Befund-Center / Fixplan

zv-forum.de: priorisierte Befunde

zv-forum.de: 44 konsolidierte Befund(e), davon 9 hoch und 22 mittel priorisiert.

Konsolidierte Arbeitsliste aus öffentlicher SaferPage-Evidenz. Betreiber müssen Befunde fachlich prüfen, interne Systeme ergänzen und nach Umsetzung erneut scannen.

44 Befunde
44Befunde 9hoch 22mittel 8Quellen 20Hintergrund-Links

Arbeitsliste

Konkrete Fehler und nächste Schritte

Fixplan exportieren
CVE-2016-0736: In Apache HTTP Server versions 2.4.0 to 2.4.23, mod_session_crypto was encrypting its data/cookie using the configured ciphers with possibly either CBC or ECB modes of operation (A hoch · vulnerability · Impact 95

Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.

Nachweis: CVE-2016-0736: In Apache HTTP Server versions 2.4.0 to 2.4.23, mod_session_crypto was encrypting its data/cookie using the configured ciphers with possibly either CBC or ECB modes of operation (A · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
PHP-Version ist nicht mehr upstream unterstuetzt hoch · vulnerability · Impact 95

PHP auf eine aktuell unterstuetzte Version migrieren. Upstream-Sicherheitsfixes gibt es laut php.net nur noch fuer PHP 8.2 bis 8.5; alte 7.x/8.0/8.1-Header sind kritisch, sofern kein Distribution-Backport nachweisbar ist.

Nachweis: PHP-Version ist nicht mehr upstream unterstuetzt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Anbieterakten, AVV/DPA und Transfers prüfen hoch · Anbieter & Transfer · Impact 82

Top-Anbieter nach Risiko priorisieren, Rolle, Vertrag, TOMs, Unterauftragsverarbeiter und Transfergrundlage dokumentieren.

Nachweis: Vendor-Due-Diligence mit 2 Anbieter(n), 0 hohem Risiko, 2 AVV-/DPA-Prüfung(en) und 0 Transfer-/Jurisdiktionsfrage(n). · Quelle: vendor_due_diligence
Verantwortlich
Legal/Vendor-Verantwortung
Hintergrund-Link
öffnen
Consent-Audit zeigt Handlungsbedarf hoch · Consent & Tracking · Impact 68

Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen.

Nachweis: Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig. · Quelle: consent_audit
Verantwortlich
Marketing/IT
Hintergrund-Link
öffnen
Datenschutz, Cookies & Consent hoch · Audit-Modul · Impact 68

Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.

Nachweis: 0 Tracking-Script(s), 5 Cookie(s) vor Einwilligung, 2 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 32. · Quelle: audit_module
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Security-Header und Browser-Schutz härten hoch · Security · Impact 66

Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen.

Nachweis: 1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden. · Quelle: security_header
Verantwortlich
IT/Security
Hintergrund-Link
öffnen
Sicherheit, TLS & Header hoch · Audit-Modul · Impact 66

HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.

Nachweis: 1 Infrastruktur-Hinweis(e), Security-Header: 1/9 vorhanden, 8 fehlen, externe Skript-Hosts: 1. · Quelle: audit_module
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Cookie- und Storage-Inventar bereinigen hoch · Cookies & Storage · Impact 59

Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen.

Nachweis: 5 Cookie(s) inventarisiert: 2 Tracking-/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 4 langlebige Cookie(s), 0 sehr lange Laufzeit(en). · Quelle: cookie_inventory
Verantwortlich
Marketing/IT
Hintergrund-Link
öffnen
Cookie-Inventar hoch · Audit-Modul · Impact 59

Cookie-Liste mit Zweck, Anbieter, First-/Third-Party, Secure, SameSite und Speicherdauer gegen Consent-Banner und Datenschutzerklärung abgleichen.

Nachweis: 5 Cookie(s), 2 Tracking-/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 4 langlebig, 0 sehr lang. · Quelle: audit_module
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Apache 2.4 wirkt deutlich veraltet mittel · vulnerability · Impact 70

Pruefen, ob der sichtbare Apache-Header durch Distribution-Backports abgesichert ist. Falls nicht, auf einen aktuellen 2.4-Patchstand aktualisieren oder ServerTokens reduzieren.

Nachweis: Apache 2.4 wirkt deutlich veraltet · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Beacon-/Keepalive-Telemetrie erkannt mittel · privacy · Impact 70

navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.

