# Quick-Win-Plan für verwaltung.tu-clausthal.de verwaltung.tu-clausthal.de: 20 Quick-Win-Maßnahme(n), 2 innerhalb von 7 Tagen und 18 innerhalb von 30 Tagen. > Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen. ## Security-Header setzen - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 76 - Verantwortlich: IT/Security / Bereich: Security - Maßnahme: Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen. - Nachweis: 5 von 9 wichtigen Security-Headern vorhanden, 5 korrekt bewertet. CSP wirksam mit 1 Direktive(n), 0 Warnung(en), 2 Hinweis(e). - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Sitemap und wichtige Unterseiten auffindbar machen - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 72 - Verantwortlich: Webbetrieb/SEO / Bereich: Crawl-Abdeckung - Maßnahme: Sitemap, robots.txt, Datenschutz, Impressum, Kontakt, Formular- und Cookie-Seiten verlinken und danach erneut crawlen. - Nachweis: 20 interne Linkziele erkannt (0 aus Sitemap), 5 priorisierte Unterseite(n) zusätzlich abgerufen. - Hintergrund-Link: https://saferpage.de/abdeckung/verwaltung.tu-clausthal.de ## Barrierefreiheit & Usability - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 69 - Verantwortlich: UX/Content / Bereich: Barrierefreiheit & Usability - Maßnahme: Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare ## SEO-Integrität & Cloaking - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 69 - Verantwortlich: Website-Betrieb / Bereich: SEO-Integrität & Cloaking - Maßnahme: Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen ## Seitenabdeckung & Crawl - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 69 - Verantwortlich: Website-Betrieb / Bereich: Seitenabdeckung & Crawl - Maßnahme: Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## Incident & Breach Response verbessern - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 66 - Verantwortlich: DSB/Legal/IT / Bereich: PrivacyOps-Reifegrad - Maßnahme: Incident-Verantwortlichkeit, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## CVE-2026-24072: An escalation of privilege bug in various modules in Apache HTTP 2.4.66 and earlier allows local .htaccess authors to read files with the privileges of the httpd user - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 63 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: vulnerability - Maßnahme: Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version. - Nachweis: CVE-2026-24072: An escalation of privilege bug in various modules in Apache HTTP 2.4.66 and earlier allows local .htaccess authors to read files with the privileges of the httpd user - Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben ## CVE-2026-24072: An escalation of privilege bug in various modules in Apache HTTP 2.4.66 and earlier allows local .htaccess authors to read files with the privileges of the httpd user - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Verantwortlich: Technik / Bereich: BSI/Patchmanagement - Maßnahme: Betroffene Software aktualisieren oder kompensierend absichern. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben ## Privacy Risk Register & Executive Dashboard verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Programm-Verantwortung/Datenschutz / Bereich: PrivacyOps-Reifegrad - Maßnahme: Top-Risiken mit Verantwortlichkeit, Zielzeit, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen. - Nachweis: - Hintergrund-Link: https://saferpage.de/methodik ## AI Governance & Automated Decisioning verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Datenschutz/Product/Legal / Bereich: PrivacyOps-Reifegrad - Maßnahme: AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## Preference Center & Consent Ledger verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Marketing/IT/Compliance / Bereich: PrivacyOps-Reifegrad - Maßnahme: Dauerhaften Präferenzzugang, granularen Widerruf, Consent-Ledger und Downstream-Sync in CRM/Tags/Vendor-Systeme nachweisbar aufbauen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren ## Versteckter Text erkannt - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: seo - Maßnahme: Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird. - Nachweis: Versteckter Text erkannt - Hintergrund-Link: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen ## Canonical zeigt auf fremde Domain - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: seo - Maßnahme: Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden. - Nachweis: Canonical zeigt auf fremde Domain - Hintergrund-Link: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen ## Apache 2.4 wirkt deutlich veraltet - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: vulnerability - Maßnahme: Pruefen, ob der sichtbare Apache-Header durch Distribution-Backports abgesichert ist. Falls nicht, auf einen aktuellen 2.4-Patchstand aktualisieren oder ServerTokens reduzieren. - Nachweis: Apache 2.4 wirkt deutlich veraltet - Hintergrund-Link: https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben ## Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: crawl - Maßnahme: Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein. - Nachweis: Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden - Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## Buttons ohne erkennbaren Namen - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: accessibility - Maßnahme: Buttons mit sichtbarem Text oder aria-label beschriften. - Nachweis: Buttons ohne erkennbaren Namen - Hintergrund-Link: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare ## CSP ohne object-src - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden. - Nachweis: CSP ohne object-src - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## CSP ohne base-uri - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird. - Nachweis: CSP ohne base-uri - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Cross-Origin-Embedder-Policy fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen. - Nachweis: Cross-Origin-Embedder-Policy fehlt - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Cross-Origin-Opener-Policy fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen. - Nachweis: Cross-Origin-Opener-Policy fehlt - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen