Opportunities / Quick-Wins

aussda.at: Wirkung vor Aufwand

aussda.at: 20 Quick-Win-Maßnahme(n), 3 innerhalb von 7 Tagen und 17 innerhalb von 30 Tagen.

Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen.

3 0-7 Tage

Report Briefing Befunde Betreiber JSON CSV Plan MD

20Quick-Wins 30-7 Tage 170-30 Tage 11niedriger Aufwand 10Verantwortlichkeiten

Plan

Priorisierte Maßnahmen nach Wirkung und Aufwand

Plan exportieren

CVE-2016-8743: Apache HTTP Server, in all releases prior to 2.2.32 and 2.4.25, was liberal in the whitespace accepted from requests and sent in response lines and headers 0-7 Tage · Aufwand niedrig · Score 100

Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.

Nachweis: CVE-2016-8743: Apache HTTP Server, in all releases prior to 2.2.32 and 2.4.25, was liberal in the whitespace accepted from requests and sent in response lines and headers · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen

Incident & Breach Response verbessern 0-30 Tage · Aufwand niedrig · Score 96

Incident-Verantwortlichkeit, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.

Nachweis: · Quelle: maturity_roadmap

Verantwortlich: DSB/Legal/IT
Hintergrund-Link: öffnen

Security-Header setzen 0-30 Tage · Aufwand niedrig · Score 76

Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen.

Nachweis: 1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. CSP wirksam mit 1 Direktive(n), 0 Warnung(en), 2 Hinweis(e). · Quelle: derived_signal

Verantwortlich: IT/Security
Hintergrund-Link: öffnen

Sicherheit, TLS & Header 0-30 Tage · Aufwand niedrig · Score 72

HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.

Nachweis: 1 Infrastruktur-Hinweis(e), Security-Header: 1/9 vorhanden, 8 fehlen, externe Skript-Hosts: 3. · Quelle: audit_module

Verantwortlich: Betreiber/IT/Datenschutz
Hintergrund-Link: öffnen

HSTS fehlt 0-30 Tage · Aufwand niedrig · Score 70

Header `strict-transport-security` setzen und nach Deployment erneut prüfen.

Nachweis: HSTS fehlt · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen

X-Frame-Options fehlt 0-30 Tage · Aufwand niedrig · Score 70

Header `x-frame-options` setzen und nach Deployment erneut prüfen.

Nachweis: X-Frame-Options fehlt · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen

X-Content-Type-Options fehlt 0-30 Tage · Aufwand niedrig · Score 70

Header `x-content-type-options` setzen und nach Deployment erneut prüfen.

Nachweis: X-Content-Type-Options fehlt · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen

Browser-Nachweis 0-30 Tage · Aufwand niedrig · Score 69

Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.

Nachweis: · Quelle: operator_action_plan

Verantwortlich: Website-Betrieb
Hintergrund-Link: öffnen

Referrer & URL-Leaks 0-30 Tage · Aufwand niedrig · Score 69

Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren.

Nachweis: · Quelle: operator_action_plan

Verantwortlich: Website-Betrieb
Hintergrund-Link: öffnen

SEO-Integrität & Cloaking 0-30 Tage · Aufwand niedrig · Score 69

Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.

Nachweis: · Quelle: operator_action_plan

Verantwortlich: Website-Betrieb
Hintergrund-Link: öffnen

Security & Barrierefreiheit verbessern 0-30 Tage · Aufwand niedrig · Score 66

Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern.

Nachweis: · Quelle: maturity_roadmap

Verantwortlich: IT/Web
Hintergrund-Link: öffnen

CVE-2015-9251: Cross-Site Scripting (XSS) in jquery 0-7 Tage · Aufwand mittel · Score 59

Betroffene Software aktualisieren oder kompensierend absichern.

Nachweis: · Quelle: operator_action_plan

Verantwortlich: Technik
Hintergrund-Link: öffnen

Sicherheit, TLS & Header 0-7 Tage · Aufwand mittel · Score 59

HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.

Nachweis: · Quelle: operator_action_plan

Verantwortlich: Technik
Hintergrund-Link: öffnen

AI Governance & Automated Decisioning verbessern 0-30 Tage · Aufwand mittel · Score 57

AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.

Nachweis: · Quelle: maturity_roadmap

Verantwortlich: Datenschutz/Product/Legal
Hintergrund-Link: öffnen

Privacy Risk Register & Executive Dashboard verbessern 0-30 Tage · Aufwand mittel · Score 57

Top-Risiken mit Verantwortlichkeit, Zielzeit, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.

Nachweis: · Quelle: maturity_roadmap

Verantwortlich: Programm-Verantwortung/Datenschutz
Hintergrund-Link: öffnen

PIA/DPIA & Privacy by Design verbessern 0-30 Tage · Aufwand hoch · Score 44

DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden.

Nachweis: · Quelle: maturity_roadmap

Verantwortlich: Datenschutz/Product
Hintergrund-Link: öffnen

Versteckter Text erkannt 0-30 Tage · Aufwand mittel · Score 39

Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird.

Nachweis: Versteckter Text erkannt · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen

Möglicherweise nicht notwendige Cookies vor Einwilligung 0-30 Tage · Aufwand mittel · Score 39

Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen.

Nachweis: Möglicherweise nicht notwendige Cookies vor Einwilligung · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen

Formular mit personenbezogenen Feldern nutzt GET 0-30 Tage · Aufwand mittel · Score 39

Formulare mit personenbezogenen Daten per POST senden und sicherstellen, dass Werte nicht in URL, Referrer oder Analytics auftauchen.

Nachweis: Formular mit personenbezogenen Feldern nutzt GET · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen

Canvas-Auslese im Browser erkannt 0-30 Tage · Aufwand mittel · Score 39

Prüfen, ob Canvas-Zugriffe für Darstellung nötig sind oder Fingerprinting ermöglichen; Zweck und Rechtsgrundlage dokumentieren.

Nachweis: Canvas-Auslese im Browser erkannt · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen