# Quick-Win-Plan für consolar.de consolar.de: 20 Quick-Win-Maßnahme(n), 7 innerhalb von 7 Tagen und 13 innerhalb von 30 Tagen. > Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen. ## Sicherheit, TLS & Header - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 84 - Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul - Maßnahme: HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren. - Nachweis: 1 Infrastruktur-Hinweis(e), Security-Header: 0/9 vorhanden, 9 fehlen, externe Skript-Hosts: 0. - Guide: https://saferpage.de/guides/security-header-setzen ## Security-Header setzen - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 76 - Owner: IT/Security / Bereich: Security - Maßnahme: Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen. - Nachweis: 0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden. - Guide: https://saferpage.de/guides/security-header-setzen ## CVE-2017-8295: WordPress through 4.7.4 relies on the Host HTTP header for a password-reset e-mail message, which makes it easier for remote attackers to reset arbitrary passwords by making a craf - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Owner: Website-Betrieb/Datenschutz / Bereich: vulnerability - Maßnahme: Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version. - Nachweis: CVE-2017-8295: WordPress through 4.7.4 relies on the Host HTTP header for a password-reset e-mail message, which makes it easier for remote attackers to reset arbitrary passwords by making a craf - Guide: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben ## HSTS fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Owner: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `strict-transport-security` setzen und nach Deployment erneut prüfen. - Nachweis: HSTS fehlt - Guide: https://saferpage.de/guides/security-header-setzen ## Content-Security-Policy fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Owner: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `content-security-policy` setzen und nach Deployment erneut prüfen. - Nachweis: Content-Security-Policy fehlt - Guide: https://saferpage.de/guides/security-header-setzen ## X-Frame-Options fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Owner: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `x-frame-options` setzen und nach Deployment erneut prüfen. - Nachweis: X-Frame-Options fehlt - Guide: https://saferpage.de/guides/security-header-setzen ## X-Content-Type-Options fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Owner: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `x-content-type-options` setzen und nach Deployment erneut prüfen. - Nachweis: X-Content-Type-Options fehlt - Guide: https://saferpage.de/guides/security-header-setzen ## Datenschutz, Cookies & Consent - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 67 - Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul - Maßnahme: Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären. - Nachweis: 0 Tracking-Script(s), 7 Cookie(s) vor Einwilligung, 5 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 2. - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Tracking vor Consent blockieren - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 62 - Owner: Marketing/IT / Bereich: Consent & Tracking - Maßnahme: Nicht notwendige Tags, Cookies, Pixel und Google-Dienste bis zur Einwilligung blockieren und Ablehnen/GPC erneut testen. - Nachweis: Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig. - Guide: https://saferpage.de/consent/consolar.de ## CVE-2012-6707: WordPress through 4.8.2 uses a weak MD5-based password hashing algorithm, which makes it easier for attackers to determine cleartext values by leveraging access to the hash values - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Owner: Technik / Bereich: BSI/Patchmanagement - Maßnahme: Betroffene Software aktualisieren oder kompensierend absichern. - Nachweis: - Guide: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben ## Browser-Nachweis - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Owner: Website-Betrieb / Bereich: Browser-Nachweis - Maßnahme: Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden. - Nachweis: - Guide: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren ## Referrer & URL-Leaks - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Owner: Website-Betrieb / Bereich: Referrer & URL-Leaks - Maßnahme: Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren. - Nachweis: - Guide: https://saferpage.de/guides/referrer-und-url-leaks-vermeiden ## SEO-Integrität & Cloaking - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Owner: Website-Betrieb / Bereich: SEO-Integrität & Cloaking - Maßnahme: Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen. - Nachweis: - Guide: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen ## SEO-Integrität & Cloaking - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 58 - Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul - Maßnahme: Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen. - Nachweis: 3 SEO-Spam-Hinweis(e), 1 Cloaking-Hinweis(e). - Guide: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen ## Cookie-Inventar - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Owner: Datenschutz/Marketing / Bereich: Cookie-Inventar - Maßnahme: Cookie-Liste mit Zweck, Anbieter, First-/Third-Party, Secure, SameSite und Speicherdauer gegen Consent-Banner und Datenschutzerklärung abgleichen. - Nachweis: - Guide: https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen ## Datenschutz, Cookies & Consent - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Owner: Datenschutz/Marketing / Bereich: Datenschutz, Cookies & Consent - Maßnahme: Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären. - Nachweis: - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Consent & Cookie Governance verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Owner: Marketing/IT / Bereich: PrivacyOps-Reifegrad - Maßnahme: Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen. - Nachweis: - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Privacy Risk Register & Executive Dashboard verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Owner: Programm-Owner/Datenschutz / Bereich: PrivacyOps-Reifegrad - Maßnahme: Top-Risiken mit Owner, SLA, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen. - Nachweis: - Guide: https://saferpage.de/methodik ## AI Governance & Automated Decisioning verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Owner: Datenschutz/Product/Legal / Bereich: PrivacyOps-Reifegrad - Maßnahme: AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren. - Nachweis: - Guide: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## Google Consent Mode Implementation verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Owner: Marketing/IT/Datenschutz / Bereich: PrivacyOps-Reifegrad - Maßnahme: Consent-Mode-v2-Defaults, CMP-Updates, Tag-Regeln und Validierung als Release-Gate betreiben. - Nachweis: - Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden