# Quick-Win-Plan für suchda.hds.hebis.de

suchda.hds.hebis.de: 20 Quick-Win-Maßnahme(n), 2 innerhalb von 7 Tagen und 18 innerhalb von 30 Tagen.

> Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen.

## Incident & Breach Response verbessern
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 96
- Verantwortlich: DSB/Legal/IT / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Incident-Verantwortlichkeit, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.
- Nachweis: 
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Security-Header setzen
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 76
- Verantwortlich: IT/Security / Bereich: Security
- Maßnahme: Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen.
- Nachweis: 4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. CSP wirksam mit 1 Direktive(n), 0 Warnung(en), 2 Hinweis(e).
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Browser-Nachweis
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 69
- Verantwortlich: Website-Betrieb / Bereich: Browser-Nachweis
- Maßnahme: Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.
- Nachweis: 
- Hintergrund-Link: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren

## PHP-Version ist nicht mehr upstream unterstuetzt
- Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 63
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: vulnerability
- Maßnahme: PHP auf eine aktuell unterstuetzte Version migrieren. Upstream-Sicherheitsfixes gibt es laut php.net nur noch fuer PHP 8.2 bis 8.5; alte 7.x/8.0/8.1-Header sind kritisch, sofern kein Distribution-Backport nachweisbar ist.
- Nachweis: PHP-Version ist nicht mehr upstream unterstuetzt
- Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben

## CVE-2018-16843: Excessive memory usage in HTTP/2
- Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59
- Verantwortlich: Technik / Bereich: BSI/Patchmanagement
- Maßnahme: Betroffene Software aktualisieren oder kompensierend absichern.
- Nachweis: 
- Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben

## AI Governance & Automated Decisioning verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Verantwortlich: Datenschutz/Product/Legal / Bereich: PrivacyOps-Reifegrad
- Maßnahme: AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.
- Nachweis: 
- Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog

## Privacy Risk Register & Executive Dashboard verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Verantwortlich: Programm-Verantwortung/Datenschutz / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Top-Risiken mit Verantwortlichkeit, Zielzeit, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.
- Nachweis: 
- Hintergrund-Link: https://saferpage.de/methodik

## PIA/DPIA & Privacy by Design verbessern
- Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 44
- Verantwortlich: Datenschutz/Product / Bereich: PrivacyOps-Reifegrad
- Maßnahme: DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden.
- Nachweis: 
- Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog

## CVE-2018-16845: Memory disclosure in the ngx_http_mp4_module
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: vulnerability
- Maßnahme: nginx-Version gegen die offizielle Advisory pruefen und auf 1.15.6+, 1.14.1+ oder neuer aktualisieren.
- Nachweis: CVE-2018-16845: Memory disclosure in the ngx_http_mp4_module
- Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben

## Möglicherweise nicht notwendige Cookies vor Einwilligung
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen.
- Nachweis: Möglicherweise nicht notwendige Cookies vor Einwilligung
- Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren

## TLS-Zertifikat läuft bald ab
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: tls
- Maßnahme: Zertifikat rechtzeitig erneuern; bei weniger als 7 Tagen sofort prüfen.
- Nachweis: TLS-Zertifikat läuft bald ab
- Hintergrund-Link: https://saferpage.de/guides/ssl-zertifikat-reparieren

## Beacon-/Keepalive-Telemetrie erkannt
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.
- Nachweis: Beacon-/Keepalive-Telemetrie erkannt
- Hintergrund-Link: https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen

## nginx-Version wirkt alt fuer einen oeffentlichen Webserver
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: vulnerability
- Maßnahme: Pruefen, ob die sichtbare nginx-Version vom OS-Anbieter mit Security-Backports gepflegt wird. Ohne Backports auf eine aktuelle Stable/Mainline-Version aus dem nginx.org-Zweig aktualisieren.
- Nachweis: nginx-Version wirkt alt fuer einen oeffentlichen Webserver
- Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben

## CSP ohne object-src
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.
- Nachweis: CSP ohne object-src
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## CSP ohne base-uri
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.
- Nachweis: CSP ohne base-uri
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Cross-Origin-Embedder-Policy fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
- Nachweis: Cross-Origin-Embedder-Policy fehlt
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Cross-Origin-Opener-Policy fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
- Nachweis: Cross-Origin-Opener-Policy fehlt
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Cross-Origin-Resource-Policy fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
- Nachweis: Cross-Origin-Resource-Policy fehlt
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Referrer-Policy fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `referrer-policy` setzen und nach Deployment erneut prüfen.
- Nachweis: Referrer-Policy fehlt
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen

## Permissions-Policy fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `permissions-policy` setzen und nach Deployment erneut prüfen.
- Nachweis: Permissions-Policy fehlt
- Hintergrund-Link: https://saferpage.de/guides/security-header-setzen