# Quick-Win-Plan für itship.ch

itship.ch: 20 Quick-Win-Maßnahme(n), 4 innerhalb von 7 Tagen und 16 innerhalb von 30 Tagen.

> Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen.

## Sicherheit, TLS & Header
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 84
- Verantwortlich: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
- Nachweis: 2 Infrastruktur-Hinweis(e), Security-Header: 0/9 vorhanden, 9 fehlen, externe Skript-Hosts: 0.
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Security-Header setzen
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 76
- Verantwortlich: IT/Security / Bereich: Security
- Maßnahme: Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen.
- Nachweis: 0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden.
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## HSTS fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `strict-transport-security` setzen und nach Deployment erneut prüfen.
- Nachweis: HSTS fehlt
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Content-Security-Policy fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `content-security-policy` setzen und nach Deployment erneut prüfen.
- Nachweis: Content-Security-Policy fehlt
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## X-Frame-Options fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `x-frame-options` setzen und nach Deployment erneut prüfen.
- Nachweis: X-Frame-Options fehlt
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## X-Content-Type-Options fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `x-content-type-options` setzen und nach Deployment erneut prüfen.
- Nachweis: X-Content-Type-Options fehlt
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## CVE-2020-11023: Potential XSS vulnerability in jQuery
- Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 63
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: vulnerability
- Maßnahme: Aktualisiere das betroffene Open-Source-Paket auf eine nicht betroffene Version.
- Nachweis: CVE-2020-11023: Potential XSS vulnerability in jQuery
- Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben

## Tracking vor Consent blockieren
- Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 62
- Verantwortlich: Marketing/IT / Bereich: Consent & Tracking
- Maßnahme: Nicht notwendige Tags, Cookies, Pixel und Google-Dienste bis zur Einwilligung blockieren und Ablehnen/GPC erneut testen.
- Nachweis: Consent ist teilweise erkennbar; einzelne Punkte bleiben Betreiberkontext.
- Hintergrund-Link: https://saferpage.de/consent/itship.ch

## CVE-2015-9251: Cross-Site Scripting (XSS) in jquery
- Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59
- Verantwortlich: Technik / Bereich: BSI/Patchmanagement
- Maßnahme: Betroffene Software aktualisieren oder kompensierend absichern.
- Nachweis: 
- Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben

## Sicherheit, TLS & Header
- Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59
- Verantwortlich: Technik / Bereich: Sicherheit, TLS & Header
- Maßnahme: HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
- Nachweis: 
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Preference Center & Consent Ledger verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Verantwortlich: Marketing/IT/Compliance / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Dauerhaften Präferenzzugang, granularen Widerruf, Consent-Ledger und Downstream-Sync in CRM/Tags/Vendor-Systeme nachweisbar aufbauen.
- Nachweis: 
- Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren

## Privacy Rights Portal Launch verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Verantwortlich: Datenschutz/Support/IT / Bereich: PrivacyOps-Reifegrad
- Maßnahme: DSAR-/Betroffenenrechte-Portal mit sicherem Intake, Statusweg, Preference-Link und Antwortzustellung im Betreiber-System veröffentlichen.
- Nachweis: 
- Hintergrund-Link: https://saferpage.de/guides/datenschutzerklaerung-verbessern

## Öffentliches Datenschutz-Center verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Verantwortlich: Datenschutz/Legal/Marketing/IT / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Datenschutz-Center als endanwenderfreundlichen Hub veröffentlichen und mit SaferPage-Kurzreport, Methodik, Exports und letzter Prüfung verlinken.
- Nachweis: 
- Hintergrund-Link: https://saferpage.de/datenschutz-webseiten-report/

## Privacy Risk Register & Executive Dashboard verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Verantwortlich: Programm-Verantwortung/Datenschutz / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Top-Risiken mit Verantwortlichkeit, Zielzeit, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.
- Nachweis: 
- Hintergrund-Link: https://saferpage.de/methodik

## Policy & Notice Lifecycle verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Verantwortlich: Datenschutz/Legal/Content / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Notice-Versionierung, Disclosure-Sync, Regulatory Updates, Freigaben und Publikationsnachweise als Regelprozess betreiben.
- Nachweis: 
- Hintergrund-Link: https://saferpage.de/guides/datenschutzerklaerung-verbessern

## Retention & Deletion Governance verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Verantwortlich: Datenschutz/Legal/IT / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Speicherfristen, Löschtrigger, Backup-/Legal-Hold-Regeln, Vendor-Löschung und Löschprotokolle operationalisieren.
- Nachweis: 
- Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog

## Cookie-Hinweis ohne klare Ablehnen-Option
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.
- Nachweis: Cookie-Hinweis ohne klare Ablehnen-Option
- Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren

## Consent wirkt wie Nur-Akzeptieren
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: Cookie-Auswahl und Ablehnen-Option sichtbar anbieten.
- Nachweis: Consent wirkt wie Nur-Akzeptieren
- Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren

## TLS-Zertifikat läuft bald ab
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: tls
- Maßnahme: Zertifikat rechtzeitig erneuern; bei weniger als 7 Tagen sofort prüfen.
- Nachweis: TLS-Zertifikat läuft bald ab
- Hintergrund-Link: https://saferpage.de/guides/ssl-zertifikat-reparieren

## nginx-Version wirkt alt fuer einen oeffentlichen Webserver
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: vulnerability
- Maßnahme: Pruefen, ob die sichtbare nginx-Version vom OS-Anbieter mit Security-Backports gepflegt wird. Ohne Backports auf eine aktuelle Stable/Mainline-Version aus dem nginx.org-Zweig aktualisieren.
- Nachweis: nginx-Version wirkt alt fuer einen oeffentlichen Webserver
- Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben