# Quick-Win-Plan für chiemsee-schifffahrt.de chiemsee-schifffahrt.de: 20 Quick-Win-Maßnahme(n), 4 innerhalb von 7 Tagen und 16 innerhalb von 30 Tagen. > Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen. ## Incident & Breach Response verbessern - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 96 - Verantwortlich: DSB/Legal/IT / Bereich: PrivacyOps-Reifegrad - Maßnahme: Incident-Verantwortlichkeit, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Security-Header setzen - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 76 - Verantwortlich: IT/Security / Bereich: Security - Maßnahme: Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen. - Nachweis: 5 von 9 wichtigen Security-Headern vorhanden, 5 korrekt bewertet. CSP wirksam mit 1 Direktive(n), 0 Warnung(en), 2 Hinweis(e). - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## CVE-2020-11023: Potential XSS vulnerability in jQuery - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 63 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: vulnerability - Maßnahme: Aktualisiere das betroffene Open-Source-Paket auf eine nicht betroffene Version. - Nachweis: CVE-2020-11023: Potential XSS vulnerability in jQuery - Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben ## Tracking vor Consent blockieren - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 62 - Verantwortlich: Marketing/IT / Bereich: Consent & Tracking - Maßnahme: Nicht notwendige Tags, Cookies, Pixel und Google-Dienste bis zur Einwilligung blockieren und Ablehnen/GPC erneut testen. - Nachweis: Consent ist teilweise erkennbar; einzelne Punkte bleiben Betreiberkontext. - Hintergrund-Link: https://saferpage.de/consent/chiemsee-schifffahrt.de ## CVE-2015-9251: Cross-Site Scripting (XSS) in jquery - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Verantwortlich: Technik / Bereich: BSI/Patchmanagement - Maßnahme: Betroffene Software aktualisieren oder kompensierend absichern. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben ## Tracking-/Tag-Skripte aus externer Lieferkette - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Verantwortlich: Technik / Bereich: Skript-Lieferkette - Maßnahme: Tracking-/Tag-Skripte besonders streng an Consent, CSP und Anbieterinventar koppeln. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/externe-skripte-und-sri-absichern ## Google Consent Mode Default nicht erkannt - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Datenschutz/Marketing / Bereich: DSGVO/Google-Dienste - Maßnahme: Google-Tags brauchen vor dem ersten Tag klare Consent-Defaults. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden ## Tracking ohne sichtbaren Cookie-Hinweis - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Datenschutz/Marketing / Bereich: TDDDG/ePrivacy - Maßnahme: Tracking oder Endgerätezugriff vor wirksamer Einwilligung prüfen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren ## AI Governance & Automated Decisioning verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Datenschutz/Product/Legal / Bereich: PrivacyOps-Reifegrad - Maßnahme: AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## Privacy Risk Register & Executive Dashboard verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Programm-Verantwortung/Datenschutz / Bereich: PrivacyOps-Reifegrad - Maßnahme: Top-Risiken mit Verantwortlichkeit, Zielzeit, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen. - Nachweis: - Hintergrund-Link: https://saferpage.de/methodik ## Google Consent Mode Implementation verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Marketing/IT/Datenschutz / Bereich: PrivacyOps-Reifegrad - Maßnahme: Consent-Mode-v2-Defaults, CMP-Updates, Tag-Regeln und Validierung als Release-Gate betreiben. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden ## Erkannte Anbieter fehlen in der Datenschutzerklärung - Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 45 - Verantwortlich: Datenschutz / Bereich: DSGVO/Transparenz - Maßnahme: Erkannte Anbieter müssen in der Datenschutzerklärung konkret und verständlich erscheinen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren ## PIA/DPIA & Privacy by Design verbessern - Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 44 - Verantwortlich: Datenschutz/Product / Bereich: PrivacyOps-Reifegrad - Maßnahme: DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## Tracking ohne sichtbaren Cookie-Hinweis - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy - Maßnahme: Prüfen, ob vor Tracking eine wirksame Einwilligung eingeholt wird. - Nachweis: Tracking ohne sichtbaren Cookie-Hinweis - Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren ## Kein sichtbarer Ablehnen-Button im Banner - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy - Maßnahme: Ablehnen oder nur notwendige Cookies im sichtbaren Banner genauso erreichbar machen wie Akzeptieren. - Nachweis: Kein sichtbarer Ablehnen-Button im Banner - Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren ## Google Consent Mode Default nicht erkannt - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy - Maßnahme: Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied. - Nachweis: Google Consent Mode Default nicht erkannt - Hintergrund-Link: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden ## CSP ohne object-src - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden. - Nachweis: CSP ohne object-src - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## CSP ohne base-uri - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird. - Nachweis: CSP ohne base-uri - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Cross-Origin-Embedder-Policy fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen. - Nachweis: Cross-Origin-Embedder-Policy fehlt - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Cross-Origin-Opener-Policy fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen. - Nachweis: Cross-Origin-Opener-Policy fehlt - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen