# Quick-Win-Plan für breitbandmessung.de

breitbandmessung.de: 10 Quick-Win-Maßnahme(n), 1 innerhalb von 7 Tagen und 7 innerhalb von 30 Tagen.

> Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen.

## CVE-2017-7679: In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_mime can read one byte past the end of a buffer when sending a malicious Content-Type response header.
- Horizont: 0-7 Tage / Aufwand: niedrig / Quick-Win-Score: 100
- Owner: Website-Betrieb/Datenschutz / Bereich: vulnerability
- Maßnahme: Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.
- Nachweis: CVE-2017-7679: In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_mime can read one byte past the end of a buffer when sending a malicious Content-Type response header.
- Guide: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben

## HSTS fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `strict-transport-security` setzen und nach Deployment erneut prüfen.
- Nachweis: HSTS fehlt
- Guide: https://saferpage.de/guides/security-header-setzen

## X-Frame-Options fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `x-frame-options` setzen und nach Deployment erneut prüfen.
- Nachweis: X-Frame-Options fehlt
- Guide: https://saferpage.de/guides/security-header-setzen

## Google Consent Mode Default nicht erkannt
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Owner: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
- Nachweis: Google Consent Mode Default nicht erkannt
- Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden

## Neue Cookies nach Ablehnen erkannt
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Owner: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: Nach Ablehnen keine neuen nicht notwendigen Cookies setzen; technisch notwendige Cookies sauber erklären.
- Nachweis: Neue Cookies nach Ablehnen erkannt
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren

## Apache 2.4 wirkt deutlich veraltet
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Owner: Website-Betrieb/Datenschutz / Bereich: vulnerability
- Maßnahme: Pruefen, ob der sichtbare Apache-Header durch Distribution-Backports abgesichert ist. Falls nicht, auf einen aktuellen 2.4-Patchstand aktualisieren oder ServerTokens reduzieren.
- Nachweis: Apache 2.4 wirkt deutlich veraltet
- Guide: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben

## Referrer-Policy fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `referrer-policy` setzen und nach Deployment erneut prüfen.
- Nachweis: Referrer-Policy fehlt
- Guide: https://saferpage.de/guides/security-header-setzen

## Permissions-Policy fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `permissions-policy` setzen und nach Deployment erneut prüfen.
- Nachweis: Permissions-Policy fehlt
- Guide: https://saferpage.de/guides/security-header-setzen

## Datenschutz, Cookies & Consent
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 26
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
- Nachweis: 0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, Ablehnen-Option: ja, Consent-Audit: 74.
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren

## Google-Dienste & Drittanbieter
- Horizont: 30-90 Tage / Aufwand: hoch / Quick-Win-Score: 22
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.
- Nachweis: Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.
- Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden