Sie können im System die URLs Ihrer Webseiten einpflegen. Der Vorteil: Die Software führt eine generelle Überprüfung der Webseiten durch und gibt Hinweise auf deren Konformität (inkl. Monitoring).
Allgemeine Prüfungen der Homepage / Domain.
Prüfung: Initiale Erreichbarkeitsprüfung bei Erstellung der Webseite im System.
Was wird geprüft?
Es wird überprüft, ob die eingegebene Adresse der Webseite tatsächlich erreichbar ist. Hierzu wird die Adresse aufgerufen und es wird geprüft, ob die Webseite erfolgreich geladen werden kann. Sollte die Adresse auf eine Unterseite oder eine andere URL weiterleiten, wird dieser Weiterleitung gefolgt und die Endziel-URL geprüft. Diese Prüfung soll sicherstellen, dass die Webseite korrekt und vollständig im System erstellt wurde und der erste Aufruf der Webseite ohne Probleme verläuft.
Der Test schlägt fehl, wenn die Webseite nicht erreichbar ist oder wenn der Aufruf der Webseite zu einem Fehler führt. Das kann z.B. daran liegen, dass die Webseite nicht korrekt erstellt wurde, dass die Serverkonfiguration falsch ist oder dass es Probleme mit der Netzwerkverbindung gibt.
Ergänzende Erläuterung:
Eine initiale Erreichbarkeitsprüfung der Webseite ist ein wichtiger Bestandteil bei der Erstellung von Webseiten, um sicherzustellen, dass die Webseite korrekt im System erstellt wurde und der erste Aufruf der Webseite ohne Probleme verläuft.
Prüfung: DNSSEC
Was wird geprüft?
Es wird überprüft, ob die DNS-Einträge der Webseite mit DNSSEC abgesichert sind. DNSSEC (Domain Name System Security Extensions) ist eine Erweiterung des DNS-Protokolls, die dazu dient, die Integrität und Authentizität von DNS-Daten zu gewährleisten.
Der Test schlägt fehl, wenn die DNS-Einträge der Webseite nicht mit DNSSEC abgesichert sind oder wenn es Probleme bei der DNSSEC-Validierung gibt.
Ergänzende Erläuterung:
DNSSEC bietet eine wichtige Sicherheitsmaßnahme, um DNS-Spoofing-Angriffe zu verhindern und sicherzustellen, dass Benutzer tatsächlich auf die vom Websitebetreiber beabsichtigte Seite gelangen. Es ist wichtig, dass Webseitenbetreiber DNSSEC implementieren, um die Sicherheit ihrer Benutzer zu gewährleisten.
Prüfung: SSL-Verschlüsselung
Was wird geprüft?
Es wird überprüft, ob die SSL/TLS-Verschlüsselung der Webseite den aktuellen Sicherheitsstandards entspricht. Dazu gehört die Verwendung der neuesten TLS-Versionen, die Verwendung sicherer Cipher-Suiten und die Vermeidung von bekannten Sicherheitslücken wie Heartbleed. Zusätzlich werden weitere Sicherheitsaspekte geprüft, wie z.B. die Gültigkeit des SSL/TLS-Zertifikats, die Verwundbarkeit gegen bekannte Schwachstellen und die Einhaltung von Best Practices.
Der Test schlägt fehl, wenn veraltete TLS-Versionen oder unsichere Cipher-Suiten verwendet werden oder wenn bekannte Sicherheitslücken vorhanden sind. Ebenso schlägt der Test fehl, wenn das SSL/TLS-Zertifikat abgelaufen oder ungültig ist oder wenn es Probleme mit der Zertifikatskette gibt. Darüber hinaus können weitere Schwachstellen wie z.B. POODLE, DROWN, FREAK, Logjam oder FreakAttack entdeckt werden.
Ergänzende Erläuterung:
Eine SSL/TLS-Verschlüsselung ist ein wichtiger Schutzmechanismus, um sensible Daten wie Benutzername, Passwörter, Kreditkarteninformationen oder andere persönliche Informationen zu schützen. Es ist wichtig, dass Webseitenbetreiber sicherstellen, dass ihre SSL/TLS-Verschlüsselung den aktuellen Sicherheitsstandards entspricht und Best Practices einhält. Die Verwendung veralteter TLS-Versionen oder unsicherer Cipher-Suiten kann dazu führen, dass ein Angreifer auf sensible Daten zugreifen kann.
