# Quick-Win-Plan für drachenfliegenlernen.de drachenfliegenlernen.de: 20 Quick-Win-Maßnahme(n), 5 innerhalb von 7 Tagen und 15 innerhalb von 30 Tagen. > Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen. ## Incident & Breach Response verbessern - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 96 - Owner: DSB/Legal/IT / Bereich: PrivacyOps-Reifegrad - Maßnahme: Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten. - Nachweis: - Guide: https://saferpage.de/guides/security-header-setzen ## Security & Barrierefreiheit verbessern - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 96 - Owner: IT/Web / Bereich: PrivacyOps-Reifegrad - Maßnahme: Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern. - Nachweis: - Guide: https://saferpage.de/guides/security-header-setzen ## Security-Header setzen - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 76 - Owner: IT/Security / Bereich: Security - Maßnahme: Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen. - Nachweis: 1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden. - Guide: https://saferpage.de/guides/security-header-setzen ## Sicherheit, TLS & Header - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 72 - Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul - Maßnahme: HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren. - Nachweis: 2 Infrastruktur-Hinweis(e), Security-Header: 1/9 vorhanden, 8 fehlen, externe Skript-Hosts: 1. - Guide: https://saferpage.de/guides/security-header-setzen ## HSTS fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Owner: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `strict-transport-security` setzen und nach Deployment erneut prüfen. - Nachweis: HSTS fehlt - Guide: https://saferpage.de/guides/security-header-setzen ## Content-Security-Policy fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Owner: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `content-security-policy` setzen und nach Deployment erneut prüfen. - Nachweis: Content-Security-Policy fehlt - Guide: https://saferpage.de/guides/security-header-setzen ## X-Frame-Options fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Owner: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `x-frame-options` setzen und nach Deployment erneut prüfen. - Nachweis: X-Frame-Options fehlt - Guide: https://saferpage.de/guides/security-header-setzen ## PHP-Version ist nicht mehr upstream unterstuetzt - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 63 - Owner: Website-Betrieb/Datenschutz / Bereich: vulnerability - Maßnahme: PHP auf eine aktuell unterstuetzte Version migrieren. Upstream-Sicherheitsfixes gibt es laut php.net nur noch fuer PHP 8.2 bis 8.5; alte 7.x/8.0/8.1-Header sind kritisch, sofern kein Distribution-Backport nachweisbar ist. - Nachweis: PHP-Version ist nicht mehr upstream unterstuetzt - Guide: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben ## PHP-Version ist nicht mehr upstream unterstuetzt - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Owner: Technik / Bereich: BSI/Patchmanagement - Maßnahme: Nicht mehr unterstützte Version ersetzen. - Nachweis: - Guide: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben ## Formularfelder ohne klare Beschriftung - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Owner: UX/Content / Bereich: Barrierefreiheit/Usability - Maßnahme: Formularfelder müssen für Tastatur und Screenreader verständlich beschriftet sein. - Nachweis: - Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare ## Drittanbieter können vollen Referrer-Kontext erhalten - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Owner: Website-Betrieb / Bereich: Referrer-Datenabfluss - Maßnahme: Referrer-Policy so setzen, dass Drittanbieter keine vollen Pfade oder Suchparameter erhalten. - Nachweis: - Guide: https://saferpage.de/guides/referrer-und-url-leaks-vermeiden ## Seiten-URL wird in Drittanbieter-Requests übertragen - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Owner: Website-Betrieb / Bereich: URL-Datenabfluss - Maßnahme: Tracking-Requests dürfen die aktuelle Seiten-URL nicht unnötig als Parameter übertragen. - Nachweis: - Guide: https://saferpage.de/guides/referrer-und-url-leaks-vermeiden ## Möglicherweise nicht notwendige Cookies vor Einwilligung - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Owner: Datenschutz/Marketing / Bereich: TDDDG/ePrivacy - Maßnahme: Nicht notwendige Cookies vor Einwilligung prüfen und blockieren. - Nachweis: - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## AI Governance & Automated Decisioning verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Owner: Datenschutz/Product/Legal / Bereich: PrivacyOps-Reifegrad - Maßnahme: AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren. - Nachweis: - Guide: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## Privacy Risk Register & Executive Dashboard verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Owner: Programm-Owner/Datenschutz / Bereich: PrivacyOps-Reifegrad - Maßnahme: Top-Risiken mit Owner, SLA, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen. - Nachweis: - Guide: https://saferpage.de/methodik ## Barrierefreiheit & Usability - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 52 - Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul - Maßnahme: Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen. - Nachweis: 13 Bild(er) ohne alt, 5 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen. - Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare ## Drittland-/US-Anbieter im Browseraufruf prüfen - Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 44 - Owner: Datenschutz / Bereich: Drittlandtransfer - Maßnahme: US-/Drittlandanbieter, DPF/SCC/TIA und Datenschutzhinweise prüfen. - Nachweis: - Guide: https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen ## PIA/DPIA & Privacy by Design verbessern - Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 44 - Owner: Datenschutz/Product / Bereich: PrivacyOps-Reifegrad - Maßnahme: DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden. - Nachweis: - Guide: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## Vendor Risk & Vertragsmanagement verbessern - Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 44 - Owner: Legal/Vendor Owner / Bereich: PrivacyOps-Reifegrad - Maßnahme: Anbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren. - Nachweis: - Guide: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren ## Möglicherweise nicht notwendige Cookies vor Einwilligung - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Owner: Website-Betrieb/Datenschutz / Bereich: privacy - Maßnahme: Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen. - Nachweis: Möglicherweise nicht notwendige Cookies vor Einwilligung - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren