# Website-Sicherheitscheckliste *Technisches Hilfsmittel fur Website-Betreiber — keine Rechtsberatung, kein Datenschutz-Audit, keine Zertifizierung.* --- ## 1. Website-Inventar - [ ] CMS-System und Version dokumentiert (WordPress, Drupal, Typo3, etc.) - [ ] Alle aktiven Plugins/Extensions gelistet - [ ] Alle aktiven Themes/Templates gelistet - [ ] Nicht genutzte Plugins/Themes deaktiviert und entfernt - [ ] Alle aktiven Formulare identifiziert (Kontakt, Buchung, Newsletter, etc.) - [ ] Payment-Integrationen dokumentiert - [ ] Analytics-Tools dokumentiert (Google Analytics, Matomo, etc.) - [ ] Cookie-Consent-Tool identifiziert und Version notiert - [ ] Alle externen Dienste gelistet (Schriftarten, Karten, Videos, Chat, etc.) ## 2. Hosting und DNS - [ ] Hosting-Provider und Tarif dokumentiert - [ ] Domain-Registrar dokumentiert - [ ] DNS-Eintrage uberpruft (A, CNAME, MX, TXT) - [ ] SPF-/DKIM-/DMARC-Eintrage fur E-Mail vorhanden - [ ] Nameserver-Konfiguration bekannt ## 3. TLS/HTTPS und Security-Header - [ ] HTTPS fur alle Seiten erzwungen - [ ] TLS-Version mind. 1.2 - [ ] HSTS-Header aktiv - [ ] Content-Security-Policy (CSP) gepruft - [ ] X-Frame-Options gesetzt - [ ] X-Content-Type-Options gesetzt - [ ] Referrer-Policy gesetzt - [ ] Permissions-Policy gepruft ## 4. Updates und Dependency-Hygiene - [ ] CMS-Core-Version aktuell - [ ] Alle Plugins aktuell - [ ] Alle Themes aktuell - [ ] Update-Rhythmus definiert (wer, wann, wie) - [ ] Testprozess fur Updates dokumentiert - [ ] Externe Dependencies (CDN, APIs) auf Aktualitat gepruft - [ ] Veraltete Komponenten identifiziert und Ersatz geplant ## 5. Backups und Wiederherstellung - [ ] Backup-Rhythmus definiert (täglich/wochentlich) - [ ] Backup-Speicherort dokumentiert (lokal, cloud, getrennt) - [ ] Backup-Retention-Policy definiert - [ ] Wiederherstellung in den letzten 6 Monaten getestet - [ ] Verantwortliche Person fur Backups benannt ## 6. Formulare, Uploads und Spam-Schutz - [ ] Alle Formulare funktionsfahig getestet - [ ] Spam-Schutz aktiv (CAPTCHA, Honeypot, etc.) - [ ] Dateiuploads auf erlaubte Formate beschrankt - [ ] Upload-Großen begrenzt - [ ] Upload-Verzeichnis nicht offentlich listen - [ ] Formularversand verschlusselt ## 7. Admin-Zugang und Authentifizierung - [ ] Admin-URL nicht standard (z.B. nicht /wp-admin) - [ ] Starke Passwortrichtlinie enforced - [ ] Multi-Faktor-Authentifizierung (MFA/2FA) aktiv - [ ] Benutzerrollen minimal vergeben (Prinzip der geringsten Rechte) - [ ] Inaktive Benutzerkonten deaktiviert oder geloscht - [ ] Login-Versuche limitiert (Brute-Force-Schutz) - [ ] Letzter Zugriffsreview durchgefuhrt ## 8. Logging, Monitoring und Incident-Management - [ ] Zugriffslogs aktiviert - [ ] Fehlerlogs aktiviert - [ ] Log-Aufbewahrungsdauer definiert - [ ] Monitoring fur Uptime aktiv - [ ] Alerting bei Ausfall konfiguriert - [ ] Incident-Kontaktpfad dokumentiert (wer wird bei Problemen alarmiert) - [ ] Security-Meldungs-E-Mail oder Kontaktadresse vorhanden ## 9. Privacy-nahe technische Prufungen - [ ] Cookie-Banner technisch gepruft (laden Scripts vor Consent?) - [ ] Tracking-Scripts auf korrekte Ausfuhrungsreihenfolge gepruft - [ ] Externe Schriftarten lokal eingebunden oder bewusst eingesetzt - [ ] Einbettungen (Maps, Videos, Social Media) auf Datenschutz gepruft - [ ] Drittanbieter-Scripts auf Notwendigkeit gepruft - [ ] Datenschutzerklarung deckt alle tatsachlich genutzten Dienste ab - [ ] Opt-out-Mechanismen funktionsfahig ## 10. KI-Tools und Datenhandling - [ ] KI-Dienste auf der Website identifiziert (Chatbot, Content-Gen, etc.) - [ ] Prompt-Datenflusse dokumentiert (was wird an KI-Dienste gesendet) - [ ] Nutzungshinweise fur KI-generierte Inhalte vorhanden - [ ] Interne KI-Nutzung durch Mitarbeiter dokumentiert - [ ] Vertragliche Grundlagen mit KI-Anbietern gepruft ## 11. Dokumentation und Verantwortung - [ ] Verantwortliche Person fur Website-Technik benannt - [ ] Letzter Prufdatum dokumentiert - [ ] Anderungen seit letzter Prufung gelistet - [ ] Dokumentationsort bekannt (Wiki, Drive, docs/) - [ ] Notfallkontakt fur Hosting/Domain/Entwickler aktuell - [ ] Wissen uber Website-Setup ist nicht auf eine Person konzentriert --- *Diese Checkliste wird von Website-Pflichtencheck bereitgestellt. Sie ist ein technisches Hilfsmittel und ersetzt keine Rechtsberatung, kein Datenschutz-Audit und keine Sicherheitszertifizierung. Bei rechtlichen Fragen wenden Sie sich an einen Rechtsanwalt oder einen Datenschutzbeauftragten.* **Website-Pflichtencheck** — Technische Klarheit fur Ihre Website. https://website-pflichtencheck.de