI empfiehlt sie explizit, NIS2 verlangt Vulnerability Disclosure, der CRA macht koordinierte Offenlegung zur Pflicht.
Adoptionsrate in der EU: 2,8%.
Der interessante Befund: security.txt korreliert stark mit der Gesamtreife einer Website.
| Metrik | MIT security.txt | OHNE | Faktor |
|---|---|---|---|
| Composite Score | 55 | 42 | +31% |
| HSTS | 72% | 26% | 2,8× |
| Content Security Policy | 47% | 10% | 4,7× |
| Note F | 6% | 44% | 7× weniger |
security.txt ist kein Allheilmittel. Wer es einrichtet, hat meistens den Rest auch im Griff. Es ist ein Proxy für Security-Maturity — fehlt es, fehlt meistens alles andere auch.
Wo Europa steht: Das Länder-Ranking
| Rang | Land | Score | Anzahl |
|---|---|---|---|
| 1 | Malta | 46 | 640 |
| 2 | Island | 45 | 928 |
| 3 | Deutschland | 45 | 203.075 |
| 4 | Großbritannien | 44 | 73.769 |
| 5 | Luxemburg | 44 | 1.303 |
| 6 | Schweiz | 43 | 26.248 |
| 7 | Norwegen | 43 | 8.814 |
| 8 | Niederlande | 43 | 37.893 |
| ... | |||
| 26 | Spanien | 39 | 26.214 |
| 27 | Österreich | 39 | 30.804 |
| 28 | Ungarn | 38 | 6.886 |
| 29 | Litauen | 38 | 3.539 |
| 30 | Polen | 37 | 30.694 |
Deutschland führt unter den großen EU-Staaten — aber mit 45 von 100 Punkten. Das Beste unter den Schlechten. Der Abstand zwischen Platz 1 und Platz 30 beträgt gerade einmal 9 Punkte. Europa hat kein Vorreiter-Land, das den Standard setzt. Es hat ein flächendeckendes Defizit.
Was CISOs jetzt tun sollten
1. Baseline messen. Sie können nicht managen, was Sie nicht messen. Scannen Sie Ihre Domains — automatisiert, regelmäßig, über alle sechs Dimensionen.
2. Security Headers aktivieren. HSTS, CSP, X-Content-Type-Options — drei Header, die einen Großteil der häufigsten Web-Angriffe mitigieren. Die meisten Web-Frameworks können das mit einer Konfigurationszeile.
3. DMARC auf reject setzen. Starten Sie mit quarantine und pct=10, beobachten Sie die Reports, eskalieren Sie zu reject. policy=none schützt niemanden.
4. DNSSEC aktivieren. Sprechen Sie mit Ihrem DNS-Provider. Die meisten großen Anbieter unterstützen es — es muss nur eingeschaltet werden.
5. security.txt einrichten. Fünf Minuten Aufwand, RFC 9116. Zwei Pflichtfelder: Contact und Expires. Das BSI hat eine Anleitung, und NIS2 Art. 21(2)(e) verlangt Vulnerability Disclosure.
6. Nicht nur die Startseite prüfen. Subdomains, APIs, Mailserver — die Angriffsfläche ist größer als die Homepage. Ein automatisierter Benchmark deckt systematisch auf, was manuelle Audits übersehen.
Methodik
Dieser Artikel basiert auf dem SiteGuardian EU Web Security Benchmark mit 704.044 bewerteten Websites aus 30 europäischen Ländern (Stand April 2026). Der Benchmark prüft sechs Dimensionen: HTTP-Security-Headers, TLS-Zertifikate, DNS-Sicherheit (DNSSEC, CAA, DANE, MTA-STS), E-Mail-Authentifizierung (SPF, DKIM, DMARC, STARTTLS), Accessibility (WCAG 2.2 AA) und Cookie-Compliance. Alle Scans laufen automatisiert, kontinuierlich, ohne manuelle Auswahl oder Sponsoring.
Der Benchmark ist frei zugänglich unter siteguardian.io/benchmark.
SiteGuardian ist ein EU-basiertes Compliance- und Monitoring-Tool für Web-Sicherheit, entwickelt in Deutschland.