Opportunities / Quick-Wins
ej-muenchen.de: 20 Quick-Win-Maßnahme(n), 0 innerhalb von 7 Tagen und 19 innerhalb von 30 Tagen.
Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen.
Plan
Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern.
Nachweis: · Quelle: maturity_roadmapHTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
Nachweis: 2 Infrastruktur-Hinweis(e), Security-Header: 0/9 vorhanden, 9 fehlen, externe Skript-Hosts: 0. · Quelle: audit_moduleFehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen.
Nachweis: 0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. CSP nur Report-Only mit 3 Direktive(n), 0 Warnung(en), 3 Hinweis(e). · Quelle: derived_signalHeader `strict-transport-security` setzen und nach Deployment erneut prüfen.
Nachweis: HSTS fehlt · Quelle: findingHeader `content-security-policy` setzen und nach Deployment erneut prüfen.
Nachweis: Content-Security-Policy fehlt · Quelle: findingHeader `x-frame-options` setzen und nach Deployment erneut prüfen.
Nachweis: X-Frame-Options fehlt · Quelle: findingHeader `x-content-type-options` setzen und nach Deployment erneut prüfen.
Nachweis: X-Content-Type-Options fehlt · Quelle: findingsendBeacon/Keepalive-Telemetrie auf Zweck, Consent und Anbieter prüfen.
Nachweis: · Quelle: operator_action_planAblehnen muss gleichwertig erreichbar sein.
Nachweis: · Quelle: operator_action_planPixel- und Bild-Tracking vor Einwilligung prüfen und begrenzen.
Nachweis: · Quelle: operator_action_planTop-Risiken mit Verantwortlichkeit, Zielzeit, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.
Nachweis: · Quelle: maturity_roadmapAI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.
Nachweis: · Quelle: maturity_roadmapPixel, sendBeacon, keepalive-Fetch und Link-Pings auf Consent, Zweck, Anbieter und Datenminimierung prüfen.
Nachweis: 3 Pixel-/Bildtracking-Hinweis(e), 3 Beacon-/Telemetry-Hinweis(e), 0 Link-Ping(s). · Quelle: audit_moduleAnbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren.
Nachweis: · Quelle: maturity_roadmapVendor Discovery, Privacy Score, AVV/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding als Lifecycle betreiben.
Nachweis: · Quelle: maturity_roadmapAblehnen sollte genauso leicht auffindbar sein wie Akzeptieren.
Nachweis: Cookie-Hinweis ohne klare Ablehnen-Option · Quelle: findingnavigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.
Nachweis: Beacon-/Keepalive-Telemetrie erkannt · Quelle: findingButtons mit sichtbarem Text oder aria-label beschriften.
Nachweis: Buttons ohne erkennbaren Namen · Quelle: findingobject-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.
Nachweis: CSP ohne object-src · Quelle: findingReport-Only ist gut zum Testen; nach Korrektur der Verstöße sollte eine wirksame Content-Security-Policy gesetzt werden.
Nachweis: CSP nur im Report-Only-Modus · Quelle: finding