Opportunities / Quick-Wins
drachenfliegenlernen.de: 20 Quick-Win-Maßnahme(n), 5 innerhalb von 7 Tagen und 15 innerhalb von 30 Tagen.
Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen.
Plan
Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.
Nachweis: · Quelle: maturity_roadmapSecurity-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern.
Nachweis: · Quelle: maturity_roadmapFehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen.
Nachweis: 1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden. · Quelle: derived_signalHTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
Nachweis: 2 Infrastruktur-Hinweis(e), Security-Header: 1/9 vorhanden, 8 fehlen, externe Skript-Hosts: 1. · Quelle: audit_moduleHeader `strict-transport-security` setzen und nach Deployment erneut prüfen.
Nachweis: HSTS fehlt · Quelle: findingHeader `content-security-policy` setzen und nach Deployment erneut prüfen.
Nachweis: Content-Security-Policy fehlt · Quelle: findingHeader `x-frame-options` setzen und nach Deployment erneut prüfen.
Nachweis: X-Frame-Options fehlt · Quelle: findingPHP auf eine aktuell unterstuetzte Version migrieren. Upstream-Sicherheitsfixes gibt es laut php.net nur noch fuer PHP 8.2 bis 8.5; alte 7.x/8.0/8.1-Header sind kritisch, sofern kein Distribution-Backport nachweisbar ist.
Nachweis: PHP-Version ist nicht mehr upstream unterstuetzt · Quelle: findingNicht mehr unterstützte Version ersetzen.
Nachweis: · Quelle: operator_action_planFormularfelder müssen für Tastatur und Screenreader verständlich beschriftet sein.
Nachweis: · Quelle: operator_action_planReferrer-Policy so setzen, dass Drittanbieter keine vollen Pfade oder Suchparameter erhalten.
Nachweis: · Quelle: operator_action_planTracking-Requests dürfen die aktuelle Seiten-URL nicht unnötig als Parameter übertragen.
Nachweis: · Quelle: operator_action_planNicht notwendige Cookies vor Einwilligung prüfen und blockieren.
Nachweis: · Quelle: operator_action_planAI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.
Nachweis: · Quelle: maturity_roadmapTop-Risiken mit Owner, SLA, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.
Nachweis: · Quelle: maturity_roadmapAlt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.
Nachweis: 13 Bild(er) ohne alt, 5 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen. · Quelle: audit_moduleUS-/Drittlandanbieter, DPF/SCC/TIA und Datenschutzhinweise prüfen.
Nachweis: · Quelle: operator_action_planDPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden.
Nachweis: · Quelle: maturity_roadmapAnbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren.
Nachweis: · Quelle: maturity_roadmapPrüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen.
Nachweis: Möglicherweise nicht notwendige Cookies vor Einwilligung · Quelle: finding