# Quick-Win-Plan für maintenance-schweiz.ch maintenance-schweiz.ch: 20 Quick-Win-Maßnahme(n), 6 innerhalb von 7 Tagen und 14 innerhalb von 30 Tagen. > Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen. ## Sicherheit, TLS & Header - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 84 - Verantwortlich: Betreiber/IT/Datenschutz / Bereich: Audit-Modul - Maßnahme: HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren. - Nachweis: 2 Infrastruktur-Hinweis(e), Security-Header: 3/9 vorhanden, 6 fehlen, externe Skript-Hosts: 6. - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Security-Header setzen - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 76 - Verantwortlich: IT/Security / Bereich: Security - Maßnahme: Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen. - Nachweis: 3 von 9 wichtigen Security-Headern vorhanden, 3 korrekt bewertet. CSP wirksam mit 11 Direktive(n), 2 Warnung(en), 0 Hinweis(e). - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Sitemap und wichtige Unterseiten auffindbar machen - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 72 - Verantwortlich: Webbetrieb/SEO / Bereich: Crawl-Abdeckung - Maßnahme: Sitemap, robots.txt, Datenschutz, Impressum, Kontakt, Formular- und Cookie-Seiten verlinken und danach erneut crawlen. - Nachweis: 30 interne Linkziele erkannt (65 aus Sitemap), 4 priorisierte Unterseite(n) zusätzlich abgerufen. - Hintergrund-Link: https://saferpage.de/abdeckung/maintenance-schweiz.ch ## CSP erlaubt unsafe-inline für Skripte - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Inline-Skripte über Nonces oder Hashes freigeben und unsafe-inline aus script-src entfernen. - Nachweis: CSP erlaubt unsafe-inline für Skripte - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## CSP erlaubt eval-nahe Skriptausführung - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: unsafe-eval vermeiden und betroffene Bibliotheken oder Build-Konfigurationen prüfen. - Nachweis: CSP erlaubt eval-nahe Skriptausführung - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## HSTS fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `strict-transport-security` setzen und nach Deployment erneut prüfen. - Nachweis: HSTS fehlt - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Tracking vor Consent blockieren - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 62 - Verantwortlich: Marketing/IT / Bereich: Consent & Tracking - Maßnahme: Nicht notwendige Tags, Cookies, Pixel und Google-Dienste bis zur Einwilligung blockieren und Ablehnen/GPC erneut testen. - Nachweis: Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig. - Hintergrund-Link: https://saferpage.de/consent/maintenance-schweiz.ch ## CSP erlaubt unsafe-inline für Skripte - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Verantwortlich: Technik / Bereich: BSI/Security-Header - Maßnahme: Inline-Skripte über Nonces oder Hashes statt unsafe-inline freigeben. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## CSP erlaubt eval-nahe Skriptausführung - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Verantwortlich: Technik / Bereich: BSI/Security-Header - Maßnahme: unsafe-eval aus script-src entfernen oder betroffene Bibliotheken ersetzen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Formularfelder ohne klare Beschriftung - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Verantwortlich: UX/Content / Bereich: Barrierefreiheit/Usability - Maßnahme: Formularfelder müssen für Tastatur und Screenreader verständlich beschriftet sein. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare ## Datenschutzhinweis wirkt sehr dünn - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Verantwortlich: Datenschutz / Bereich: DSGVO/Transparenz - Maßnahme: Datenschutzhinweise gegen tatsächliche Technik abgleichen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/datenschutzerklaerung-verbessern ## Tracking-/Tag-Skripte aus externer Lieferkette - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Verantwortlich: Technik / Bereich: Skript-Lieferkette - Maßnahme: Tracking-/Tag-Skripte besonders streng an Consent, CSP und Anbieterinventar koppeln. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/externe-skripte-und-sri-absichern ## Google Consent Mode Default nicht erkannt - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Datenschutz/Marketing / Bereich: DSGVO/Google-Dienste - Maßnahme: Google-Tags brauchen vor dem ersten Tag klare Consent-Defaults. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden ## Cookie-Hinweis ohne klare Ablehnen-Option - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Datenschutz/Marketing / Bereich: TDDDG/ePrivacy - Maßnahme: Ablehnen muss gleichwertig erreichbar sein. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren ## Privacy Risk Register & Executive Dashboard verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Programm-Verantwortung/Datenschutz / Bereich: PrivacyOps-Reifegrad - Maßnahme: Top-Risiken mit Verantwortlichkeit, Zielzeit, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen. - Nachweis: - Hintergrund-Link: https://saferpage.de/methodik ## Consent & Cookie Governance verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Marketing/IT / Bereich: PrivacyOps-Reifegrad - Maßnahme: Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren ## Preference Center & Consent Ledger verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Marketing/IT/Compliance / Bereich: PrivacyOps-Reifegrad - Maßnahme: Dauerhaften Präferenzzugang, granularen Widerruf, Consent-Ledger und Downstream-Sync in CRM/Tags/Vendor-Systeme nachweisbar aufbauen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren ## Google Consent Mode Implementation verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Marketing/IT/Datenschutz / Bereich: PrivacyOps-Reifegrad - Maßnahme: Consent-Mode-v2-Defaults, CMP-Updates, Tag-Regeln und Validierung als Release-Gate betreiben. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden ## AI Governance & Automated Decisioning verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Datenschutz/Product/Legal / Bereich: PrivacyOps-Reifegrad - Maßnahme: AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## Externe Skripte & SRI - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 51 - Verantwortlich: Betreiber/IT/Datenschutz / Bereich: Audit-Modul - Maßnahme: Externe Skriptquellen reduzieren, statische CDN-Skripte mit SRI versehen und Tracking-/Tag-Skripte an Consent und CSP koppeln. - Nachweis: 13 externe Skript(e) von 6 Host(s), 13 ohne SRI, 1 Tracking-/Tag-nahe Skript(e). - Hintergrund-Link: https://saferpage.de/guides/externe-skripte-und-sri-absichern