# Quick-Win-Plan für autoleasing.n-tv.de

autoleasing.n-tv.de: 20 Quick-Win-Maßnahme(n), 1 innerhalb von 7 Tagen und 10 innerhalb von 30 Tagen.

> Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen.

## Security-Header setzen
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 76
- Owner: IT/Security / Bereich: Security
- Maßnahme: Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen.
- Nachweis: 6 von 6 wichtigen Security-Headern vorhanden, 6 korrekt bewertet. CSP wirksam mit 11 Direktive(n), 2 Warnung(en), 1 Hinweis(e).
- Guide: https://saferpage.de/guides/security-header-setzen

## CSP erlaubt unsafe-inline für Skripte
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Inline-Skripte über Nonces oder Hashes freigeben und unsafe-inline aus script-src entfernen.
- Nachweis: CSP erlaubt unsafe-inline für Skripte
- Guide: https://saferpage.de/guides/security-header-setzen

## CSP erlaubt eval-nahe Skriptausführung
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: unsafe-eval vermeiden und betroffene Bibliotheken oder Build-Konfigurationen prüfen.
- Nachweis: CSP erlaubt eval-nahe Skriptausführung
- Guide: https://saferpage.de/guides/security-header-setzen

## Tracking vor Consent blockieren
- Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 62
- Owner: Marketing/IT / Bereich: Consent & Tracking
- Maßnahme: Nicht notwendige Tags, Cookies, Pixel und Google-Dienste bis zur Einwilligung blockieren und Ablehnen/GPC erneut testen.
- Nachweis: Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.
- Guide: https://saferpage.de/consent/autoleasing.n-tv.de

## Sicherheit, TLS & Header
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 50
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
- Nachweis: 1 Infrastruktur-Hinweis(e), Security-Header: 6/6 vorhanden, 0 fehlen, externe Skript-Hosts: 1.
- Guide: https://saferpage.de/guides/security-header-setzen

## Möglicherweise nicht notwendige Cookies vor Einwilligung
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Owner: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen.
- Nachweis: Möglicherweise nicht notwendige Cookies vor Einwilligung
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren

## Sehr viele externe Links erkannt
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Owner: Website-Betrieb/Datenschutz / Bereich: seo
- Maßnahme: Prüfen, ob die Seite als Linkfarm, Affiliate-Brücke oder Spam-Seite dient.
- Nachweis: Sehr viele externe Links erkannt
- Guide: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen

## Tracking-Hinweise im Browser-Storage
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Owner: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: LocalStorage und SessionStorage wie Cookies inventarisieren und nicht notwendige IDs an Consent koppeln.
- Nachweis: Tracking-Hinweise im Browser-Storage
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren

## Formularfelder ohne klare Beschriftung
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Owner: Website-Betrieb/Datenschutz / Bereich: accessibility
- Maßnahme: Für jedes Eingabefeld ein sichtbares label, aria-label oder aria-labelledby setzen.
- Nachweis: Formularfelder ohne klare Beschriftung
- Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare

## CSP erlaubt sehr breite Skriptquellen
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: script-src auf konkrete HTTPS-Hosts, Nonces oder Hashes begrenzen.
- Nachweis: CSP erlaubt sehr breite Skriptquellen
- Guide: https://saferpage.de/guides/security-header-setzen

## Barrierefreiheit & Usability
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 32
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.
- Nachweis: 16 Bild(er) ohne alt, 2 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen.
- Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare

## Seiten-URL wird in Drittanbieter-Requests übertragen
- Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 29
- Owner: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: Tracking-/Tag-Parameter für Anbieter wie sourcepoint.n-tv.de so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.
- Nachweis: Seiten-URL wird in Drittanbieter-Requests übertragen
- Guide: https://saferpage.de/guides/referrer-und-url-leaks-vermeiden

## Datenschutz, Cookies & Consent
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 26
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
- Nachweis: 0 Tracking-Script(s), 2 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: ja, Consent-Audit: 69.
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren

## Referrer & URL-Leaks
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 26
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren.
- Nachweis: 1 Drittanbieter-Domain(s) mit Referrer-/URL-Leak-Prüfbedarf, 0 sensible Query-Kontexte.
- Guide: https://saferpage.de/guides/referrer-und-url-leaks-vermeiden

## Browser-Nachweis
- Horizont: 30-90 Tage / Aufwand: hoch / Quick-Win-Score: 23
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.
- Nachweis: 63 Request(s), 4 Drittanbieter-Domain(s), davon 0 datenschutzrelevant, 2 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 1, Fingerprinting-/Replay-Hinweise: 0.
- Guide: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren

## Tracking-Hinweise im Storage trotz GPC-Signal
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 19
- Owner: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: Bei Global Privacy Control sollten Tracking-IDs in LocalStorage und SessionStorage vermieden oder klar an Opt-out gekoppelt werden.
- Nachweis: Tracking-Hinweise im Storage trotz GPC-Signal
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren

## Langlebige Cookies erkannt
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 19
- Owner: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: Cookies wie _sp_su auf Zweck, Erforderlichkeit und Speicherdauer prüfen und transparent erklären.
- Nachweis: Langlebige Cookies erkannt
- Guide: https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen

## Externe Skripte ohne Subresource Integrity
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 19
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.
- Nachweis: Externe Skripte ohne Subresource Integrity
- Guide: https://saferpage.de/guides/externe-skripte-und-sri-absichern

## Bilder ohne Alternativtext
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 19
- Owner: Website-Betrieb/Datenschutz / Bereich: accessibility
- Maßnahme: Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.
- Nachweis: Bilder ohne Alternativtext
- Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare

## Viele potenziell blockierende Assets
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 19
- Owner: Website-Betrieb/Datenschutz / Bereich: performance
- Maßnahme: Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren.
- Nachweis: Viele potenziell blockierende Assets
- Guide: https://saferpage.de/guides/performance-und-mobile-usability-verbessern