# DACH-Sicherheitsprofil fuer info.wuv.de

info.wuv.de: DACH-Sicherheitsprofil mit 7 Prüfbereichen, Score 55/100, 3 Bereich(en) mit Handlungsbedarf.

> SaferPage ist hier ein öffentlicher Website-Check, kein vollständiger Penetrationstest. TLS, Header, sichtbare Technik, Skripte und Drittanbieter werden ausgewertet; DOM-XSS-Fuzzing, Malware-Forensik und vollständige Blacklist-Feeds sind als Grenzen markiert.

## TLS, HTTPS und Zertifikat
- Bereich: TLS-Scanner
- Abdeckung: geprüft
- Score: 0/100 (prüfen)
- Evidenz: TLS: TLSv1.3 · Zertifikat: R13 · Moderne TLS-Version aktiv: TLSv1.3. · HSTS ist aktiv. · CAA-Record fehlt
- Maßnahme: HTTPS, Zertifikat, Weiterleitung, HSTS und TLS-Konfiguration fachlich prüfen; nach Serveränderung erneut scannen.
- Owner: IT/Security

## HTTP-Security-Header
- Bereich: Header-Scanner
- Abdeckung: geprüft
- Score: 46/100 (härten)
- Evidenz: 5 von 9 wichtigen Security-Headern vorhanden, 5 korrekt bewertet. CSP wirksam mit 6 Direktive(n), 2 Warnung(en), 3 Hinweis(e).
- Maßnahme: CSP, HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy und Permissions-Policy gezielt setzen oder verbessern.
- Owner: IT/Webserver

## Externe Skripte und Bibliotheken
- Bereich: Info-Leak / Script Hygiene
- Abdeckung: geprüft
- Score: 78/100 (prüfen)
- Evidenz: 4 externe Skript(e) von 3 Host(s), 4 ohne SRI, 0 Tracking-/Tag-nahe Skript(e).
- Maßnahme: Externe Skripte, SRI/CSP, Anbieterrolle, Consent-Bedarf und sichtbare Versionen priorisiert prüfen.
- Owner: Webbetrieb/Datenschutz

## Sichtbare Versionen und CVE-Hygiene
- Bereich: Info-Leak / CMS-Scanner
- Abdeckung: abgeleitet
- Score: 76/100 (prüfen)
- Evidenz: Server: Apache · Powered-by: xrow GmbH · Generator: nicht erkannt · Versionen: 0 · Advisory-Treffer: 0 · Versionsregeln: 0
- Maßnahme: Sichtbare Produkt- und Versionshinweise entfernen oder begründen, Patchstand belegen und bekannte Advisory-Treffer beheben.
- Owner: IT/Webbetrieb

## Drittanbieter-, Referrer- und Request-Leakage
- Bereich: Info-Leak / Datenschutz
- Abdeckung: geprüft
- Score: 65/100 (einordnen)
- Evidenz: 34 Request(s), 8 Drittanbieter-Domain(s). 8 Drittanbieter-Domain(s) beim ersten Browseraufruf, davon 1 datenschutzrelevant.
- Maßnahme: Drittanbieter minimieren, Zwecke dokumentieren, Consent-Zustände vergleichen und Datenschutzhinweis/Anbieterregister aktualisieren.
- Owner: Datenschutz/Marketing/IT

## Phishing-/Spam-/Malware-Hinweise
- Bereich: Initiative-S / Blacklist
- Abdeckung: nicht tief geprüft
- Score: 68/100 (keine Oberflächenhinweise)
- Evidenz: Keine Blacklist-Abfrage und kein Malware-Crawl; nur sichtbare Oberflächenbegriffe aus dem gespeicherten Check.
- Maßnahme: Bei Verdacht externe Malware-/Blacklist-Prüfung, Hosting-Logs, CMS-Dateien und Search-Console-Warnungen prüfen.
- Owner: IT/Security

## DOM-XSS-Tiefentest
- Bereich: DOM-XSS-Scanner
- Abdeckung: nicht tief geprüft
- Score: 50/100 (Roadmap)
- Evidenz: SaferPage bewertet derzeit sichtbare Skriptquellen, CSP/SRI und riskante Einbindungen; kein dynamischer DOM-XSS-Fuzzer und keine Payload-Ausnutzung.
- Maßnahme: Für kritische Webapps ergänzend spezialisierten DAST-/DOM-XSS-Test oder Penetrationstest beauftragen; CSP/SRI/Framework-Patches als Basishärtung umsetzen.
- Owner: IT/Security

## Security-Alerts
- hoch: Security Score unter Zielschwelle · Trigger: Security Score 55/100 · Owner: IT/Security · SLA: 0-14 Tage
  Maßnahme: Sicherheitsprofil, Befunde und Extern-Prüfplan priorisiert abarbeiten; nach Fix erneut scannen.
- kritisch: TLS, HTTPS und Zertifikat priorisieren · Trigger: Score 0/100 · prüfen · Owner: IT/Security · SLA: 0-7 Tage
  Maßnahme: HTTPS, Zertifikat, Weiterleitung, HSTS und TLS-Konfiguration fachlich prüfen; nach Serveränderung erneut scannen.
- hoch: HTTP-Security-Header priorisieren · Trigger: Score 46/100 · härten · Owner: IT/Webserver · SLA: 0-14 Tage
  Maßnahme: CSP, HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy und Permissions-Policy gezielt setzen oder verbessern.
- mittel: Phishing-/Spam-/Malware-Hinweise extern nachweisen · Trigger: Abdeckung: nicht tief geprüft · Owner: IT/Security · SLA: nächster Review
  Maßnahme: Externen Nachweis oder Risikoakzeptanz im Prüfplan dokumentieren.
- hoch: DOM-XSS-Tiefentest priorisieren · Trigger: Score 50/100 · Roadmap · Owner: IT/Security · SLA: 0-14 Tage
  Maßnahme: Für kritische Webapps ergänzend spezialisierten DAST-/DOM-XSS-Test oder Penetrationstest beauftragen; CSP/SRI/Framework-Patches als Basishärtung umsetzen.