Bewertungskritierien & Arbeitsweise von datenschutz-ranking.de

Wie können Sie Ihre Bewertung selbständig verbessern?

Fortfolgend erhalten Sie einen Überblick der Bewertungskriterien und Arbeitsweise von datenschutz-ranking.de.

datenschutz-ranking.de ist eine unabhängige Suchmaschine zur Bewertung des Datenschutzniveaus aus technischer Perspektive. Es werden durch die Suchmaschine selbstständig Websites indiziert und Kriterien zur Verbesserung des Datenschutzes überprüft.

Dabei wird ein einheitlicher Bewertungsmaßstab für alle geprüften Websites angesetzt und historisch dargestellt. Hierzu gehören die übergeordneten Kategorien:

• der IT-Sicherheit,
• der Datensicherheit
• des Einwilligungsmanagement,
• und Transparenz

Die Gewichtung ist wie folgt konfiguriert:

IT-Sicherheit (25%)
Dazu gehören DNS-Einstellungen, IP-Adressen, Zonentransfer, Offene Serverports, Mailserver-Konfiguration, E-Mail Relay, DKIM, SPF und DMARC.

Datensicherheit (25%)
Dazu gehören HTTPS, SSL, CSP, Fehlerberichte, Referrer Policy, http-Kopfzeilen, SRI, Drittanbieter-Anfragen, Cookies und Storage.

Einwilligungsmanagement (25%)
Prozessablauf: Auslesen der Website vor Consent >> Auslesen der Drittanbieter >> Auslesen der Drittanbieter innerhalb des Consent Banners,>> Abgleich gegen Referenz von Drittanbietern >> Ermittlung der erwarteten Konfiguration „Ablehnen des Consent Banners“ >> Abgleich gegen erwartete Konfiguration.

Transparenz (25%)
Dazu gehören Anbieterkennzeichnungen und Datenschutzinformationen.

Auf welche Unterbereiche achtet die Bewertungsmatrix zur Beurteilung Ihres Datenschutz-Niveaus:

Allgemeine Website-Prüfung

datenschutz-ranking.de überprüft in einem ersten Schritt die Verfügbarkeit der Website. In dem Zusammenhang ist insbesondere die Erreichbarkeit über eine sichere HTTPS-Verbindung wichtig. Wenn eine Website in einem Browser ohne Angabe eines Protokolls aufgerufen wird, versuchen Browser standardmäßig eine Verbindung per HTTP-Protokoll herzustellen. In diesem Fall sollte eine korrekt konfigurierte Website direkt auf eine sichere HTTPS-Verbindung wechseln.

• Aufruf von http:// und https:// und damit verbundene Weiterleitungen
• Prüfung der Ende-zu-Ende-Verschlüsselung zwischen Browser des Nutzers und Server
• Prüfung des SSL-Zertifikats
• Prüfung des Einsatz von HTTP /2
• Der Aufruf der Stammdomain leitet zur geprüften Website weiter.

HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus, der entwickelt wurde, um Man-in-the-Middle-Angriffe und sogenanntes Session-Hijacking zu vermeiden. Ziel dieser Angriffe ist es, aufgrund einer unsicheren Verbindung zwischen Browser und Server, entweder Schadcode einzuschleusen oder Daten abzugreifen. Insbesondere wenn Session-Cookies über unsichere Verbindungen verschickt werden, besteht die Gefahr, dass Dritte unbemerkt die Session eines Nutzers übernehmen können und damit Zugriff auf alle Daten des Nutzers haben.

Es handelt sich bei HSTS um eine Erweiterung für das HTTPS-Protokoll und kann entsprechend in der Webserver-Konfiguration aktiviert werden. HSTS bewirkt dabei, dass der Browser beim ersten Besuch der Website über eine HTTPS-Verbindung die Anweisung erhält, alle zukünftigen Anfragen ausschließlich über sichere HTTPS-Verbindungen durchzuführen, auch wenn explizit eine unsichere HTTP-Verbindung angefragt wird.