Auch bekannte Sicherheitslücken wie Heartbleed sollten vermieden werden. Es ist auch wichtig, dass das SSL/TLS-Zertifikat gültig und nicht abgelaufen ist und dass die Zertifikatskette in Ordnung ist. Durch die Verwendung von SSL/TLS-Verschlüsselung und der Einhaltung der aktuellen Sicherheitsstandards können Webseitenbetreiber sicherstellen, dass ihre Benutzerdaten geschützt sind.
Prüfung: Potenziell gefährliche Dateien
Was wird geprüft?
Es wird geprüft, ob Dateien in Ordnern .git, .svn oder .hg öffentlich aufrufbar sind. Diese Dateien enthalten oft sensible Informationen wie Passwörter und Zugangsdaten, die von Angreifern missbraucht werden können.
Der Test schlägt fehl, wenn eine der genannten Dateien öffentlich aufrufbar ist.
Ergänzende Erläuterung:
Die genannten Ordner (.git, .svn oder .hg) sollten niemals öffentlich aufrufbar sein, da sie sensible Informationen enthalten, die von Angreifern missbraucht werden können. Diese Dateien werden von Versionskontrollsystemen wie Git, Subversion und Mercurial genutzt, um Informationen über das Repository und den Server zu speichern. Eine Offenlegung dieser Informationen kann schwerwiegende Folgen haben und sollte daher unbedingt vermieden werden. Prüfung je Unterseite.
Allgemeine Informationen
Um alle Daten einer Unterseite zu erfassen, wird die Seite nicht nur statisch aufgerufen. Stattdessen bewegt das System die Maus und scrollt die Seite in einer Geschwindigkeit, die der eines menschlichen Benutzers ähnelt, bis zum Ende der Seite. Dieser Vorgang kann je nach Länge der Seite einige Sekunden dauern. Währenddessen werden alle Datenverbindungen protokolliert und anschließend ausgewertet.
Option: Akzeptiere Cookie-Banner
Das System sucht auf der Seite den “Alle-Akzeptieren”-Button des definierten Cookie-Banners und klickt auf ihn. Anschließend wird die Seite erneut gescannt.
Die Information, ob der Cookie-Banner angeklickt werden konnte (ggf. nicht vorhanden) wird gespeichert.
HTTP-Aufrufe / Cookies / LocalStorage-Daten, die erst nach der Nutzung des Cookie-Banners gesetzt bzw. getätigt werden, werden mit “Nach Einwilligung = Ja” angezeigt.
Prüfung: Erreichbarkeit der Seite
Was wird geprüft?
Es wird geprüft, ob die Seite erreichbar ist und nicht mit einem Fehlercode antwortet. Der Test überprüft, ob die Webseite unter der angegebenen URL aufgerufen werden kann und eine erfolgreiche HTTP-Antwort zurückgibt. Hierbei wird geprüft, ob die Seite den HTTP-Statuscode 200 (OK) zurückgibt und keine Weiterleitung auf eine andere Seite erfolgt.
Der Test schlägt fehl, wenn die Seite nicht erreichbar ist oder mit einem Fehlercode antwortet.
Ergänzende Erläuterung:
Die Erreichbarkeit einer Seite ist eine wichtige Voraussetzung für eine erfolgreiche Nutzung. Es ist daher wichtig, die Erreichbarkeit regelmäßig zu überprüfen und bei auftretenden Problemen schnell zu reagieren. Die Prüfung der Erreichbarkeit sollte regelmäßig durchgeführt werden, um Probleme frühzeitig zu erkennen und beheben zu können.
Prüfung: Weiterleitung HTTP auf HTTPS
Was wird geprüft?
Die Seite wird über das HTTP-Protokoll aufgerufen, es wird eine Weiterleitung an die exakt gleiche URL, nur mit HTTPS-Protokoll erwartet.
Der Test schlägt, fehlt, wenn die Seite nicht per HTTP-Status-Code weiterleitet oder das Weiterleitungsziel sich von der geprüften Seite unterscheidet.
Ergänzende Erläuterung:
Eine TLS-Verschlüsselung gehört zum Stand der Technik, eine Webseite sollte nicht über das HTTP-Protokoll erreichbar sein.
Prüfung: Screenshot
Was wird geprüft?
