Website-Report

Owned by Eckhard Schneider (decareto)
Last updated: Apr 29, 2024 by Eckhard Schneider
7 min read

Im Website-Report werden die erkannten Schwachstellen und sonstige Informationen, die decareto zu einer Website gefunden hat, dargestellt.

Kopfbereich des Reports

  • 1: Die Start-URL der Website

  • 2: Die Überschrift des Reports kann in den Einstellungen des Erscheinungsbildes angepasst werden.

  • 3: Um den aktuellen Report mit früheren Reports zu können über das Dropdown die letzten 20 Reports geöffnet werden.

  • 4: Das Datum des letzten Vollscans

  • 5: Reports können per Share-URL, PDF-Export oder Word-Export geteilt werden.

    • Klick auf den Button (8) kopiert eine URL in die Zwischenablage, die Sie an Kunden weitergeben können, damit diese den Report öffnen können.

    • Diese URL zeigt den jeweils aktuellsten Report an, ist also auch für zukünftige Scans gültig.

    • Ein Klick auf den Link (9) exportiert den Report als PDF. Der PDF-Export kann in Deutsch (Voreinstellung) oder Englisch erstellt werden. Dies kann in den Website-Details eingestellt werden.

    • Ein Klick auf den Link (10) exportiert den Report als Word-Dokument. Für die Sprache gilt das gleiche wie für den PDF-Export.

  • 6: Der Status des Vollscans, d.h. ob er bereits gelaufen ist und wie viele Unterseiten gescannt wurden.

  • 7: Im oberen Bereich der Risikobewertung wird neben dem Risiko-Score die Zahl der Cookies und externen Dienste angezeigt.

Risikobewertung

Die Risikobewertung fasst die wichtigsten Ergebnisse des Scans zusammen und gibt damit erste Handlungsempfehlungen.

  • Wo wird die Website betrieben?

    • decareto ermittelt auf Basis der IP-Adresse den Standort des Webservers sowie den Provider.

    • Falls ein Content-Delivery-Network oder eine Cloud-Infrastruktur verwendet wird, so wird dies ausgewiesen.

    • Auf eventuelle Risiken durch Datenverarbeitung in unsicheren Drittstaaten wird hier ebenfalls hingewiesen.

  • Wird ein Consent-Management-Tool verwendet?

    • decareto erkennt die gängigen Consent-Tools und weist aus, ob ein solches gefunden wurde.

    • Wenn kein Consent-Tool gefunden wurde, obwohl Cookies und externe Dienste geladen werden, wird eine Warnung angezeigt.

    • Eine Warnung wird zusätzlich angezeigt, wenn zwar ein Consent-Tool im Einsatz ist, aber trotzdem Cookies oder Tracker ohne Einwilligung gesetzt werden.

Bitte kontaktieren Sie unseren Support, falls auf einer Ihrer Websites ein Consent-Tool verwendet, aber decareto trotzdem eine Warnung anzeigt. Wir werden unseren Scanner dann gerne entsprechend anpassen.

  • Cookies ohne Einwilligung

    • Wenn nicht notwendige Cookies ohne Einwilligung gesetzt werden, so zeigen wir eine Warnung an.

    • Mehr Infos zu Einwilligungen hier.

  • Externe Dienste ohne Einwilligung

    • Wenn zustimmungspflichtige externe Dienste ohne Einwilligung geladen werden, so zeigen wir eine Warnung an.

    • Mehr Infos zu Einwilligungen hier.

  • Google Analytics ohne IP-Anonymisierung

    • Wenn Google Analytics eingesetzt wird und offenbar keine IP-Anonymisierung aktiviert ist, zeigen wir eine Warnung an.

  • Fehlende Nennung externer Dienste

    • Wenn externe Dienste nicht in der Datenschutzerklärung genannt werden, so zeigen wir eine Warnung an.

Cookies und Web-Speicher

In drei Charts wird visualisiert, wie sich die Eigenschaften der gesetzten Cookies aggregiert verteilen. Neben echten Cookies werden in diesem Abschnitt auch Einträge im Local- iund Session-Storage berücksichtigt. Mehr Infos zu Cookies und ihren Eigenschaften hier.

  • Cookie-Typ: wieviele der Cookies sind 1st-Party-Cookies, 3rd-Party-Cookies, Session-Cookies bzw. dauerhaft gespeicherte Cookies.

  • Verwendung: Wieviele Cookies werden für die unterschiedlichen Zwecke gesetzt?

