https://krone.at

1. 1

   Kein Cookie-Consent-Tool i Cookie-Consent Pflicht nach DSGVO und §165 TKG 2021: Vor dem Setzen nicht-technischer Cookies (Analytics, Marketing) muss der Nutzer aktiv und freiwillig zustimmen. Verstöße können mit bis zu €20 Mio. oder 4 % des Jahresumsatzes geahndet werden.

   +25 ⏱ 2–4 Stunden · aufwändig

   Tracking-Skripte (Analytics, Marketing-Pixel) werden geladen, aber kein Consent-Management-Tool erkannt. Nach DSGVO und §165 TKG 2021 ist das unzulässig — Bußgeld bis €20 Mio. möglich.

2. 2

   Content-Security-Policy fehlt i CSP Content-Security-Policy: Definiert, von welchen Quellen Scripts, Bilder und Styles geladen werden dürfen. Der wirksamste Schutz gegen Cross-Site-Scripting (XSS) – Angreifer können keinen fremden Code mehr einschleusen.

   +10 ⏱ 30 Minuten · mittel

   Keine CSP – Hohes XSS-Risiko.

3. 3

   HTTP wird nicht auf HTTPS umgeleitet i HTTPS-Redirect Best Practice: jeder Aufruf von http://… (Port 80) wird per 301-Redirect auf https://… umgeleitet. Verhindert dass alte Lesezeichen, eingebettete Links oder erste Aufrufe unverschlüsselt landen — und schließt damit die Tür für Man-in-the-Middle-Angriffe beim ersten Zugriff (bevor HSTS greifen kann).

   +10 ⏱ 10 Minuten · leicht

   Ein Aufruf von http://krone.at liefert zwar einen Redirect (301), führt aber nicht zu HTTPS, sondern zu http://www.krone.at/. Besucher mit alten Lesezeichen oder eingebetteten http-Links bleiben auf der unverschlüsselten Verbindung.

+ 4 weitere Schwachstellen — Details in der Liste unten