# Quick-Win-Plan für smard.de

smard.de: 20 Quick-Win-Maßnahme(n), 1 innerhalb von 7 Tagen und 19 innerhalb von 30 Tagen.

> Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen.

## Security-Header setzen
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 76
- Owner: IT/Security / Bereich: Security
- Maßnahme: Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen.
- Nachweis: 4 von 6 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. CSP wirksam mit 4 Direktive(n), 2 Warnung(en), 3 Hinweis(e).
- Guide: https://saferpage.de/guides/security-header-setzen

## Sicherheit, TLS & Header
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 72
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
- Nachweis: 0 Infrastruktur-Hinweis(e), Security-Header: 4/6 vorhanden, 2 fehlen, externe Skript-Hosts: 0.
- Guide: https://saferpage.de/guides/security-header-setzen

## CSP erlaubt unsafe-inline für Skripte
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Inline-Skripte über Nonces oder Hashes freigeben und unsafe-inline aus script-src entfernen.
- Nachweis: CSP erlaubt unsafe-inline für Skripte
- Guide: https://saferpage.de/guides/security-header-setzen

## CSP erlaubt eval-nahe Skriptausführung
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: unsafe-eval vermeiden und betroffene Bibliotheken oder Build-Konfigurationen prüfen.
- Nachweis: CSP erlaubt eval-nahe Skriptausführung
- Guide: https://saferpage.de/guides/security-header-setzen

## Tracking vor Consent blockieren
- Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 62
- Owner: Marketing/IT / Bereich: Consent & Tracking
- Maßnahme: Nicht notwendige Tags, Cookies, Pixel und Google-Dienste bis zur Einwilligung blockieren und Ablehnen/GPC erneut testen.
- Nachweis: Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.
- Guide: https://saferpage.de/consent/smard.de

## CSP erlaubt unsafe-inline für Skripte
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 48
- Owner: Technik / Bereich: BSI/Security-Header
- Maßnahme: Inline-Skripte über Nonces oder Hashes statt unsafe-inline freigeben.
- Nachweis: 
- Guide: https://saferpage.de/guides/security-header-setzen

## CSP erlaubt eval-nahe Skriptausführung
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 48
- Owner: Technik / Bereich: BSI/Security-Header
- Maßnahme: unsafe-eval aus script-src entfernen oder betroffene Bibliotheken ersetzen.
- Nachweis: 
- Guide: https://saferpage.de/guides/security-header-setzen

## Formularfelder ohne klare Beschriftung
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 48
- Owner: UX/Content / Bereich: Barrierefreiheit/Usability
- Maßnahme: Formularfelder müssen für Tastatur und Screenreader verständlich beschriftet sein.
- Nachweis: 
- Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare

## Google Consent Mode Default nicht erkannt
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 48
- Owner: Datenschutz/Marketing / Bereich: DSGVO/Google-Dienste
- Maßnahme: Google-Tags brauchen vor dem ersten Tag klare Consent-Defaults.
- Nachweis: 
- Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden

## Formular mit personenbezogenen Feldern nutzt GET
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 48
- Owner: Datenschutz / Bereich: PII-Datenleck
- Maßnahme: Formulare mit personenbezogenen Daten per POST senden und Tracking auf Formularseiten begrenzen.
- Nachweis: 
- Guide: https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden

## Möglicherweise nicht notwendige Cookies vor Einwilligung
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 48
- Owner: Datenschutz/Marketing / Bereich: TDDDG/ePrivacy
- Maßnahme: Nicht notwendige Cookies vor Einwilligung prüfen und blockieren.
- Nachweis: 
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren

## Möglicherweise nicht notwendige Cookies vor Einwilligung
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Owner: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen.
- Nachweis: Möglicherweise nicht notwendige Cookies vor Einwilligung
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren

## Formular mit personenbezogenen Feldern nutzt GET
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Owner: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: Formulare mit personenbezogenen Daten per POST senden und sicherstellen, dass Werte nicht in URL, Referrer oder Analytics auftauchen.
- Nachweis: Formular mit personenbezogenen Feldern nutzt GET
- Guide: https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden

## Google Consent Mode Default nicht erkannt
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Owner: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
- Nachweis: Google Consent Mode Default nicht erkannt
- Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden

## Canonical zeigt auf fremde Domain
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Owner: Website-Betrieb/Datenschutz / Bereich: seo
- Maßnahme: Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.
- Nachweis: Canonical zeigt auf fremde Domain
- Guide: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen

## Formularfelder ohne klare Beschriftung
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Owner: Website-Betrieb/Datenschutz / Bereich: accessibility
- Maßnahme: Für jedes Eingabefeld ein sichtbares label, aria-label oder aria-labelledby setzen.
- Nachweis: Formularfelder ohne klare Beschriftung
- Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare

## Buttons ohne erkennbaren Namen
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Owner: Website-Betrieb/Datenschutz / Bereich: accessibility
- Maßnahme: Buttons mit sichtbarem Text oder aria-label beschriften.
- Nachweis: Buttons ohne erkennbaren Namen
- Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare

## CSP erlaubt sehr breite Skriptquellen
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 38
- Owner: Technik / Bereich: BSI/Security-Header
- Maßnahme: script-src auf konkrete HTTPS-Quellen begrenzen.
- Nachweis: 
- Guide: https://saferpage.de/guides/security-header-setzen

## CSP ohne object-src
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 38
- Owner: Technik / Bereich: BSI/Security-Header
- Maßnahme: object-src 'none' setzen.
- Nachweis: 
- Guide: https://saferpage.de/guides/security-header-setzen

## CSP erlaubt sehr breite Skriptquellen
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: script-src auf konkrete HTTPS-Hosts, Nonces oder Hashes begrenzen.
- Nachweis: CSP erlaubt sehr breite Skriptquellen
- Guide: https://saferpage.de/guides/security-header-setzen