Content Security Policy (CSP)

Mit einer Content Security Policy (CSP) kann das Risiko von Cross-Site-Scripting-Angriffen (XSS) und anderen Angriffen zum Einschleusen von Schadcode in die Website reduziert werden. Diese Art von Angriffen kann das Aussehen der Website verändern, Nutzer der Website nachverfolgen oder ausspähen und sogar zum Diebstahl von Daten führen.

Die Sicherheit der Website mittels CSP wird dadurch gewährleistet, dass nach dem Prinzip einer Whitelist alle Quellen aufgelistet werden, welche vertrauenswürdig sind und von denen Skripte, Stylesheets und andere Ressourcen geladen und ausgeführt werden dürfen. Stellt der Browser anschließend fest, dass Code aus einer fremden Quelle geladen werden soll, wird dies entsprechend mit einem Fehler quittiert. Eine CSP-Anweisung kann wahlweise in den HTTP-Kopfzeilen oder im HTML-Quellcode eingebaut werden. Empfehlenswert ist aber die Implementierung in den HTTP-Kopfzeilen, um so die Sicherheit für die gesamte Website zu gewährleisten.

Fehlerberichte

Über entsprechende Regeln in den HTTP-Kopfzeilen ist es möglich, bei Fehlern während des Abrufs der Website einen Fehlerbericht zu versenden. Dies kann insbesondere bei der Entwicklung einer Website hilfreich sein. Es ist zu beachten, dass im Zusammenhang mit dem Versand personenbezogene Daten übermittelt werden können. Es existieren verschiedene Einstellungen, die den Versand eines Fehlerberichts auslösen können:

• Content Security Policy (CSP)
  CSP enthält Optionen zum Versand von Berichten im Fall von Verstößen gegen die Sicherheitsrichtlinie. Der Bericht kann personenbezogene Daten, wie bspw. den Referrer enthalten.
• Network Error Logging (NEL)
  Beim Auftreten von Netzwerkfehlern können mit NEL entsprechende Berichte versendet werden. Ein Versand kann bei entsprechender Konfiguration aber auch bei erfolgreichen Anfragen ausgelöst werden. Auch hier sind Referrer-Informationen enthalten.
• Expect-CT
  Bei einer Verletzung der Transparenzanforderungen für SSL-Zertifikate kann mit dieser Direktive ein Bericht versendet werden.
• X-XSS-Protection
  Die obsolete Anweisung zur Reduzierung des Risikos von Cross-Site-Scripting-Angriffen (XSS) kann bei Verletzung der Sicherheitsrichtlinie einen Fehlerbericht versenden.

Referrer Policy

Ein Referrer gibt beim Klick auf einen Link oder beim Nachladen weiterer Ressourcen, wie bspw. von Skripten, Bildern und Stylesheets, dem Zielsystem Informationen darüber, woher der Aufruf stammt. Auf diese Weise können Nutzer und deren Surfgewohnheiten im Internet verfolgt werden. Insbesondere beim Einsatz von Drittanbietern ist die Weitergabe des Referrers in der Regel unerwünscht, weil es sich um personenbezogene Daten handelt. Die Referrer Policy ermöglicht es dem Browser mitzuteilen, unter welchen Umständen die URL der Quellseite beim Aufruf einer anderen Seite an diese übergeben wird. Es handelt sich dabei um eine Anweisung innerhalb der HTTP-Kopfzeilen und kann im Webserver aktiviert werden.

HTTP-Kopfzeile

Jede über das Internet abgerufene Ressource enthält neben den eigentlichen Nutzdaten weitere Metadaten. Insbesondere für HTML-Seiten enthalten diese Metadaten nützliche Hinweise und Anweisungen für den Browser zum Schutz vor Angriffen und der Einschleusung von Schadcode.