Nachweis: Beacon-/Keepalive-Telemetrie erkannt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Buttons ohne erkennbaren Namen mittel · accessibility · Impact 70

Buttons mit sichtbarem Text oder aria-label beschriften.

Nachweis: Buttons ohne erkennbaren Namen · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Consent-Banner mit Dark-Pattern-/UX-Risiko mittel · privacy · Impact 70

Ablehnen, Einstellungen und Akzeptieren gleichwertig anbieten und Reject technisch wirksam machen.

Nachweis: Consent-Banner mit Dark-Pattern-/UX-Risiko · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Content-Security-Policy fehlt mittel · security_headers · Impact 70

Header `content-security-policy` setzen und nach Deployment erneut prüfen.

Nachweis: Content-Security-Policy fehlt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Cookie ohne Secure-Flag mittel · privacy · Impact 70

Cookies über HTTPS mit Secure-Flag setzen.

Nachweis: Cookie ohne Secure-Flag · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Cookie-Hinweis ohne klare Ablehnen-Option mittel · privacy · Impact 70

Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.

Nachweis: Cookie-Hinweis ohne klare Ablehnen-Option · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Datenschutzerklärung deckt zentrale Bausteine nicht vollständig ab mittel · privacy · Impact 70

Verantwortlicher, Zwecke, Rechtsgrundlagen, Rechte, Speicherfristen, Empfänger, Cookies/Tracking und Widerruf strukturiert ergänzen.

Nachweis: Datenschutzerklärung deckt zentrale Bausteine nicht vollständig ab · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Erkannte Anbieter fehlen in der Datenschutzerklärung mittel · privacy · Impact 70

Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen.

Nachweis: Erkannte Anbieter fehlen in der Datenschutzerklärung · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
HSTS fehlt mittel · security_headers · Impact 70

Header `strict-transport-security` setzen und nach Deployment erneut prüfen.

Nachweis: HSTS fehlt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Langlebige Tracking-/Marketing-Cookies mittel · privacy · Impact 70

Cookies wie _pk_id.11.c6a1 auf kurze Laufzeiten begrenzen, erst nach Einwilligung setzen und Speicherdauer konkret erklären.

Nachweis: Langlebige Tracking-/Marketing-Cookies · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Möglicherweise nicht notwendige Cookies vor Einwilligung mittel · privacy · Impact 70

Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen.

Nachweis: Möglicherweise nicht notwendige Cookies vor Einwilligung · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Seiten-URL wird in Drittanbieter-Requests übertragen mittel · privacy · Impact 70

Tracking-/Tag-Parameter für Anbieter wie stats.immobilienpool.de so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.

Nachweis: Seiten-URL wird in Drittanbieter-Requests übertragen · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Tracking-Cookies vor Einwilligung gesetzt mittel · privacy · Impact 70

Tracking-Cookies erst nach aktiver Einwilligung setzen.

Nachweis: Tracking-Cookies vor Einwilligung gesetzt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Versteckter Text erkannt mittel · seo · Impact 70

Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird.

Nachweis: Versteckter Text erkannt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
X-Content-Type-Options fehlt mittel · security_headers · Impact 70

Header `x-content-type-options` setzen und nach Deployment erneut prüfen.

Nachweis: X-Content-Type-Options fehlt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
X-Frame-Options fehlt mittel · security_headers · Impact 70

Header `x-frame-options` setzen und nach Deployment erneut prüfen.

Nachweis: X-Frame-Options fehlt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Rechte- und Anfrageprozess schließen mittel · Betroffenenrechte · Impact 62

Auskunft, Löschung, Berichtigung, Widerspruch, Widerruf, Fristen und Antwortweg als Betreiberprozess dokumentieren.

Nachweis: Betroffenenrechte-Readiness: 64/100 Punkte, 3 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse. · Quelle: rights_readiness
Verantwortlich
Datenschutz/Support
Hintergrund-Link
öffnen
Browser-Nachweis mittel · Audit-Modul · Impact 39

Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.

Nachweis: 30 Request(s), 2 Drittanbieter-Domain(s), davon 0 datenschutzrelevant, 5 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 1, Fingerprinting-/Replay-Hinweise: 0. · Quelle: audit_module
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Seitenabdeckung & Crawl mittel · Audit-Modul · Impact 35

Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.

