Cookie-Audit für ing.de
Welche Cookies werden gesetzt? Sind sie sicher konfiguriert? Tracking-Cookies erkannt?
Cookies im Detail
www.ing.de/None
Befunde
- →1 Cookie(s) ohne Secure/HttpOnly/SameSite — Session-Hijacking-Risiko.
Cookies, Flags und DSGVO
Beim Besuch von ing.de
holen wir die Startseite einmal ab und sammeln die Set-Cookie-
Header der Antwort. Pro Cookie prüfen wir die drei wichtigsten Sicherheits-Flags
(Secure, HttpOnly, SameSite) und
gleichen den Cookie-Namen gegen eine Liste bekannter Tracking-Cookies ab.
Tracking-Cookies (Google Analytics, Facebook Pixel, Hotjar, Bing Ads, Pinterest, HubSpot, ...) dürfen unter DSGVO und österreichischem TKG/TTDSG nur nach expliziter Einwilligung gesetzt werden. Wenn deine Webseite solche Cookies schon vor dem Klick auf "Cookies akzeptieren" setzt, ist das ein Verstoß — und wird im Zweifel teuer (Abmahnungen, Bußgelder bis 4 % des Jahresumsatzes).
Die Sicherheits-Flags schützen vor anderen Risiken: ohne
Secure wird das Cookie auch
über HTTP versendet — Man-in-the-Middle kann es abgreifen. Ohne
HttpOnly kann eine XSS-Lücke
das Cookie über JavaScript stehlen. Ohne
SameSite ist es bei Cross-Site-
Requests (CSRF) nicht geschützt. Für jedes Auth-Cookie sollten alle drei Flags gesetzt sein.
Mehr Details siehe Lexikon: Cookie-Flags.
Auch für ing.de prüfen
SSL/TLS-Zertifikat, Restlaufzeit, Cipher.
SPF, DMARC, DKIM und MX-Records.
HSTS, CSP, X-Frame-Options & Co.
A, AAAA, MX, NS, TXT, CAA, SOA.
Registrar, Ablaufdatum, Status, Nameserver.
20 gängige TCP-Ports, kritische rot markiert.
Hintergrund im Lexikon
Vollständiger Sicherheits-Audit für ing.de
SSL, Header, DNS, E-Mail, DSGVO, CMS und CVEs in einem Bericht.
Geprüft am 14.05.2026 20:37 Uhr · Live geprüft