Subresource Integrity (SRI)

Mittels Subresource Integrity (SRI) kann der Browser prüfen, ob ein abgerufenes Skript (JavaScript) oder Stylesheet (CSS) verändert wurde. Dazu muss im HTML-Quellcode für die jeweilige Ressource eine Prüfsumme hinterlegt werden. Der Browser kann anschließend eine Manipulation erkennen, indem dieser einen Hashwert der heruntergeladenen Ressource berechnet und mit dem vorgegebenen Wert vergleicht.

Insbesondere die Einbindung externer Ressourcen mittels Content Delivery Networks (CDNs) ist zur Reduzierung der Bandbreite und Optimierung der Seitenladezeit beliebt. Dabei besteht aber das Risiko, dass ein Angreifer über ein solches CDN Schadcode in die Website einschleust. SRI kann in diesem Fall das Risiko für den Nutzer der Website entsprechend reduzieren.

Drittanbieter-Anfragen

Jede von der Website ausgelöste Anfrage zum Nachladen weiterer Ressourcen, welche die Daten nicht vom ursprünglichen Server bzw. der ursprünglichen Domain oder einer ihrer Subdomains herunterlädt, wird als Drittanbieter-Anfrage (oder Third-Party-Request) bezeichnet. Je nach Konfiguration können dabei weitere, ggf. personenbezogene, Informationen, wie bspw. Cookies oder der Referrer, an den Drittanbieter übertragen werden.

Gespeicherte Daten

Ein Webbrowser stellt für eine aufgerufene Website verschiedene Möglichkeiten bereit, kurzzeitig oder permanent Daten im Browser zu speichern, welche bei einem erneuten Abruf der Website durch diese wieder ausgelesen und weiter verarbeitet werden können. Erst damit wird die Bereitstellung von Komfortfunktionen und technisch notwendigen Funktionen möglich. Dies ist bspw. der Fall für Spracheinstellungen der Website, die Nutzung eines geschützten Login-Bereichs, aber auch, um Nutzer in ihrem Surfverhalten nachzuverfolgen.

Zu diesen technischen Möglichkeiten zählen bspw. Cookies und Browser-Storages. Cookies unterscheidet man in First-Party- und Third-Party-Cookies, je nachdem, ob sie durch die aufgerufene Seite selbst oder eine eingebundene dritte Seite erstellt werden. Beide Techniken haben gemeinsam, dass damit Informationen auf dem Rechner des Nutzers gespeichert werden. Dabei können diese Informationen bis zum Schließen des Browserfensters oder bis zum Erreichen eines angegebenen Zeitpunkts gespeichert bleiben.

Zur Steuerung der Sicherheit von Cookies existieren verschiedene Einstellungen, die – richtig angewendet – den Schutz personenbezogener Daten verbessern können:

• HttpOnly
  Diese Option bestimmt, dass ein Cookie nur vom Server gelesen werden kann. Damit wird verhindert, dass im Browser ausgeführtes JavaScript das Cookie auslesen oder verändern kann. Dies verhindert Cross-Site-Scripting-Angriffe (XSS).
• Secure
  Mit dieser Einstellung wird bewirkt, dass ein Cookie nur bei einer gesicherten HTTPS-Verbindung mit dem Server ausgetauscht wird. Damit werden Man-in-the-Middle-Angriffe verhindert, bei welchen Cookies während der Übertragung verändert werden können.
• SameSite
  Mittels SameSite wird gesteuert, wann ein Cookie bei einer Drittanbieter-Anfrage übergeben werden darf. Wenn nicht anders angegeben, werden Cookies nur gesendet, wenn die Anfrage von der gleichen Seite stammt. Damit werden CSRF-Angriffe (Cross-Site-Request-Forgery) verhindert.

