# Befund- und Fixplan für tirol.gv.at

tirol.gv.at: 29 konsolidierte Befund(e), davon 2 hoch und 16 mittel priorisiert.
Check: 2026-07-05 02:02:42.602686+02

> Konsolidierte Arbeitsliste aus öffentlicher SaferPage-Evidenz. Betreiber müssen Befunde fachlich prüfen, interne Systeme ergänzen und nach Umsetzung erneut scannen.

## CVE-2026-24072: An escalation of privilege bug in various modules in Apache HTTP 2.4.66 and earlier allows local .htaccess authors to read files with the privileges of the httpd user

- Priorität: hoch / Impact 95
- Bereich: vulnerability / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: CVE-2026-24072: An escalation of privilege bug in various modules in Apache HTTP 2.4.66 and earlier allows local .htaccess authors to read files with the privileges of the httpd user
- Maßnahme: Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.
- Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben

## Anbieterakten, AVV/DPA und Transfers prüfen

- Priorität: hoch / Impact 82
- Bereich: Anbieter & Transfer / Verantwortlich: Legal/Vendor-Verantwortung
- Nachweis: Vendor-Due-Diligence mit 1 Anbieter(n), 0 hohem Risiko, 1 AVV-/DPA-Prüfung(en) und 0 Transfer-/Jurisdiktionsfrage(n).
- Maßnahme: Top-Anbieter nach Risiko priorisieren, Rolle, Vertrag, TOMs, Unterauftragsverarbeiter und Transfergrundlage dokumentieren.
- Hintergrund-Link: https://saferpage.de/anbieter/tirol.gv.at

## Apache 2.4 wirkt deutlich veraltet

- Priorität: mittel / Impact 70
- Bereich: vulnerability / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Apache 2.4 wirkt deutlich veraltet
- Maßnahme: Pruefen, ob der sichtbare Apache-Header durch Distribution-Backports abgesichert ist. Falls nicht, auf einen aktuellen 2.4-Patchstand aktualisieren oder ServerTokens reduzieren.
- Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben

## Betreibername im Impressum nicht klar erkannt

- Priorität: mittel / Impact 70
- Bereich: privacy / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Betreibername im Impressum nicht klar erkannt
- Maßnahme: Im Impressum Betreibername, Rechtsform oder verantwortliche Person klar nennen.
- Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog

## Canonical zeigt auf fremde Domain

- Priorität: mittel / Impact 70
- Bereich: seo / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Canonical zeigt auf fremde Domain
- Maßnahme: Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.
- Hintergrund-Link: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen

## Content-Security-Policy fehlt

- Priorität: mittel / Impact 70
- Bereich: security_headers / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Content-Security-Policy fehlt
- Maßnahme: Header `content-security-policy` setzen und nach Deployment erneut prüfen.
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Cookies/Tracking in der Datenschutzerklärung nicht klar erkannt

- Priorität: mittel / Impact 70
- Bereich: privacy / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Cookies/Tracking in der Datenschutzerklärung nicht klar erkannt
- Maßnahme: Cookie-, Tracking-, Web-Storage- und Drittanbieter-Hinweise mit der tatsächlichen Technik aus dem Scan abgleichen.
- Hintergrund-Link: https://saferpage.de/guides/datenschutzerklaerung-verbessern

## Datenschutzerklärung deckt zentrale Bausteine nicht vollständig ab

- Priorität: mittel / Impact 70
- Bereich: privacy / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Datenschutzerklärung deckt zentrale Bausteine nicht vollständig ab
- Maßnahme: Verantwortlicher, Zwecke, Rechtsgrundlagen, Rechte, Speicherfristen, Empfänger, Cookies/Tracking und Widerruf strukturiert ergänzen.
- Hintergrund-Link: https://saferpage.de/guides/datenschutzerklaerung-verbessern

## Ladungsfähige Anschrift im Impressum nicht klar erkannt

- Priorität: mittel / Impact 70
- Bereich: privacy / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Ladungsfähige Anschrift im Impressum nicht klar erkannt
- Maßnahme: Straße, Hausnummer, Postleitzahl und Ort im Impressum eindeutig aufführen.
- Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog

## Langsame Serverantwort

- Priorität: mittel / Impact 70
- Bereich: performance / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Langsame Serverantwort
- Maßnahme: Serverantwort, Caching und Backend-Latenz prüfen.
- Hintergrund-Link: https://saferpage.de/guides/performance-und-mobile-usability-verbessern

## X-Content-Type-Options fehlt

- Priorität: mittel / Impact 70
- Bereich: security_headers / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: X-Content-Type-Options fehlt
- Maßnahme: Header `x-content-type-options` setzen und nach Deployment erneut prüfen.
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Rechte- und Anfrageprozess schließen

- Priorität: mittel / Impact 62
- Bereich: Betroffenenrechte / Verantwortlich: Datenschutz/Support
- Nachweis: Betroffenenrechte-Readiness: 80/100 Punkte, 2 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.
- Maßnahme: Auskunft, Löschung, Berichtigung, Widerspruch, Widerruf, Fristen und Antwortweg als Betreiberprozess dokumentieren.
- Hintergrund-Link: https://saferpage.de/rechte/tirol.gv.at

## Consent-Audit zeigt Handlungsbedarf

- Priorität: mittel / Impact 42
- Bereich: Consent & Tracking / Verantwortlich: Marketing/IT
- Nachweis: Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.
- Maßnahme: Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen.
- Hintergrund-Link: https://saferpage.de/consent/tirol.gv.at