Es wird ein Screenshot der Seite mit einem Viewport von 1366 x 700 Px erstellt, was einer gängigen Laptop-Auflösung entspricht. Der Screenshot soll sicherstellen, dass die Webseite korrekt angezeigt wird und keine unerwarteten Darstellungsprobleme aufweist. Hierbei können z.B. Probleme mit der Gestaltung des Cookie-Banners erkannt werden.
Ergänzende Erläuterung:
Die Erstellung eines Screenshots mit einem Viewport von 1366 x 700 Px ist eine nützliche Prüfung, um sicherzustellen, dass die Webseite korrekt und ohne Darstellungsprobleme angezeigt wird.
Prüfung: Front-End-Bibliotheken mit bekannten Sicherheitslücken
Was wird geprüft?
Es wird geprüft, ob auf der Webseite veraltete Front-End-Bibliotheken verwendet werden, die bekannte Sicherheitslücken aufweisen. Hierbei kann es sich beispielsweise um alte Versionen von jQuery oder anderen gängigen Bibliotheken handeln, die aufgrund von bekannten Sicherheitslücken für Angriffe anfällig sind.
Der Test schlägt fehl, wenn veraltete Front-End-Bibliotheken mit bekannten Sicherheitslücken auf der Webseite gefunden werden.
Ergänzende Erläuterung:
Veraltete Front-End-Bibliotheken können ein Sicherheitsrisiko darstellen, da sie für bekannte Sicherheitslücken anfällig sind. Angreifer können diese Lücken ausnutzen, um die Webseite zu kompromittieren oder Benutzerdaten zu stehlen. Daher ist es wichtig, regelmäßig zu überprüfen, ob veraltete Front-End-Bibliotheken auf der Webseite verwendet werden, und gegebenenfalls Updates durchzuführen, um bekannte Sicherheitslücken zu schließen.
Prüfung: Vorhandensein einer Content Security Policy
Was wird geprüft?
Es wird geprüft, ob die Webseite eine Content Security Policy (CSP) implementiert hat. Eine CSP ist eine Sicherheitsrichtlinie, die festlegt, welche Ressourcen von einer Webseite geladen werden dürfen und welche nicht. Durch das Implementieren einer CSP kann die Webseite vor verschiedenen Angriffen wie Cross-Site-Scripting (XSS) und Clickjacking geschützt werden.
Der Test schlägt fehl, wenn die Webseite keine CSP implementiert hat.
Ergänzende Erläuterung:
Eine Content Security Policy ist ein wichtiger Bestandteil der Web-Sicherheit. Durch das Implementieren einer CSP kann das Risiko von Angriffen wie XSS und Clickjacking auf der Webseite reduziert werden. Eine CSP legt fest, welche Ressourcen von der Webseite geladen werden dürfen und welche nicht. Dadurch wird verhindert, dass ein bösartiger Code von Drittanbieter-Quellen in die Webseite eingebettet wird. Es ist daher ratsam, eine CSP zu implementieren, um die Sicherheit der Webseite zu erhöhen.
Prüfung: Link zum Impressum / Link zur Datenschutzerklärung
Was wird geprüft?
Es wird geprüft, ob die Webseite einen Link zum Impressum und einen Link zur Datenschutzerklärung enthält. Diese Links sind in Deutschland gesetzlich vorgeschrieben und müssen leicht zugänglich sein.
Der Test schlägt fehl, wenn die Webseite keinen Link zum Impressum oder keinen Link zur Datenschutzerklärung enthält oder diese Links nicht leicht zugänglich sind.
Ergänzende Erläuterung:
In Deutschland sind Unternehmen und Betreiber von Webseiten gesetzlich verpflichtet, ein Impressum sowie eine Datenschutzerklärung auf ihrer Webseite zu führen. Die Links sollten leicht zugänglich sein, damit Nutzerinnen und Nutzer die Informationen schnell finden können. Wenn die Webseite keinen Link zum Impressum oder keinen Link zur Datenschutzerklärung enthält oder diese Links nicht leicht zugänglich sind, kann dies zu rechtlichen Konsequenzen führen.
Prüfung: HTTP-Aufrufe (Plugins und IP-Adressen)
Was wird geprüft?
Es werden alle HTTP-Aufrufe, welche die Webseite auslöst, protokolliert. Hierbei wird zwischen internen und externen Aufrufen unterschieden. Es werden die URL, die IP-Adresse der Gegenstelle, der Initiator (ggf. eine andere eingebettete Seite), sowie die Größe und der Dateityp gespeichert.