DNS-Einstellungen

Server und Dienste im Internet werden aus technischer Sicht über IP-Adressen angesprochen. Damit Sie die gewünschte Website im Browser dennoch bequem aufrufen können, hilft das Domain Name System (DNS) dabei, den Domainnamen in eine IP-Adresse zu übersetzen, die der Rechner anschließend im Hintergrund abruft. Dabei kann das DNS zwischen IPv4- und IPv6-Adressen unterscheiden, je nachdem wie der Server und das anfragende System technisch miteinander verbunden sind.

DNS ist aber nicht nur für die Übersetzung von Domainnamen zu IP-Adressen verantwortlich, sondern liefert weitere Informationen, bspw. über zuständige Mailserver und Anweisungen zur Bekämpfung von Spam. Es ist daher empfehlenswert, auch die DNS-Einstellungen der Domain regelmäßig auf Aktualität zu prüfen.

Offene Serverports

Auf Servern werden für gewöhnlich verschiedene Dienste bereitgestellt. Nicht jeder dieser Dienste muss zwangsläufig aus dem Internet erreichbar sein. Das Schließen der zu diesen Diensten gehörenden Ports ist Teil der sogenannten Server-Härtung. Dies kann durch entsprechende Konfiguration der Dienste oder durch Sperrung der Ports in einer Firewall erreicht werden.

Auch wenn die Domain der Website auf mehrere IP-Adressen verweist, untersucht datenschutz-ranking.de in diesem Fall höchstens eine IPv4- und eine IPv6-Adresse. datenschutz-ranking.de prüft dabei eine Auswahl der am häufigsten angegriffenen Ports. Aus technischen Gründen werden hierbei nur über das Protokoll TCP erreichbare Ports geprüft. Beachten Sie daher bitte, dass es weitere geöffnete Ports, auch über das Protokoll UDP, auf dem Server geben kann, die im Rahmen dieser Prüfung nicht erfasst werden.

Mailserver-Konfiguration

datenschutz-ranking.de prüft neben technischen Aspekten weitere Einstellungen des mit der Domain verbundenen Mailservers, die sich auf dessen Reputation und damit auch auf die Zustellbarkeit von E-Mails auswirken.

Ein Schwerpunkt beim Versand von E-Mails ist dabei die Vertraulichkeit der Kommunikation. Daher wird insbesondere eine Ende-zu-Ende-Verschlüsselung bei der Übertragung als Stand der Technik angesehen und sollte in jedem Fall umgesetzt sein. Zudem ist eine Absicherung des Mailservers wichtig, so dass dieser nicht durch unbefugte Dritte zum Versand von E-Mails benutzt werden kann. Weitere Konfigurationsmöglichkeiten können die Authentizität des Mailservers verbessern und tragen dazu bei, das Vertrauen von Benutzern und am Versand beteiligten Systemen in den Mailserver zu stärken.

Spam-Bekämpfung

Für die Absicherung der E-Mail-Kommunikation existieren weitere Mechanismen, welche insbesondere bei der Bekämpfung von Spam und gefälschten E-Mails helfen sollen. Diese bestehen in der Regel aus zwei Komponenten:

• einem DNS-Eintrag, um einem empfangenden Server Anweisungen zum Umgang mit der E-Mail zu geben und
• der technischen Implementierung auf den für die Domain zuständigen Mailservern, um empfangene E-Mails überprüfen zu können.

Für die bestmögliche Wirkung ist ein kombinierter Einsatz dieser Technologien auf Seiten des Empfängers und des Absenders notwendig. Auch wenn über die Domain der Website keine E-Mails empfangen oder verschickt werden, ist die Implementierung einzelner oder aller Sicherheitsmechanismen dennoch empfehlenswert, um das Risiko eines missbräuchlichen Mailversands über diese Domain zu reduzieren.

• Domain Keys Identified Mail (DKIM) ist ein Mechanismus, um eine E-Mail-Nachricht und den zugehörigen E-Mail-Header digital zu signieren. Zur Implementierung ist es unter anderem erforderlich, den für die Signierung verwendeten öffentlichen Schlüssel in den DNS-Einstellungen zu hinterlegen. Damit kann die Authentizität einer E-Mail und somit die Herkunft überprüft werden. Aus technischen Gründen kann PRIWARE nicht ermitteln, ob ein DKIM-Eintrag für die Domain der Website existiert.
  
