# Quick-Win-Plan für spiegelgruppe.de spiegelgruppe.de: 20 Quick-Win-Maßnahme(n), 2 innerhalb von 7 Tagen und 15 innerhalb von 30 Tagen. > Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen. ## Security-Header setzen - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 76 - Owner: IT/Security / Bereich: Security - Maßnahme: Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen. - Nachweis: 6 von 9 wichtigen Security-Headern vorhanden, 6 korrekt bewertet. CSP wirksam mit 2 Direktive(n), 0 Warnung(en), 1 Hinweis(e). - Guide: https://saferpage.de/guides/security-header-setzen ## Sitemap und wichtige Unterseiten auffindbar machen - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 72 - Owner: Webbetrieb/SEO / Bereich: Crawl-Abdeckung - Maßnahme: Sitemap, robots.txt, Datenschutz, Impressum, Kontakt, Formular- und Cookie-Seiten verlinken und danach erneut crawlen. - Nachweis: 0 interne Linkziele erkannt (0 aus Sitemap), 0 priorisierte Unterseite(n) zusätzlich abgerufen. - Guide: https://saferpage.de/abdeckung/spiegelgruppe.de ## Links mit sensiblen Query-Parametern erkannt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 69 - Owner: Datenschutz / Bereich: PII-Datenleck - Maßnahme: Sensible Parameter aus internen Links und Referrer-Pfaden entfernen. - Nachweis: - Guide: https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden ## Tracking vor Consent blockieren - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 62 - Owner: Marketing/IT / Bereich: Consent & Tracking - Maßnahme: Nicht notwendige Tags, Cookies, Pixel und Google-Dienste bis zur Einwilligung blockieren und Ablehnen/GPC erneut testen. - Nachweis: Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig. - Guide: https://saferpage.de/consent/spiegelgruppe.de ## Seiten-URL wird in Drittanbieter-Requests übertragen - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Owner: Website-Betrieb / Bereich: URL-Datenabfluss - Maßnahme: Tracking-Requests dürfen die aktuelle Seiten-URL nicht unnötig als Parameter übertragen. - Nachweis: - Guide: https://saferpage.de/guides/referrer-und-url-leaks-vermeiden ## Google Consent Mode Default nicht erkannt - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Owner: Datenschutz/Marketing / Bereich: DSGVO/Google-Dienste - Maßnahme: Google-Tags brauchen vor dem ersten Tag klare Consent-Defaults. - Nachweis: - Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden ## Kein sichtbarer Ablehnen-Button im Banner - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Owner: Datenschutz/Marketing / Bereich: TDDDG/ePrivacy - Maßnahme: Ablehnen muss in der Browseransicht gleichwertig erreichbar sein. - Nachweis: - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Cookie-Hinweis ohne klare Ablehnen-Option - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Owner: Datenschutz/Marketing / Bereich: TDDDG/ePrivacy - Maßnahme: Ablehnen muss gleichwertig erreichbar sein. - Nachweis: - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Datenschutz, Cookies & Consent - Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 45 - Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul - Maßnahme: Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären. - Nachweis: 0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 46. - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Kein sichtbarer Ablehnen-Button im Banner - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Owner: Website-Betrieb/Datenschutz / Bereich: privacy - Maßnahme: Ablehnen oder nur notwendige Cookies im sichtbaren Banner genauso erreichbar machen wie Akzeptieren. - Nachweis: Kein sichtbarer Ablehnen-Button im Banner - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Cookie-Hinweis ohne klare Ablehnen-Option - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Owner: Website-Betrieb/Datenschutz / Bereich: privacy - Maßnahme: Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren. - Nachweis: Cookie-Hinweis ohne klare Ablehnen-Option - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Google Consent Mode Default nicht erkannt - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Owner: Website-Betrieb/Datenschutz / Bereich: privacy - Maßnahme: Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied. - Nachweis: Google Consent Mode Default nicht erkannt - Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden ## Canonical zeigt auf fremde Domain - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Owner: Website-Betrieb/Datenschutz / Bereich: seo - Maßnahme: Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden. - Nachweis: Canonical zeigt auf fremde Domain - Guide: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen ## Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Owner: Website-Betrieb/Datenschutz / Bereich: crawl - Maßnahme: Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein. - Nachweis: Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden - Guide: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## CSP ohne base-uri - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38 - Owner: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird. - Nachweis: CSP ohne base-uri - Guide: https://saferpage.de/guides/security-header-setzen ## Cross-Origin-Embedder-Policy fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38 - Owner: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen. - Nachweis: Cross-Origin-Embedder-Policy fehlt - Guide: https://saferpage.de/guides/security-header-setzen ## Cross-Origin-Opener-Policy fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38 - Owner: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen. - Nachweis: Cross-Origin-Opener-Policy fehlt - Guide: https://saferpage.de/guides/security-header-setzen ## Cross-Origin-Resource-Policy fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38 - Owner: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen. - Nachweis: Cross-Origin-Resource-Policy fehlt - Guide: https://saferpage.de/guides/security-header-setzen ## CSP ohne base-uri - Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 35 - Owner: Technik / Bereich: BSI/Security-Header - Maßnahme: base-uri 'self' oder 'none' setzen. - Nachweis: - Guide: https://saferpage.de/guides/security-header-setzen ## Seitenabdeckung & Crawl - Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 33 - Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul - Maßnahme: Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen. - Nachweis: 0 interne Linkziele erkannt, 0 priorisierte Unterseite(n) abgerufen. - Guide: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog