# Betreiber-Fix-Guides fuer elearning.cas.dhbw.de

elearning.cas.dhbw.de: 12 priorisierte Betreiber-Guide(s) aus 32 Befund(en).

> Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.

## Phasen
- **Triage** (0-48 Stunden): Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern.
- **Fix umsetzen** (0-14 Tage): Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren.
- **Nutzertexte synchronisieren** (parallel): Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen.
- **Re-Scan und Freigabe** (nach Deployment): Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen.

## Guide-Streams
### Sichtbare Versionen und CVE-Hinweise beheben
- Priorität: hoch / Owner: IT/Security / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben
- Befund: CVE-2026-24072: An escalation of privilege bug in various modules in Apache HTTP 2.4.66 and earlier allows local .htaccess authors to read files with the privileges of the httpd user - Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Generator-, Header- und Bibliothekssignale erneut prüfen.

### SEO-Spam und Cloaking bereinigen
- Priorität: hoch / Owner: Webbetrieb/SEO/Security / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen
- Befund: Versteckter Text erkannt - Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.

### Tracking und Consent reparieren
- Priorität: hoch / Owner: Marketing/IT/Datenschutz / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren
- Befund: Cookie-Hinweis ohne klare Ablehnen-Option - Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.
- Befund: Consent wirkt wie Nur-Akzeptieren - Cookie-Auswahl und Ablehnen-Option sichtbar anbieten.
- Befund: Datenschutz, Cookies & Consent - Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
- Befund: Tracking, Cookies oder Drittanbieter vor Einwilligung reparieren - Befund mit Betreiber-Guide beheben und danach erneut scannen.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.

### Google-Dienste datenschutzfreundlich einbinden
- Priorität: hoch / Owner: Marketing/IT / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden
- Befund: Google Consent Mode Default nicht erkannt - Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
- Befund: Google-Dienste & Drittanbieter - Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.
- Befund: Google-Dienste - Befund mit Betreiber-Guide beheben und danach erneut scannen.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Google-Requests vor und nach Consent vergleichen.

### Datenschutzerklärung verbessern
- Priorität: hoch / Owner: Datenschutz/Content / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/datenschutzerklaerung-verbessern
- Befund: Datenschutzhinweis wirkt sehr dünn - Datenschutzerklärung sollte Verarbeitung, Rechtsgrundlagen, Cookies/Drittanbieter und Betroffenenrechte nachvollziehbar erklären.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen.

### Cookies sicher konfigurieren
- Priorität: hoch / Owner: IT/Webbetrieb / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/cookies-sicher-konfigurieren
- Befund: Cookie ohne Secure-Flag - Cookies über HTTPS mit Secure-Flag setzen.
- Befund: Cookie ohne SameSite-Attribut - SameSite=Lax oder SameSite=Strict setzen, falls fachlich möglich.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Cookie-Attribute Secure, SameSite und HttpOnly erneut prüfen.

### Datenschutz-Webseiten-Prüfkatalog umsetzen
- Priorität: hoch / Owner: Programm-Owner/Datenschutz / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog
- Befund: Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden - Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.
- Befund: Seitenabdeckung & Crawl - Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.
- Befund: Wichtige Unterseiten, Datenschutz und Formulare crawlbar verlinken - Befund mit Betreiber-Guide beheben und danach erneut scannen.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.

### Security-Header setzen
- Priorität: hoch / Owner: IT/Security / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/security-header-setzen
- Befund: X-Frame-Options fehlt - Header `x-frame-options` setzen und nach Deployment erneut prüfen.
- Befund: X-Content-Type-Options fehlt - Header `x-content-type-options` setzen und nach Deployment erneut prüfen.
- Befund: Sicherheit, TLS & Header - HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
- Befund: Security-Header, Referrer-Policy und Browser-Schutz setzen - Befund mit Betreiber-Guide beheben und danach erneut scannen.
- Befund: Kein CSP-frame-ancestors oder X-Frame-Options - frame-ancestors 'none' oder 'self' setzen, alternativ X-Frame-Options als Basisschutz nutzen.
- Befund: CSP ohne object-src - object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.
- Befund: CSP ohne base-uri - base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.
- Befund: Cross-Origin-Embedder-Policy fehlt - Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
- Befund: Cross-Origin-Opener-Policy fehlt - Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
- Befund: Cross-Origin-Resource-Policy fehlt - Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
- Befund: Referrer-Policy fehlt - Header `referrer-policy` setzen und nach Deployment erneut prüfen.
- Befund: Permissions-Policy fehlt - Header `permissions-policy` setzen und nach Deployment erneut prüfen.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.

### Drittanbieter im Datenschutz erklären
- Priorität: hoch / Owner: Legal/Vendor Owner / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren
- Befund: Anbieterakten, AVV/DPA und Transfers priorisiert schließen - Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.

### Impressum und Kontakt sichtbar machen
- Priorität: niedrig / Owner: Legal/Content / Phase: quartalsweise
- Guide: https://saferpage.de/guides/impressum-und-kontakt-sichtbar-machen
- Befund: Betreiberidentität wirkt unklar - Prüfen, ob Firma/Name und ladungsfähige Anschrift im Impressum vollständig erkennbar sind.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Footer, Kontakt, Impressum und Datenschutzlinks erneut crawlen.

### Session-Replay und Fingerprinting prüfen
- Priorität: niedrig / Owner: Marketing/Datenschutz / Phase: quartalsweise
- Guide: https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen
- Befund: Viele Tastatur-/Eingabe-Listener im Browser erkannt - Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Replay-/Fingerprinting-Skripte nach Ablehnen und GPC erneut prüfen.

### Externe Skripte und SRI absichern
- Priorität: niedrig / Owner: IT/Webentwicklung / Phase: quartalsweise
- Guide: https://saferpage.de/guides/externe-skripte-und-sri-absichern
- Befund: Externe Skripte ohne Subresource Integrity - Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.
- Befund: Meta-Description fehlt - Eine kurze Beschreibung setzen, die den Zweck der Seite erklärt.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.

## Tracker- und Service-Mapping
- cdn.jsdelivr.net (vendor): Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
- MoodleSession (cookie_storage): Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
- cdn.jsdelivr.net (browser_request): Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.