  Ein entsprechender DNS-Eintrag sollte für jedes System erfolgen, welches im Namen der Domain E-Mails verschickt. Denken Sie daher auch an mögliche Drittanbieter und wenden sich für weitere Informationen an Ihren Mailprovider.
• Das Sender Policy Framework (SPF) erlaubt die Validierung der IP-Adresse des sendenden Mailservers. Der erforderliche DNS-Eintrag gibt in diesem Fall Auskunft, welche Server berechtigt sind, E-Mails im Namen der Domain zu verschicken. Wird eine E-Mail empfangen, welche über einen Server verschickt wurde, der nicht durch diesen SPF-Eintrag autorisiert wurde, handelt es sich höchstwahrscheinlich um Spam.
• Der Absender einer E-Mail bestimmt sich einerseits aufgrund technischer Faktoren, also von welchem Server die E-Mail verschickt wurde. Zusätzlich enthält eine E-Mail aber auch eine für den Empfänger "sichtbare" Absenderadresse. Genau dieser Sachverhalt kommt oft im Zusammenhang mit dem missbräuchlichen Versand von E-Mails, insbesondere dem sogenannten Mail-Spoofing, zum Tragen. Hierbei wird dem Empfänger eine andere Absenderadresse angezeigt, als es tatsächlich technisch der Fall ist. Gegenüber DKIM und SPF, welche den technischen Absender einer E-Mail prüfen, ist es mit DMARC möglich, diese für den Nutzer sichtbare Absenderadresse zu validieren. Für den Einsatz von DMARC ist es erforderlich, ebenfalls DKIM und SPF zu implementieren.

Rechtliche Angaben

Für das Betreiben einer Website sind verschiedene rechtliche Vorgaben einzuhalten. Dazu gehört in den meisten Fällen das Bereitstellen einer Anbieterkennzeichnung, auch als Impressum bekannt. In jedem Fall sind Datenschutzinformationen zur Erfüllung der Transparenzpflichten bereitzustellen. Datenschutz-ranking.de überprüft in diesem Zusammenhang das Vorhandensein und die Erreichbarkeit eines Impressums und von Datenschutzinformationen. Hinweis: Es findet derzeit keine inhaltliche Prüfung dieser Pflichtangaben durch datenschutz-ranking.de statt.

Einwilligungsmanagement

Werden auf einer Website Cookies eingesetzt oder Drittanbieter eingebunden, kann nach DSGVO und TTDSG eine entsprechende Einwilligung der betroffenen Personen erforderlich sein. Dies ist insbesondere dann der Fall, wenn bspw. technisch nicht notwendige Cookies eingesetzt werden, aber auch, wenn ein Transfer personenbezogener Daten in ein Land außerhalb der Europäischen Union erfolgt, für welches kein Angemessenheitsbeschluss existiert (Drittland). Hierfür werden üblicherweise sogenannte Consent Management Systeme bzw. Consent Banner eingesetzt.

datenschutz-ranking.de verfügt über eine umfangreiche Datenbank von Drittanbietern. Diese bildet die Grundlage zur Auswertung, ob ein Consent Banner erforderlich ist und ob dieser technisch korrekt eingebunden ist. Hinweis: Auch wenn die Drittanbieter-Datenbank von datenschutz-ranking.de regelmäßig aktualisiert wird, kann es sein, dass einzelne Dienste oder Anbieter nicht korrekt erkannt werden. Dies trifft auch auf Cookies zu, die durch die geprüfte Website selbst gespeichert werden. Daher kann eine manuelle Prüfung auf korrekte Implementierung eines Consent Banners notwendig sein. Wenden Sie sich hierzu gerne an unseren Support.