Dies stellt einen der gefährlichsten Gründe dar, weil davon die Schwachstelle: „Mensch“ betroffen ist. Dritte sind in der Lage, sich als Mitarbeiter oder Geschäftsführung auszugeben. Spammer nutzen Ihre Identität, um in Ihrem Namen Werbung zu betreiben. Müsste alles nicht sein, täuschend echte Mails vom Paketversand im originalen Namen zu erhalten, wenn die Systeme korrekt konfiguriert wären.

Web- und Mailserver nutzen das TCP-IP. Möglichst auf Basis von tls_1.3 oder tls_1.2 mit modernen Verschlüsselungs-Algorithmen. Vernachlässigte Systeme – und das ist keine Seltenheit – lassen zumeist veraltete Protokolle und unsichere Verschlüsselungen zu. 

Gewisse Cookies sollten ohne Einwilligung nicht ungefragt gesetzt werden. Die Regelungen sind streng. Neben Cookies gibt es noch JavaScript-Storage. Letzteres hat kaum jemand auf dem Schirm. Dafür gelten aber dieselben Regeln. Ohne Analyse bleibt das zum Teil verborgen. Eine Datenschutzseite sollte jedoch vollständig über alles Auskunft geben.

Google-Fonts und Co. stellen Drittanbieterdienste dar, wenn sie beim Aufruf der Webseite von Quelle Dritter nachgeladen werden. Das stellt ungefragt eine Datenschutzverletzung dar. Beim Verbindungsaufbau zur Ressource (zum Beispiel zu Fonts) wird die IP des Kunden mit dem Drittanbieter in Verbindung gebracht. Die IP stellt laut Bundesgerichtshofs eine personenbezogenes Datum dar. Mit Drittanbietern sollte man einen AV-Vertrag abschließen. Und diese Information gehört in die Datenschutzseite. Ohne Datenschutzanalyse wird man nicht gewahr, welche Drittanbieter überhaupt existieren.

Misteriös könnte man meinen; aber schonungslose Realität. Wie soll das denn gehen, fragte mich ein Datenschutz-Experte. Das ist von der Palette aller möglichen Mängel zwar kein gefährlicher Punkt, aber ein kurios wirkender schon, der sicherlich noch Schlagzeilen machen wird. Die Basisanalyse deckt den Mangel auf.

Es gibt zahlreiche Richtlinien, um den eigenen Content gegen Angreifer absichern zu können. Allen voran die Content-Security-Policy (CSP). Allenfalls 2% nutzen sie. Und von diesem schwindenden Prozentsatz sind einige mangelhaft konfiguriert oder wegen Syntax-Fehler ausgehebelt. Die Analyse prüft die wichtigsten Richtlinien auf dem Vorhandensein und ob sie sicher konfiguriert sind und keine Fehler beinhalten.

Diese befindet sich auf öffentlichen DNS-Servern. Leider zu selten richtig konfiguriert. Manche haben sie zwar gesetzt, aber per Richtlinie abgeschaltet. Das heißt, wenn der Verteiler feststellt, dass eine E-Mail Spam darstellt, wird sie trotzdem zugestellt. Das Feature wurde also eingesetzt, aber deaktiviert. Die Folgen sind weitreichend.

Fehlen die Richtlinien am Webserver, schaffen Angreifer es, die HTML-Seiten zu infizieren. Deshalb macht es Sinn, möglichst den gesamten Content einer Virenprüfung zu unterziehen. Genau das macht die Analyse und listet die betroffenen Seiten auf. 

Digitale Verantwortung kennt keine Grenzen. Kann Ihre Webseite von Menschen mit Beeinträchtigung genutzt werden? Stimmen Kontrast und Schriftfarbe? Sind die Schriften groß genug? Die Analyse prüft das und gibt für jede einzelne Unterseite einen Score aus und ein Protokoll zur Mangelbeseitigung.

Dieser letzte Hinweis ist stellvertretend für all jene Mängel, die ich nicht aufgeführt habe. Die Analyse umfasst 27 Kategorien. Die Software wird seit acht Jahren fortwährend entwickelt. Aktuell ist derzeit die Version 4. Kalkuliert man pro Entwicklerstunde einen regulären Satz übersteigen die Kosten +4 Millionen Euro. Ein fetter Betrag, aber dafür ein Ergebnis das sich sehen lassen kann.