  • Einwilligung: Wieviele Cookies werden mit bzw. ohne Einwilligung gesetzt?

Sämtliche Cookies werden in einer Tabelle noch einmal einzeln aufgeführt:

  • In Spalte “Name” wird neben dem Namen des Cookies auch angezeigt, wenn das Cookie nicht auf der Startseite gefunden wurde, sondern durch den Crawler auf einer Unterseite. Es wird die Seite mit der ersten Fundstelle verlinkt.

  • “Typ” bezieht sich analog zu den oben beschriebenen Charts auf 1st/3rd Party bzw. Session/dauerhaft sowie Session Storage und Local Storage.

  • Für Cookies zeigen wir zusätzlich an, ob Attribute für sichere Übertragung gesetzt sind. Dies ist einer von vielen Bausteinen, um Informationssicherheit und Datenschutz zu verbessern.

    • Secure: Ein Cookie mit diesem Attribut wird vom Browser nur versendet, wenn die Verbindung eine Transportverschlüsselung hat. Damit soll verhindert werden, dass Cookies mit sensiblen Inhalten ausgespäht werden (siehe auch hier)

    • HttpOnly: Ein Cookie mit diesem Attribut kann durch Javascript nicht ausgelesen werden. Damit sollen Attacken durch Cross-Site-Scripting erschwert werden (siehe auch hier)

  • Die Speicherdauer wird in Tagen angegeben.

    • Session-Cookies haben immer eine Dauer von 0 Tagen.

    • Falls ein dauerhaft gesetztes Cookie eine Dauer von weniger als einem Tag hat, wird es auf einen Tag aufgerundet.

  • Quelle und Zweck ergeben sich aus dem externen Dienst, der das Cookie gesetzt hat. Mehr Informationen dazu findet sich hier.

  • Ob ein Datentransfer außerhalb der EU stattfindet ergibt sich ebenfalls aus dem zugehörigen externen Dienst. Wenn der zugehörige Dienst im EU-US Data Privacy Framework zertifiziert ist, so zeigen wir das durch ein Icon an.

Externe Dienste

In drei Charts wird visualisiert, wie sich die Eigenschaften der geladenen externen Dienste aggregiert verteilen. Mehr Infos zu externen Diensten und ihren Eigenschaften hier.

  • Verwendung: Wieviele Dienste werden für die unterschiedlichen Zwecke geladen?

  • Einwilligung: Wieviele Dienste werden mit bzw. ohne Einwilligung geladen?

  • Nennung in Datenschutzerklärung: Über wieviele Dienste werden in der DSE informiert? Wir führen dazu eine unscharfe Suche durch und verwenden eine Liste von Synonymen für die Dienste.

Die Dienste werden in einer Tabelle noch einmal einzeln aufgeführt:

  • In Spalte “Name” wird neben dem Namen des Dienstes auch angezeigt, wenn er nicht auf der Startseite gefunden wurde, sondern durch den Crawler auf einer Unterseite. Im PDF-Export wird die Seite mit der ersten Fundstelle verlinkt, die Web-Darstellung verlinkt zum Dienste-Diagramm (s.u.)

  • Die angezeigte Domain wurde verwendet, um den Dienst zu identifizieren.

  • Die Quelle ist das Unternehmen, das den Dienst betreibt. Das können im Falle von Open-Source-Diensten auch Organisationen oder Einzelpersonen sein.

  • Der Zweck ergibt sich aus dem externen Dienst. Mehr Informationen zu Verwendungszwecken findet sich hier.

  • Ob ein Datentransfer außerhalb der EU stattfindet ergibt sich aus der Quelle. Wenn das Unternehmen im EU-US Data Privacy Framework zertifiziert ist, so zeigen wir das durch ein Icon an.

Um besser zu erkennen, durch welche exakte URL ein externer Dienst erkannt wurde, klicken Sie einfach auf das i-Icon hinter der Domain - die erste geladene URL dieses Service wird dann in einem Tooltip angezeigt.

Unbekannte Domains

decareto identifiziert eingebundene externe Dienste anhand der Netzwerkaufrufe, die die Website durchführt, und zwar insbesondere anhand der Domain des Servers, zu dem eine Verbindung aufgebaut wird. Wenn bspw. ein Aufruf zu der Domain google-analytics.com durchgeführt wird, so kann man folgern, dass Google Analytics verwendet wird.

