Endziel ist nicht HTTPS
0-7 Tage · Aufwand niedrig · Score 100
HTTP dauerhaft auf HTTPS umleiten.
Nachweis: Endziel ist nicht HTTPS · Quelle: finding- Owner
- Website-Betrieb/Datenschutz
- Guide
- öffnen
Opportunities / Quick-Wins
algerien-treffpunkt.de: Wirkung vor Aufwand
algerien-treffpunkt.de: 20 Quick-Win-Maßnahme(n), 7 innerhalb von 7 Tagen und 13 innerhalb von 30 Tagen.
Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen.
7
0-7 Tage
20Quick-Wins
70-7 Tage
130-30 Tage
8niedriger Aufwand
11Owner
Plan
Priorisierte Maßnahmen nach Wirkung und Aufwand
Incident & Breach Response verbessern
0-30 Tage · Aufwand niedrig · Score 96
Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.
Nachweis: · Quelle: maturity_roadmap- Owner
- DSB/Legal/IT
- Guide
- öffnen
Sicherheit, TLS & Header
0-30 Tage · Aufwand niedrig · Score 84
HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
Nachweis: 2 Infrastruktur-Hinweis(e), Security-Header: 0/9 vorhanden, 9 fehlen, externe Skript-Hosts: 4. · Quelle: audit_module- Owner
- Betreiber/IT/Datenschutz
- Guide
- öffnen
Security-Header setzen
0-30 Tage · Aufwand niedrig · Score 76
Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen.
Nachweis: 0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden. · Quelle: derived_signal- Owner
- IT/Security
- Guide
- öffnen
HSTS fehlt
0-30 Tage · Aufwand niedrig · Score 70
Header `strict-transport-security` setzen und nach Deployment erneut prüfen.
Nachweis: HSTS fehlt · Quelle: finding- Owner
- Website-Betrieb/Datenschutz
- Guide
- öffnen
Content-Security-Policy fehlt
0-30 Tage · Aufwand niedrig · Score 70
Header `content-security-policy` setzen und nach Deployment erneut prüfen.
Nachweis: Content-Security-Policy fehlt · Quelle: finding- Owner
- Website-Betrieb/Datenschutz
- Guide
- öffnen
X-Frame-Options fehlt
0-30 Tage · Aufwand niedrig · Score 70
Header `x-frame-options` setzen und nach Deployment erneut prüfen.
Nachweis: X-Frame-Options fehlt · Quelle: finding- Owner
- Website-Betrieb/Datenschutz
- Guide
- öffnen
X-Content-Type-Options fehlt
0-30 Tage · Aufwand niedrig · Score 70
Header `x-content-type-options` setzen und nach Deployment erneut prüfen.
Nachweis: X-Content-Type-Options fehlt · Quelle: finding- Owner
- Website-Betrieb/Datenschutz
- Guide
- öffnen
Endziel ist nicht HTTPS
0-7 Tage · Aufwand mittel · Score 64
HTTP dauerhaft auf HTTPS umleiten.
Nachweis: · Quelle: operator_action_plan- Owner
- Technik
- Guide
- öffnen
CVE-2020-11023: Potential XSS vulnerability in jQuery
0-7 Tage · Aufwand mittel · Score 63
Aktualisiere das betroffene Open-Source-Paket auf eine nicht betroffene Version.
Nachweis: CVE-2020-11023: Potential XSS vulnerability in jQuery · Quelle: finding- Owner
- Website-Betrieb/Datenschutz
- Guide
- öffnen
Tracking vor Consent blockieren
0-7 Tage · Aufwand mittel · Score 62
Nicht notwendige Tags, Cookies, Pixel und Google-Dienste bis zur Einwilligung blockieren und Ablehnen/GPC erneut testen.
Nachweis: Consent ist teilweise erkennbar; einzelne Punkte bleiben Betreiberkontext. · Quelle: derived_signal- Owner
- Marketing/IT
- Guide
- öffnen
Datenschutz, Cookies & Consent
0-7 Tage · Aufwand mittel · Score 61
Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
Nachweis: 1 Tracking-Script(s), 1 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: ja, Consent-Audit: 60. · Quelle: audit_module- Owner
- Betreiber/IT/Datenschutz
- Guide
- öffnen
CVE-2020-11023: Potential XSS vulnerability in jQuery
0-7 Tage · Aufwand mittel · Score 59
Betroffene Software aktualisieren oder kompensierend absichern.
Nachweis: · Quelle: operator_action_plan- Owner
- Technik
- Guide
- öffnen
Browser-Nachweis
0-7 Tage · Aufwand mittel · Score 59
Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.
Nachweis: · Quelle: operator_action_plan- Owner
- Website-Betrieb
- Guide
- öffnen
Google Consent Mode Default nicht erkannt
0-30 Tage · Aufwand mittel · Score 57
Google-Tags brauchen vor dem ersten Tag klare Consent-Defaults.
Nachweis: · Quelle: operator_action_plan- Owner
- Datenschutz/Marketing
- Guide
- öffnen
Datenschutz, Cookies & Consent
0-30 Tage · Aufwand mittel · Score 57
Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
Nachweis: · Quelle: operator_action_plan- Owner
- Datenschutz/Marketing
- Guide
- öffnen
Privacy Risk Register & Executive Dashboard verbessern
0-30 Tage · Aufwand mittel · Score 57
Top-Risiken mit Owner, SLA, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.
Nachweis: · Quelle: maturity_roadmap- Owner
- Programm-Owner/Datenschutz
- Guide
- öffnen
AI Governance & Automated Decisioning verbessern
0-30 Tage · Aufwand mittel · Score 57
AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.
Nachweis: · Quelle: maturity_roadmap- Owner
- Datenschutz/Product/Legal
- Guide
- öffnen
Google Consent Mode Implementation verbessern
0-30 Tage · Aufwand mittel · Score 57
Consent-Mode-v2-Defaults, CMP-Updates, Tag-Regeln und Validierung als Release-Gate betreiben.
Nachweis: · Quelle: maturity_roadmap- Owner
- Marketing/IT/Datenschutz
- Guide
- öffnen
Google-Dienste & Drittanbieter
0-30 Tage · Aufwand hoch · Score 44
Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.
Nachweis: · Quelle: operator_action_plan- Owner
- Datenschutz/Marketing
- Guide
- öffnen