# Quick-Win-Plan für hotel-loehnert.de hotel-loehnert.de: 20 Quick-Win-Maßnahme(n), 3 innerhalb von 7 Tagen und 17 innerhalb von 30 Tagen. > Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen. ## Incident & Breach Response verbessern - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 96 - Verantwortlich: DSB/Legal/IT / Bereich: PrivacyOps-Reifegrad - Maßnahme: Incident-Verantwortlichkeit, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Security-Header setzen - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 76 - Verantwortlich: IT/Security / Bereich: Security - Maßnahme: Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen. - Nachweis: 1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden. - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Sicherheit, TLS & Header - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 72 - Verantwortlich: Betreiber/IT/Datenschutz / Bereich: Audit-Modul - Maßnahme: HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren. - Nachweis: 1 Infrastruktur-Hinweis(e), Security-Header: 1/9 vorhanden, 8 fehlen, externe Skript-Hosts: 0. - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## HSTS fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `strict-transport-security` setzen und nach Deployment erneut prüfen. - Nachweis: HSTS fehlt - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Content-Security-Policy fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `content-security-policy` setzen und nach Deployment erneut prüfen. - Nachweis: Content-Security-Policy fehlt - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## X-Frame-Options fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `x-frame-options` setzen und nach Deployment erneut prüfen. - Nachweis: X-Frame-Options fehlt - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Cookie ohne SameSite-Attribut - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 69 - Verantwortlich: Technik / Bereich: DSGVO/Art. 32 Sicherheit - Maßnahme: SameSite für Cookies setzen, wenn fachlich möglich. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/cookies-sicher-konfigurieren ## PHP-Version ist nicht mehr upstream unterstuetzt - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 63 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: vulnerability - Maßnahme: PHP auf eine aktuell unterstuetzte Version migrieren. Upstream-Sicherheitsfixes gibt es laut php.net nur noch fuer PHP 8.2 bis 8.5; alte 7.x/8.0/8.1-Header sind kritisch, sofern kein Distribution-Backport nachweisbar ist. - Nachweis: PHP-Version ist nicht mehr upstream unterstuetzt - Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben ## PHP-Version ist nicht mehr upstream unterstuetzt - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Verantwortlich: Technik / Bereich: BSI/Patchmanagement - Maßnahme: Nicht mehr unterstützte Version ersetzen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben ## Datenschutzerklärung deckt zentrale Bausteine nicht vollständig ab - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Verantwortlich: Datenschutz / Bereich: DSGVO/Art. 13 Transparenz - Maßnahme: Datenschutzerklärung sollte zentrale Pflichtinformationen vollständig abdecken. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/datenschutzerklaerung-verbessern ## Möglicherweise nicht notwendige Cookies vor Einwilligung - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Datenschutz/Marketing / Bereich: TDDDG/ePrivacy - Maßnahme: Nicht notwendige Cookies vor Einwilligung prüfen und blockieren. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren ## Cookie-Hinweis ohne klare Ablehnen-Option - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Datenschutz/Marketing / Bereich: TDDDG/ePrivacy - Maßnahme: Ablehnen muss gleichwertig erreichbar sein. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren ## Privacy Risk Register & Executive Dashboard verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Programm-Verantwortung/Datenschutz / Bereich: PrivacyOps-Reifegrad - Maßnahme: Top-Risiken mit Verantwortlichkeit, Zielzeit, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen. - Nachweis: - Hintergrund-Link: https://saferpage.de/methodik ## AI Governance & Automated Decisioning verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Datenschutz/Product/Legal / Bereich: PrivacyOps-Reifegrad - Maßnahme: AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## Möglicherweise nicht notwendige Cookies vor Einwilligung - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy - Maßnahme: Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen. - Nachweis: Möglicherweise nicht notwendige Cookies vor Einwilligung - Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren ## Versteckte Links erkannt - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: seo - Maßnahme: Versteckte interne oder externe Linklisten entfernen; sie wirken wie Doorway-/Link-Spam. - Nachweis: Versteckte Links erkannt - Hintergrund-Link: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen ## Cookie-Hinweis ohne klare Ablehnen-Option - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy - Maßnahme: Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren. - Nachweis: Cookie-Hinweis ohne klare Ablehnen-Option - Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren ## Datenschutzerklärung deckt zentrale Bausteine nicht vollständig ab - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy - Maßnahme: Verantwortlicher, Zwecke, Rechtsgrundlagen, Rechte, Speicherfristen, Empfänger, Cookies/Tracking und Widerruf strukturiert ergänzen. - Nachweis: Datenschutzerklärung deckt zentrale Bausteine nicht vollständig ab - Hintergrund-Link: https://saferpage.de/guides/datenschutzerklaerung-verbessern ## Cross-Origin-Embedder-Policy fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen. - Nachweis: Cross-Origin-Embedder-Policy fehlt - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Cross-Origin-Opener-Policy fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen. - Nachweis: Cross-Origin-Opener-Policy fehlt - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen