Produktsicherheit beginnt beim ersten Klick, nicht bei den Servereinstellungen

By Hanna Svirina | July 13, 2026

Wenn man einen Frontend-Entwickler fragt, wie er mit Sicherheit umgeht, nennt er normalerweise die Grundlagen: die Überprüfung der Passwortlänge oder das Ausblenden von Admin-Buttons für normale Benutzer.

Und das war’s dann meistens auch schon. Wir haben uns alle an den Gedanken gewöhnt, dass das Frontend nur der «schöne» Teil ist: elegante UI, Geschwindigkeit, Performance und flüssige Animationen. In der Branche hält sich hartnäckig der Mythos, dass die Client-Seite sicheres Terrain ist und dass Sicherheit ausschliesslich ein «Backend-Problem» ist.

Die Realität ist jedoch, dass über 80 % der Web-Schwachstellen das Frontend betreffen. Die Client-Seite ist deine erste Verteidigungslinie. Eine App zu bauen, ohne Frontend-Risiken zu berücksichtigen, ist so, als würde man ein Hochsicherheitsschloss an seinem Backend anbringen, während man die Fenster weit offen lässt.

Probleme tauchen an den unerwartetsten Stellen auf. Nehmen wir etwas so Einfaches wie den Ort, an dem du Token im Browser speicherst. Es klingt wie ein kleines Detail, aber wenn man es falsch macht, kann ein XSS-Angriff die gesamte Sitzung deines Benutzers an einen Hacker übergeben. Das ist ein Albtraum für jeden, besonders im Bankenbereich.

Und hier liegt das ultimative Frontend-Dilemma: LocalStorage lässt dich weit offen für XSS. HttpOnly-Cookies schützen deine Token vor XSS, öffnen aber traditionell die Tür für CSRF. Wenn man Token strikt im Arbeitsspeicher (In-Memory) aufbewahrt, ist man vor beiden geschützt, aber die Sitzung bricht bei einer einfachen Aktualisierung der Seite ab. In realen, komplexen Architekturen balancieren wir immer zwischen eiserner Sicherheit und einem reibungslosen Benutzererlebnis. Wir müssen uns daran erinnern, dass jeder Vorteil, den wir wählen, mit einem neuen Sicherheitsrisiko einhergeht.

Dann sind da noch die «versteckten Kosten» moderner Frameworks wie React, Angular oder Next.js. Wir tauschen Kontrolle gegen Geschwindigkeit und enden mit Hunderten von Abhängigkeiten von Drittanbietern. Ein anfälliges Paket tief in deiner package.json, und plötzlich hat dein gesamtes Unternehmenssystem eine Hintertür.

Wir messen «Risiko» normalerweise daran, ob der Server läuft oder down ist. Aber eine echte Krise ist kein Absturz. Du kannst ein technisches Problem mit einem einfachen Rollback oder einem schnellen Hotfix beheben. Aber ein Datenleck? Das zerstört den Ruf deiner Marke sofort, ohne «Rückgängig»-Taste.

Die Zeiten, in denen man einfach nur Code geschrieben und die Sicherheit den Backend-Entwicklern überlassen hat, sind vorbei. Um ehrlich zu sein: Sie haben nie wirklich existiert.

Die Tech-Welt bewegt sich in Richtung einer Zero-Trust-Philosophie. Das Kernprinzip ist einfach: Niemals vertrauen, immer überprüfen. In dieser Denkweise ist das Frontend nicht nur eine «schöne Fassade» - es ist ein kritischer Teil deines Sicherheitsperimeters.

Sicherheit ist kein abschliessender Check, bevor du auslieferst; es ist ein Standard, der in dem Moment beginnt, in dem du deine allererste Zeile Code schreibst.