Opportunities / Quick-Wins
wfe-erzgebirge.de: 20 Quick-Win-Maßnahme(n), 2 innerhalb von 7 Tagen und 18 innerhalb von 30 Tagen.
Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen.
Plan
HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
Nachweis: 1 Infrastruktur-Hinweis(e), Security-Header: 3/9 vorhanden, 6 fehlen, externe Skript-Hosts: 0. · Quelle: audit_moduleFehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen.
Nachweis: 3 von 9 wichtigen Security-Headern vorhanden, 3 korrekt bewertet. CSP wirksam mit 4 Direktive(n), 2 Warnung(en), 4 Hinweis(e). · Quelle: derived_signalInline-Skripte über Nonces oder Hashes freigeben und unsafe-inline aus script-src entfernen.
Nachweis: CSP erlaubt unsafe-inline für Skripte · Quelle: findingunsafe-eval vermeiden und betroffene Bibliotheken oder Build-Konfigurationen prüfen.
Nachweis: CSP erlaubt eval-nahe Skriptausführung · Quelle: findingHeader `x-frame-options` setzen und nach Deployment erneut prüfen.
Nachweis: X-Frame-Options fehlt · Quelle: findingInline-Skripte über Nonces oder Hashes statt unsafe-inline freigeben.
Nachweis: · Quelle: operator_action_planunsafe-eval aus script-src entfernen oder betroffene Bibliotheken ersetzen.
Nachweis: · Quelle: operator_action_planGoogle-Tags brauchen vor dem ersten Tag klare Consent-Defaults.
Nachweis: · Quelle: operator_action_planTop-Risiken mit Verantwortlichkeit, Zielzeit, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.
Nachweis: · Quelle: maturity_roadmapAI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.
Nachweis: · Quelle: maturity_roadmapConsent-Mode-v2-Defaults, CMP-Updates, Tag-Regeln und Validierung als Release-Gate betreiben.
Nachweis: · Quelle: maturity_roadmapDauerhaften Präferenzzugang, granularen Widerruf, Consent-Ledger und Downstream-Sync in CRM/Tags/Vendor-Systeme nachweisbar aufbauen.
Nachweis: · Quelle: maturity_roadmapAnbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren.
Nachweis: · Quelle: maturity_roadmapVendor Discovery, Privacy Score, AVV/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding als Lifecycle betreiben.
Nachweis: · Quelle: maturity_roadmapVor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
Nachweis: Google Consent Mode Default nicht erkannt · Quelle: findingCanonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.
Nachweis: Canonical zeigt auf fremde Domain · Quelle: findingscript-src auf konkrete HTTPS-Hosts, Nonces oder Hashes begrenzen.
Nachweis: CSP erlaubt sehr breite Skriptquellen · Quelle: findingframe-ancestors 'none' oder 'self' setzen, alternativ X-Frame-Options als Basisschutz nutzen.
Nachweis: Kein CSP-frame-ancestors oder X-Frame-Options · Quelle: findingobject-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.
Nachweis: CSP ohne object-src · Quelle: findingbase-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.
Nachweis: CSP ohne base-uri · Quelle: finding