https://commerzbank.de
Analyse abgeschlossen. 4 Schwachstellen gefunden · Score 80/100.
Vollansicht + PDF-Report freischalten
sauberer PDF-Report · Verlauf
Sensible Aufklärungs-Befunde
Recon · OSINT 🔒 maskiertDiese Section enthält sensible Befunde (gefundene E-Mails, sensible Pfade, Server-Versionen). Für nicht-eingeloggte Besucher werden konkrete Werte maskiert — nur Anzahl und Status sichtbar. → Login für Vollansicht
Vorschau der Site
Screenshot wird im Hintergrund erstellt …
Quick Wins — höchster Hebel
Diese 3 Änderungen heben deinen Score am stärksten.
80 → 100
-
1
Kein Cookie-Consent-Tool i Cookie-Consent Pflicht nach DSGVO und §165 TKG 2021: Vor dem Setzen nicht-technischer Cookies (Analytics, Marketing) muss der Nutzer aktiv und freiwillig zustimmen. Verstöße können mit bis zu €20 Mio. oder 4 % des Jahresumsatzes geahndet werden.
+25 ⏱ 2–4 Stunden · aufwändigTracking-Skripte (Analytics, Marketing-Pixel) werden geladen, aber kein Consent-Management-Tool erkannt. Nach DSGVO und §165 TKG 2021 ist das unzulässig — Bußgeld bis €20 Mio. möglich.
-
2
Content-Security-Policy fehlt i CSP Content-Security-Policy: Definiert, von welchen Quellen Scripts, Bilder und Styles geladen werden dürfen. Der wirksamste Schutz gegen Cross-Site-Scripting (XSS) – Angreifer können keinen fremden Code mehr einschleusen.
+10 ⏱ 30 Minuten · mittelKeine CSP – Hohes XSS-Risiko.
-
3
Unsichere Cookies i Unsichere Cookies Session-Cookies brauchen drei Flags: Secure (nur über HTTPS senden), HttpOnly (kein JavaScript-Zugriff – Schutz vor XSS-Diebstahl) und SameSite (Schutz vor CSRF-Angriffen).
+10 ⏱ 15 Minuten · mittelCookies ohne Secure/HttpOnly/SameSite-Flags können gestohlen werden.
dtCookiek6ynt0u1: HttpOnly, SameSite fehlt;PHPSESSID: SameSite fehlt;FESAX: SameSite fehlt
+ 1 weitere Schwachstellen — Details in der Liste unten
Scan-Kategorien
SSL & HTTPS
Bestanden ✓
HTTP Headers
Probleme ✗
DNS & Infrastruktur
Bestanden ✓
E-Mail Schutz
Bestanden ✓
Offene Ports
Bestanden ✓
DSGVO
Probleme ✗
Gefundene Schwachstellen
Kein Cookie-Consent-Tool
Tracking-Skripte (Analytics, Marketing-Pixel) werden geladen, aber kein Consent-Management-Tool erkannt. Nach DSGVO und §165 TKG 2021 ist das unzulässig — Bußgeld bis €20 Mio. möglich.
+ 3 weitere Schwachstellen gesperrt
Inkl. Handlungsempfehlungen & Fixes — kostenlos freischalten
Diesen Report als PDF speichern
Mit kostenlosem Account: vollständiger PDF-Bericht inkl. Screenshot, Quick Wins, allen Empfehlungen und Schritt-für-Schritt-Fixes — perfekt zum Vorzeigen, Ablegen oder an Kunden weitergeben.
Begriffe im Bericht
Verstehe was wir gefunden haben — die wichtigsten Konzepte hinter den Befunden, kompakt erklaert.
SSL & TLS
Wie SSL/TLS-Zertifikate funktionieren, wie der Handshake abläuft und worauf du beim Prüfen achten solltest — verständlich erklärt.
HSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeS…
CAA-Records bestimmen, welche Zertifizierungsstellen SSL-Zertifikate fuer deine Domain ausstellen duerfen. Schutz gegen Mis-Issuan…
DMARC schuetzt deine Domain vor E-Mail-Spoofing. Hier liest du, wie der Record aufgebaut ist, was p=none/quarantine/reject bedeute…
SPF (Sender Policy Framework) verhindert, dass fremde Server unter deinem Domainnamen E-Mails verschicken. Aufbau, Mechanismen und…
DKIM signiert deine ausgehenden E-Mails kryptografisch — der Empfänger erkennt zuverlässig, ob eine Mail von dir stammt. Aufbau, S…
HTTP-Header
Die Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und…
X-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Wert…
Die Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und …
Die Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven u…
X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting…
Frontend & APIs
SRI sichert externe JavaScript- und CSS-Dateien gegen Manipulation auf dem CDN. Hash-basierte Integritätsprüfung im Browser — vers…
Cross-Origin Resource Sharing regelt, welche fremden Webseiten deine APIs aufrufen duerfen. Same-Origin-Policy, Preflight-Requests…
Secure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF a…