Unsere Datenbank kann für mehrere Tausend Domains den zugehörigen Dienst ermitteln, dennoch gibt es bei manchen Websites Aufrufe zu Servern, deren Domain nicht in unserer Datenbank ist. In diesem Fall wird in der Tabelle der Dienst als “Unbekannt” gekennzeichnet. Sie sollten diese auf datenschutzrechtliche Relevanz prüfen:

  • Mitunter werden Bilder oder sonstige statische Dateien von Servern einer anderen Domain des Unternehmens eingebunden, oder von einem Server der zuständigen Agentur. Dies ist dann vermutlich keine Verarbeitung durch an fremdes Unternehmen im Sinne der DSGVO.

  • Es kommt aber auch vor, dass es sich tatsächlich um einen “echten” Dienst handelt. Senden Sie im Zweifelsfall eine Nachricht an unseren Support, in der Sie auf die fragliche Domain hinweisen, zusammen mit dem Link zur geöffneten Report-Seite (also so etwas wie https://app.decareto.de/client/report/4615). Wir werden die Domain prüfen und sie ggfs. in unsere Datenbank aufnehmen.

Dienste-Diagramm

Wenn Sie in der Tabelle der externen Dienste den Link “Auf Unterseiten gefunden” klicken, dann wird zunächste eine Liste von (Unter-) Seiten angezeigt, auf denen der Dienst gefunden wurde, zusammen mit der Information ob er dort mit oder ohne Einwilligung geladen wurde.

Diese Liste kann als CSV heruntergeladen werden. Durch Klick auf eine der Seiten folgt die Darstellung des eigentlichen Dienste-Diagramms:

Das Diagramm zeigt alle auf der gewählten Seite geladenen Dienste an, sowie deren Abhängigkeiten, d.h. welcher Dienst von welchem nachgeladen wurde. Im obigen Diagramm kann bspw. abgelesen werden, dass Google Fonts ohne Einwilligung geladen wurde, weil es von Google Maps (ebenfalls ohne Einwilligung) nachgeladen wurde.

Server-Sicherheit

decareto überprüft die Informationssicherheit des Webservers und berücksichtigt dabeid ei folgenden Aspekte:

Transportverschlüsselung

Überprüft werden die Gültigkeit des Zertifikats und die Konfiguration des Webservers. Dabei wird insbesondere darauf geachtet, dass veraltete Protokolle (wie etwa TLS 1.0) nicht akzeptiert werden, sondern nur aktuelle (wie TLS 1.2, mehr dazu hier). Mängel bei diesen Prüfungen gehen in den Risikoscore des Reports ein und werden durch rote Warnsymbole gekennzeichnet.

Security-Header

Security-Header dienen dazu, Angriffsvektoren wie etwa “Cross-Site-Scripting” zu unterbinden. Wir verwenden für die Untersuchung eine Integration des Dienstes Mozilla Observatory. Mängel bei diesen Prüfungen gehen nicht in den Risikoscore des Reports ein und werden durch blaue Informationssymbole gekennzeichnet.

Aktualität der Serversoftware

Veraltete Server-Software (d.h. Content-Management- und Shopsysteme, Webserver und Programmiersprachen) stellt ein Sicherheitsrisiko dar, sobald keine Sicherheitsupdates mehr zur Verfügung gestellt werden.

Wir verwenden für die Untersuchung eine Integration des Dienstes WhatCMS um Serversoftware und deren Versionsnummer zu identifizieren. Dies ist je nach Konfiguration des Servers nicht immer möglich, aber sofern die Software und Versionsnummer ermittelt werden können, werden diese angezeigt und im Falle veralteter Versionen durch ein Warnsymbol gekennzeichnet.

 

Formulare

Alle Seiten der Website werden während des Vollscans auf Formulare untersucht. Jedes gefundene Formular wird mittels eines Screenshots sowie einer Liste der Fundstellen angezeigt. Auf diese Weise können Sie schnell zu den Formularen navigieren um sie auf Datenschutzkonformität zu untersuchen.

Beim Teilen eines Reports wird der Abschnitt mit den Formularen ausgeblendet, sofern Sie ein Formular nicht durch Überschreiben als konform oder nicht konform bewertet haben.

Erläuterungen und Handlungsempfehlungen

Erklärungsbedürftige Scan-Ergebnisse werden durch Hinweise eingeordnet und mit konkreten Empfehlungen angereichert. Diese sind in Form von Fußnoten von den Scan-Ergebnissen aus referenziert.