Die gesammelten URLs werden mit bekannten Plugins von Drittanbietern abgeglichen und übersichtlich dargestellt. Wenn der Anbieter erkannt wurde, wird überprüft, ob er in der Datenschutzerklärung aufgenommen wurde. So kann sichergestellt werden, dass alle Datenverarbeiter aufgeführt sind.
Die Erfassung der IP-Adressen ermöglicht eine geografische Zuordnung der Server und somit der Speicherung und Verarbeitung der Daten. Dies ist insbesondere für den Datenschutz wichtig, da bei Drittstaaten-Transfers (z.B. außerhalb der EU) besondere Anforderungen an die Übermittlung personenbezogener Daten gelten.
Falls die Option "akzeptiere Cookie-Banner" aktiviert ist, wird überprüft, ob eine Einwilligung für den Datentransfer vorliegt. Diese Information wird ebenfalls protokolliert und kann für datenschutzrechtliche Zwecke von Bedeutung sein.
Ergänzende Erläuterung:
Ein HTTP-Aufruf ist eine Anforderung, die ein Webbrowser oder eine andere Anwendung an einen Webserver sendet, um eine bestimmte Ressource abzurufen. Diese Ressourcen können z.B. HTML-Seiten, Bilder, CSS-Dateien oder JavaScript-Dateien sein. Der Webbrowser sendet die Anfrage über das Hypertext Transfer Protocol (HTTP) an den Server und der Server sendet dann die entsprechende Antwort zurück. Die Antwort kann neben dem eigentlichen Inhalt auch Informationen wie z.B. Cookies, HTTP-Header und
Statuscodes enthalten.
Prüfung: Cookies
Was wird geprüft?
Es werden alle Cookies, die während der Sitzung gesetzt wurden, gesammelt und mit Ablaufdatum und Namen dargestellt. Falls die Option "akzeptiere Cookie-Banner" aktiviert ist, wird überprüft, ob eine Einwilligung vorliegt. Diese Information wird ebenfalls protokolliert und kann für datenschutzrechtliche Zwecke von Bedeutung sein.
Ergänzende Erläuterung:
Cookies werden oft verwendet, um das Verhalten von Benutzern auf einer Webseite zu verfolgen und Daten zu sammeln. Durch die Prüfung der Cookies können potenzielle Datenschutzprobleme erkannt werden. Insbesondere können Cookies dazu verwendet werden, um Benutzer eindeutig zu identifizieren, was zu Problemen führen kann, wenn personenbezogene Daten ohne Zustimmung des Benutzers gesammelt werden.
Prüfung: LocalStorage
Was wird geprüft?
Es wird der LocalStorage der Webseite überprüft, um festzustellen, welche Daten während der Sitzung gespeichert wurden. Falls die Option "akzeptiere Cookie-Banner" aktiviert ist, wird überprüft, ob eine Einwilligung vorliegt. Diese Information wird ebenfalls protokolliert und kann für datenschutzrechtliche Zwecke von Bedeutung sein.
Ergänzende Erläuterung:
LocalStorage ist eine weitere Möglichkeit, um Daten auf der Client-Seite zu speichern. Ähnlich wie Cookies kann LocalStorage verwendet werden, um das Verhalten von Benutzern auf einer Webseite zu verfolgen. Es ist wichtig zu überprüfen, welche Daten im LocalStorage gespeichert werden, da diese möglicherweise personenbezogene Informationen enthalten können. Insbesondere bei Drittanbieter-Plugins oder -Skripten kann die Überprüfung des LocalStorage dazu beitragen, Datenschutzprobleme zu erkennen und zu beheben.
Prüfung: Formulare
Was wird geprüft?
Es werden alle <form>-Elemente auf der Homepage gesammelt. Dabei wird, wenn möglich, ein Screenshot des Formulars erstellt, um die korrekte Darstellung der Felder und mögliche Einwilligungen überprüfen zu können.
Ergänzende Erläuterung:
Formulare können auf Webseiten zur Eingabe von Daten oder zur Durchführung von Aktionen verwendet werden. Es ist wichtig sicherzustellen, dass diese Formulare korrekt funktionieren und korrekt dargestellt werden, insbesondere wenn es um Datenschutz und Einwilligungen geht. Durch die Prüfung der Formulare können potenzielle Probleme erkannt und behoben werden, bevor sie zu Datenschutzverletzungen führen.