## Datenschutz, Cookies & Consent

- Priorität: mittel / Impact 42
- Bereich: Audit-Modul / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: 0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 58.
- Maßnahme: Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
- Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren

## Security-Header und Browser-Schutz härten

- Priorität: mittel / Impact 42
- Bereich: Security / Verantwortlich: IT/Security
- Nachweis: 2 von 9 wichtigen Security-Headern vorhanden, 2 korrekt bewertet. Keine Content-Security-Policy gefunden.
- Maßnahme: Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen.
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Sicherheit, TLS & Header

- Priorität: mittel / Impact 42
- Bereich: Audit-Modul / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: 0 Infrastruktur-Hinweis(e), Security-Header: 2/9 vorhanden, 7 fehlen, externe Skript-Hosts: 0.
- Maßnahme: HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Performance & mobile Nutzbarkeit

- Priorität: mittel / Impact 35
- Bereich: Audit-Modul / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Performance-Score 76, Antwortzeit 5067 ms.
- Maßnahme: Antwortzeit, Komprimierung, Viewport und blockierende Ressourcen optimieren.
- Hintergrund-Link: https://saferpage.de/guides/performance-und-mobile-usability-verbessern

## Seitenabdeckung & Crawl

- Priorität: mittel / Impact 35
- Bereich: Audit-Modul / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: 30 interne Linkziele erkannt, 4 priorisierte Unterseite(n) abgerufen.
- Maßnahme: Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.
- Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog

## Betreiberidentität wirkt unklar

- Priorität: niedrig / Impact 35
- Bereich: privacy / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Betreiberidentität wirkt unklar
- Maßnahme: Prüfen, ob Firma/Name und ladungsfähige Anschrift im Impressum vollständig erkennbar sind.
- Hintergrund-Link: https://saferpage.de/guides/impressum-und-kontakt-sichtbar-machen

## Cross-Origin-Embedder-Policy fehlt

- Priorität: niedrig / Impact 35
- Bereich: security_headers / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Cross-Origin-Embedder-Policy fehlt
- Maßnahme: Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Cross-Origin-Opener-Policy fehlt

- Priorität: niedrig / Impact 35
- Bereich: security_headers / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Cross-Origin-Opener-Policy fehlt
- Maßnahme: Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Cross-Origin-Resource-Policy fehlt

- Priorität: niedrig / Impact 35
- Bereich: security_headers / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Cross-Origin-Resource-Policy fehlt
- Maßnahme: Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Datenschutzkontakt oder DPO-Hinweis nicht klar erkannt

- Priorität: niedrig / Impact 35
- Bereich: privacy / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Datenschutzkontakt oder DPO-Hinweis nicht klar erkannt
- Maßnahme: Betreiber sollten einen Datenschutzkontakt nennen oder nachvollziehbar erklären, wie Datenschutzanfragen gestellt werden können.
- Hintergrund-Link: https://saferpage.de/guides/datenschutzerklaerung-verbessern

## HTML-Antwort ist groß

- Priorität: niedrig / Impact 35
- Bereich: performance / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: HTML-Antwort ist groß
- Maßnahme: HTML reduzieren, kritische Inhalte priorisieren und unnötige Inline-Daten vermeiden.
- Hintergrund-Link: https://saferpage.de/guides/performance-und-mobile-usability-verbessern

## Komprimierung nicht erkannt

- Priorität: niedrig / Impact 35
- Bereich: performance / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Komprimierung nicht erkannt
- Maßnahme: Brotli oder gzip für HTML/CSS/JS aktivieren.
- Hintergrund-Link: https://saferpage.de/guides/performance-und-mobile-usability-verbessern

## Permissions-Policy fehlt

- Priorität: niedrig / Impact 35
- Bereich: security_headers / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Permissions-Policy fehlt
- Maßnahme: Header `permissions-policy` setzen und nach Deployment erneut prüfen.
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Referrer-Policy fehlt

- Priorität: niedrig / Impact 35
- Bereich: security_headers / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Referrer-Policy fehlt
- Maßnahme: Header `referrer-policy` setzen und nach Deployment erneut prüfen.
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Stand der Datenschutzerklärung nicht klar erkennbar

- Priorität: niedrig / Impact 35
- Bereich: privacy / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Stand der Datenschutzerklärung nicht klar erkennbar
- Maßnahme: Betreiber sollten ein gut sichtbares Stand- oder Aktualisierungsdatum ergänzen und die Erklärung nach technischen Änderungen prüfen.
- Hintergrund-Link: https://saferpage.de/guides/datenschutzerklaerung-verbessern

## Viele Tastatur-/Eingabe-Listener im Browser erkannt

- Priorität: niedrig / Impact 35
- Bereich: privacy / Verantwortlich: Website-Betrieb/Datenschutz
- Nachweis: Viele Tastatur-/Eingabe-Listener im Browser erkannt
- Maßnahme: Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.
- Hintergrund-Link: https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen

Links:
- findings_center: https://saferpage.de/befunde/tirol.gv.at
- json: https://saferpage.de/befunde/tirol.gv.at/export
- csv: https://saferpage.de/befunde/tirol.gv.at/export-csv
- fixplan_markdown: https://saferpage.de/befunde/tirol.gv.at/fixplan-md
- report: https://saferpage.de/tirol.gv.at
- briefing: https://saferpage.de/briefing/tirol.gv.at
- operator_board: https://saferpage.de/betreiber/tirol.gv.at
- guides: https://saferpage.de/guides
