# Externe Sicherheitsnachweise fuer karriere.bvmw.de

karriere.bvmw.de: Extern-Prüfplan mit 5 Nachweisbereichen, davon 0 hoch priorisiert.

> Dieser Plan ergänzt den öffentlichen SaferPage-Check. Er ist kein Beweis, dass Malware-, DOM-XSS- oder Blacklist-Prüfungen bestanden wurden; er zeigt, welche externen Nachweise Betreiber einholen und dokumentieren müssen.

## Malware-, Phishing- und Blacklist-Nachweis
- Scope: Google Search Console Security Issues, Hosting-Quarantäne, Safe-Browsing-/Blacklist-Prüfung und Server-Dateiintegrität.
- Auslöser: Öffentliche Blacklist-Feeds werden von SaferPage nicht vollständig abgefragt.
- Priorität: mittel (extern prüfen)
- Evidenz: Keine Blacklist-Abfrage und kein Malware-Crawl; nur sichtbare Oberflächenbegriffe aus dem gespeicherten Check.
- Maßnahme: Search-Console-Sicherheitswarnungen, Hoster-Meldungen, Malware-Scanner, Webroot-Änderungen und verdächtige Weiterleitungen prüfen; Ergebnis als Nachweis ablegen.
- Akzeptanz: Keine offenen Malware-, Phishing- oder Quarantäne-Warnungen; bei Treffer: Bereinigung, Passwort-/Key-Rotation, Re-Scan und Incident-Notiz dokumentiert.
- Owner: IT/Security

## DOM-XSS-/DAST-Tiefentest
- Scope: Dynamischer Browser-Test mit Payloads, Formular-/Suchparametern, Fragmenten, Client-Routing und gefährlichen DOM-Sinks.
- Auslöser: SaferPage bewertet Skriptquellen, CSP/SRI und sichtbare Einbindungen, führt aber keinen DOM-XSS-Fuzzer aus.
- Priorität: mittel (extern prüfen)
- Evidenz: SaferPage bewertet derzeit sichtbare Skriptquellen, CSP/SRI und riskante Einbindungen; kein dynamischer DOM-XSS-Fuzzer und keine Payload-Ausnutzung.
- Maßnahme: Für Login, Suche, Formulare, Checkout und Single-Page-Routen DAST/Pentest durchführen; CSP-Report-Only und SRI/CSP-Härtung parallel prüfen.
- Akzeptanz: Keine offenen kritischen oder hohen DOM-XSS-Befunde; mittlere Befunde sind als Ticket mit Owner, Frist und Risikoakzeptanz dokumentiert.
- Owner: IT/Security

## CMS-, Plugin- und CVE-Patchnachweis
- Scope: CMS-Core, Theme, Plugins, Serverpakete, Backport-Status und Advisory-Quellen gegen sichtbare Versionen abgleichen.
- Auslöser: Sichtbare Versionen oder fehlende interne Patchnachweise fachlich prüfen.
- Priorität: mittel (Patchstand belegen)
- Evidenz: Server: cloudflare · Powered-by: nicht erkannt · Generator: softgarden Karriereseite Pro · Versionen: 0 · Advisory-Treffer: 0 · Versionsregeln: 0
- Maßnahme: Inventarliste mit Produkt, Version, Updatekanal, Backport-Begründung und Advisory-Status pflegen; sichtbare Versionslecks entfernen oder begründen.
- Akzeptanz: Alle Komponenten sind aktuell, gepatcht oder mit Backport-/Risikobegründung dokumentiert; SaferPage-Re-Scan zeigt keine neuen sichtbaren Versionstreffer.
- Owner: IT/Webbetrieb

## Re-Scan und Betreiber-Nachweis
- Scope: Nach jeder Sicherheitskorrektur SaferPage neu ausführen, Export speichern und Veränderung gegen Vorbefund erklären.
- Auslöser: Security-Score, Header, Skripte, Drittanbieter und Advisory-Hinweise sind öffentliche Regressionssignale.
- Priorität: mittel (nach Fix durchführen)
- Evidenz: karriere.bvmw.de: DACH-Sicherheitsprofil mit 7 Prüfbereichen, Score 58/100, 3 Bereich(en) mit Handlungsbedarf.
- Maßnahme: Nach Korrektur Kurzreport, Sicherheitsprofil, Befunde, Scorecard und Extern-Prüfplan als Nachweispaket verlinken.
- Akzeptanz: Neuer Scan ist gespeichert, alte und neue Befunde sind vergleichbar, offene Restrisiken haben Owner und Frist.
- Owner: Webbetrieb/Datenschutz

## Alarmierung und tägliche Überwachung
- Scope: Monitoring-Regeln, Score-Abfall, neue Drittanbieter, neue Versionstreffer und Betreiber-Benachrichtigung.
- Auslöser: SIWECOS-ähnliche Betreiber erwarten Hinweise, wenn sich Sicherheits- oder Vertrauenssignale verschlechtern.
- Priorität: mittel (Monitoring aktiv halten)
- Evidenz: SaferPage verlinkt Monitoring, Alarme, Scorecard und Badge; externe Blacklist-Feeds bleiben als fachlicher Nachweis separat.
- Maßnahme: Domain im Portfolio überwachen, Alarmwege testen und bei Score-Abfall Security-/Datenschutz-Owner informieren.
- Akzeptanz: Alarmweg ist getestet, letzter Scan ist verlinkt, neue Hochrisiko-Befunde erzeugen ein Ticket oder eine dokumentierte Entscheidung.
- Owner: Programm-Owner

## Akzeptanzkriterien
- Keine offenen Malware-, Phishing-, Blacklist- oder Hoster-Quarantäne-Warnungen.
- Kein offener kritischer oder hoher DOM-XSS-/DAST-Befund ohne Ticket, Owner und Frist.
- CMS-, Plugin-, Theme- und Serverkomponenten sind gepatcht oder mit Backport/Risikoakzeptanz dokumentiert.
- Nach Fix liegt ein neuer SaferPage-Scan mit Sicherheitsprofil, Befunden und Scorecard vor.
- Alarmweg für Score-Abfall, neue Drittanbieter und neue Advisory-Hinweise ist getestet.