Nachweis: 8 interne Linkziele erkannt, 4 priorisierte Unterseite(n) abgerufen. · Quelle: audit_module
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Tracking-Pixel & Beacons mittel · Audit-Modul · Impact 35

Pixel, sendBeacon, keepalive-Fetch und Link-Pings auf Consent, Zweck, Anbieter und Datenminimierung prüfen.

Nachweis: 1 Pixel-/Bildtracking-Hinweis(e), 2 Beacon-/Telemetry-Hinweis(e), 0 Link-Ping(s). · Quelle: audit_module
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Wichtige Unterseiten auffindbar machen mittel · Crawl-Abdeckung · Impact 32

Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen.

Nachweis: 8 interne Linkziele erkannt (0 aus Sitemap), 4 priorisierte Unterseite(n) zusätzlich abgerufen. · Quelle: coverage
Verantwortlich
Webbetrieb/SEO
Hintergrund-Link
öffnen
Cookie ohne SameSite-Attribut niedrig · privacy · Impact 35

SameSite=Lax oder SameSite=Strict setzen, falls fachlich möglich.

Nachweis: Cookie ohne SameSite-Attribut · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Cross-Origin-Embedder-Policy fehlt niedrig · security_headers · Impact 35

Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.

Nachweis: Cross-Origin-Embedder-Policy fehlt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Cross-Origin-Opener-Policy fehlt niedrig · security_headers · Impact 35

Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.

Nachweis: Cross-Origin-Opener-Policy fehlt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Cross-Origin-Resource-Policy fehlt niedrig · security_headers · Impact 35

Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.

Nachweis: Cross-Origin-Resource-Policy fehlt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Datenschutzkontakt oder DPO-Hinweis nicht klar erkannt niedrig · privacy · Impact 35

Betreiber sollten einen Datenschutzkontakt nennen oder nachvollziehbar erklären, wie Datenschutzanfragen gestellt werden können.

Nachweis: Datenschutzkontakt oder DPO-Hinweis nicht klar erkannt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Externe Skripte ohne Subresource Integrity niedrig · security_headers · Impact 35

Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.

Nachweis: Externe Skripte ohne Subresource Integrity · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Langlebige Cookies erkannt niedrig · privacy · Impact 35

Cookies wie phpbb3_fiasxm_k, phpbb3_fiasxm_sid, phpbb3_fiasxm_u auf Zweck, Erforderlichkeit und Speicherdauer prüfen und transparent erklären.

Nachweis: Langlebige Cookies erkannt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Links mit sensiblen Query-Parametern erkannt niedrig · privacy · Impact 35

Sensible Parameter aus Links entfernen oder durch serverseitige, kurzlebige Zustände ersetzen.

Nachweis: Links mit sensiblen Query-Parametern erkannt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Mindestens eine priorisierte Unterseite war nicht erfolgreich abrufbar niedrig · crawl · Impact 35

Interne Pflicht- und Vertrauensseiten auf Statuscode, Weiterleitung und Erreichbarkeit prüfen.

Nachweis: Mindestens eine priorisierte Unterseite war nicht erfolgreich abrufbar · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Permissions-Policy fehlt niedrig · security_headers · Impact 35

Header `permissions-policy` setzen und nach Deployment erneut prüfen.

Nachweis: Permissions-Policy fehlt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Stand der Datenschutzerklärung nicht klar erkennbar niedrig · privacy · Impact 35

Betreiber sollten ein gut sichtbares Stand- oder Aktualisierungsdatum ergänzen und die Erklärung nach technischen Änderungen prüfen.

Nachweis: Stand der Datenschutzerklärung nicht klar erkennbar · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Tracking-Pixel oder pixelnahe Requests erkannt niedrig · privacy · Impact 35

Pixel von zv-forum.de erst nach Einwilligung laden, Zweck erklären und unnötige Bild-Tracker entfernen.

Nachweis: Tracking-Pixel oder pixelnahe Requests erkannt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen
Vertretungsberechtigte nicht klar erkannt niedrig · privacy · Impact 35

Bei juristischen Personen Geschäftsführung, Vorstand oder Vertretungsberechtigte im Impressum prüfen.

Nachweis: Vertretungsberechtigte nicht klar erkannt · Quelle: finding
Verantwortlich
Website-Betrieb/Datenschutz
Hintergrund-Link
öffnen

Quellen

Referenzen für die Berichtsdarstellung