Opportunities / Quick-Wins

cross.ch: Wirkung vor Aufwand

cross.ch: 20 Quick-Win-Maßnahme(n), 7 innerhalb von 7 Tagen und 13 innerhalb von 30 Tagen.

Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen.

7 0-7 Tage

Report Briefing Befunde Betreiber JSON CSV Plan MD

20Quick-Wins 70-7 Tage 130-30 Tage 12niedriger Aufwand 10Verantwortlichkeiten

Plan

Priorisierte Maßnahmen nach Wirkung und Aufwand

Plan exportieren

CVE-2017-9788: In Apache httpd before 2.2.34 and 2.4.x before 2.4.27, the value placeholder in [Proxy-]Authorization headers of type 'Digest' was not initialized or reset before or between succes 0-7 Tage · Aufwand niedrig · Score 100

Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.

Nachweis: CVE-2017-9788: In Apache httpd before 2.2.34 and 2.4.x before 2.4.27, the value placeholder in [Proxy-]Authorization headers of type 'Digest' was not initialized or reset before or between succes · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen

Impressum, Kontakt & Datenschutzerklärung 0-7 Tage · Aufwand niedrig · Score 100

Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.

Nachweis: · Quelle: operator_action_plan

Verantwortlich: Datenschutz
Hintergrund-Link: öffnen

Impressum, Kontakt & Datenschutzerklärung 0-30 Tage · Aufwand niedrig · Score 93

Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.

Nachweis: Impressum: nein, Datenschutz: nein, Kontakt: nein. · Quelle: audit_module

Verantwortlich: Betreiber/IT/Datenschutz
Hintergrund-Link: öffnen

Security-Header setzen 0-30 Tage · Aufwand niedrig · Score 76

Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen.

Nachweis: 1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden. · Quelle: derived_signal

Verantwortlich: IT/Security
Hintergrund-Link: öffnen

Sitemap und wichtige Unterseiten auffindbar machen 0-30 Tage · Aufwand niedrig · Score 72

Sitemap, robots.txt, Datenschutz, Impressum, Kontakt, Formular- und Cookie-Seiten verlinken und danach erneut crawlen.

Nachweis: 13 interne Linkziele erkannt (0 aus Sitemap), 4 priorisierte Unterseite(n) zusätzlich abgerufen. · Quelle: derived_signal

Verantwortlich: Webbetrieb/SEO
Hintergrund-Link: öffnen

Sicherheit, TLS & Header 0-30 Tage · Aufwand niedrig · Score 72

HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.

Nachweis: 2 Infrastruktur-Hinweis(e), Security-Header: 1/9 vorhanden, 8 fehlen, externe Skript-Hosts: 0. · Quelle: audit_module

Verantwortlich: Betreiber/IT/Datenschutz
Hintergrund-Link: öffnen

Kein Impressum-Link erkannt 0-30 Tage · Aufwand niedrig · Score 70

Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein.

Nachweis: Kein Impressum-Link erkannt · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen

Keine klare Kontaktmöglichkeit erkannt 0-30 Tage · Aufwand niedrig · Score 70

E-Mail, Telefonnummer, Kontaktseite oder Impressum sichtbar verlinken.

Nachweis: Keine klare Kontaktmöglichkeit erkannt · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen

Content-Security-Policy fehlt 0-30 Tage · Aufwand niedrig · Score 70

Header `content-security-policy` setzen und nach Deployment erneut prüfen.

Nachweis: Content-Security-Policy fehlt · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen

X-Frame-Options fehlt 0-30 Tage · Aufwand niedrig · Score 70

Header `x-frame-options` setzen und nach Deployment erneut prüfen.

Nachweis: X-Frame-Options fehlt · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen

X-Content-Type-Options fehlt 0-30 Tage · Aufwand niedrig · Score 70

Header `x-content-type-options` setzen und nach Deployment erneut prüfen.

Nachweis: X-Content-Type-Options fehlt · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen

Browser-Nachweis 0-30 Tage · Aufwand niedrig · Score 69

Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.

Nachweis: · Quelle: operator_action_plan

Verantwortlich: Website-Betrieb
Hintergrund-Link: öffnen

Apache httpd vor 2.4 ist End-of-Life 0-7 Tage · Aufwand mittel · Score 63

Auf Apache httpd 2.4 mit aktuellen Vendor-Sicherheitsupdates migrieren. Apache 2.2 ist laut Apache seit Dezember 2017 End-of-Life.

Nachweis: Apache httpd vor 2.4 ist End-of-Life · Quelle: finding

Verantwortlich: Website-Betrieb/Datenschutz
Hintergrund-Link: öffnen

Tracking vor Consent blockieren 0-7 Tage · Aufwand mittel · Score 62

Nicht notwendige Tags, Cookies, Pixel und Google-Dienste bis zur Einwilligung blockieren und Ablehnen/GPC erneut testen.

Nachweis: Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig. · Quelle: derived_signal

Verantwortlich: Marketing/IT
Hintergrund-Link: öffnen

CVE-2005-2088: The Apache HTTP server before 1.3.34, and 2.0.x before 2.0.55, when acting as an HTTP proxy, allows remote attackers to poison the web cache, bypass web application firewall protec 0-7 Tage · Aufwand mittel · Score 59

Betroffene Software aktualisieren oder kompensierend absichern.

Nachweis: · Quelle: operator_action_plan

Verantwortlich: Technik
Hintergrund-Link: öffnen

Sicherheit, TLS & Header 0-7 Tage · Aufwand mittel · Score 59

HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.

Nachweis: · Quelle: operator_action_plan

Verantwortlich: Technik
Hintergrund-Link: öffnen

Datenschutz, Cookies & Consent 0-7 Tage · Aufwand mittel · Score 59

Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.

Nachweis: 0 Tracking-Script(s), 5 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 18. · Quelle: audit_module

Verantwortlich: Betreiber/IT/Datenschutz
Hintergrund-Link: öffnen

Datenschutz, Cookies & Consent 0-30 Tage · Aufwand mittel · Score 57

Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.

Nachweis: · Quelle: operator_action_plan

Verantwortlich: Datenschutz/Marketing
Hintergrund-Link: öffnen

Consent & Cookie Governance verbessern 0-30 Tage · Aufwand mittel · Score 57

Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen.

Nachweis: · Quelle: maturity_roadmap

Verantwortlich: Marketing/IT
Hintergrund-Link: öffnen

AI Governance & Automated Decisioning verbessern 0-30 Tage · Aufwand mittel · Score 57

AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.

Nachweis: · Quelle: maturity_roadmap

Verantwortlich: Datenschutz/Product/Legal
Hintergrund-Link: öffnen