WebForensik

Ergebnisse für https://hi-reg.de/

Analysezeitpunkt: 2026-03-27 19:43:50

Gesamtbewertung

DSGVO-Zusammenfassung

⚠ Diese Website hat Verbesserungsbedarf beim Datenschutz.

DSGVO-Probleme erkannt (1):

⚠ Fehlende oder unsichere Referrer-Policy — URLs mit personenbezogenen Daten können an Dritte weitergegeben werden.

Hinweis: Diese automatisierte Analyse ersetzt keine rechtliche Beratung. Für eine vollständige DSGVO-Bewertung konsultieren Sie einen Datenschutzbeauftragten.

↓ Detaillierte Ergebnisse zu allen Kategorien finden Sie weiter unten.

100 HTTPS / Verschlüsselung

Die Website nutzt eine verschlüsselte Verbindung (HTTPS).

Neueste Verschlüsselung aktiv (TLS 1.3 — TLSv1.3).

Das Sicherheitszertifikat ist gültig (läuft ab am 2026-04-12).

Starke Verschlüsselungsmethode (TLS_CHACHA20_POLY1305_SHA256, 256 Bit).

100 Erzwungene Verschlüsselung (HSTS)

HSTS ist aktiviert — der Browser wird angewiesen, immer die verschlüsselte Verbindung zu nutzen.

HSTS-Dauer: 63072000 Sekunden (mindestens 1 Jahr) — sehr gut.

HSTS gilt auch für alle Subdomains (includeSubDomains).

HSTS-Preload ist aktiviert — Browser kennen die Verschlüsselung schon vor dem ersten Besuch.

30 Content Security Policy (CSP)

Content Security Policy vorhanden (via HTTP-Header).

Keine Einschränkung für Skripte definiert (script-src/default-src fehlt).

☛ Handlungsbedarf: Ergänzen Sie Ihre Content Security Policy um eine script-src-Direktive, die festlegt, von wo Skripte geladen werden dürfen. Beispiel: script-src 'self'

20 Referrer-Policy

Referrer-Policy: strict-origin-when-cross-origin strict-origin-when-cross-origin (via HTTP-Header).

Die Einstellung „strict-origin-when-cross-origin strict-origin-when-cross-origin" gibt zu viel URL-Information an andere Websites weiter.

☛ Handlungsbedarf: Ändern Sie die Referrer-Policy auf eine datenschutzfreundlichere Einstellung wie „strict-origin-when-cross-origin" oder „no-referrer". Die aktuelle Einstellung gibt zu viel Information an Dritte weiter.

0 MIME-Typ-Schutz

Kein MIME-Typ-Schutz (X-Content-Type-Options fehlt). Browser könnten Dateien falsch interpretieren.

☛ Handlungsbedarf: Fügen Sie den Header X-Content-Type-Options: nosniff hinzu. Dieser verhindert, dass Browser Dateien falsch interpretieren, was zu Sicherheitslücken führen kann. Ihr Hoster oder Webentwickler kann das in wenigen Minuten einrichten.

0 Clickjacking-Schutz

Ungültiger X-Frame-Options-Wert: SAMEORIGIN SAMEORIGIN.

☛ Handlungsbedarf: Der X-Frame-Options-Wert ist ungültig. Verwenden Sie DENY oder SAMEORIGIN.

100 Berechtigungen (Kamera, Mikrofon etc.)

Permissions-Policy ist konfiguriert — Zugriff auf sensible Geräte-APIs wird kontrolliert.

4 von 6 sensiblen APIs eingeschränkt — sehr gut.

85 Cookies

2 Erstanbieter- und 0 Drittanbieter-Cookie(s).

2 von 2 Cookie(s) ohne Secure-Flag — werden auch über unverschlüsselte Verbindungen gesendet.

☛ Handlungsbedarf: Setzen Sie das Secure-Flag für alle Cookies. Ohne dieses Flag werden Cookies auch über unverschlüsselte HTTP-Verbindungen gesendet und können abgefangen werden. Ihr Webentwickler kann das in der Cookie-Konfiguration ändern.

2 von 2 Cookie(s) ohne HttpOnly-Flag — könnten von Schadcode ausgelesen werden.

☛ Handlungsbedarf: Setzen Sie das HttpOnly-Flag für alle Cookies, die nicht von JavaScript benötigt werden. Das schützt vor dem Diebstahl von Sitzungsdaten durch Schadcode.

Erstanbieter

Name	Domain	Verschlüsselt	Nur Server	SameSite
_pk_id.1.50af	hi-reg.de	Nein	Nein	Lax
_pk_ses.1.50af	hi-reg.de	Nein	Nein	Lax

70 Lokaler Speicher (Web Storage)

1 localStorage- und 0 sessionStorage-Einträge gefunden.

localStorage

Name	Wert
readabler	{}

100 Drittanbieter-Anfragen

Keine Drittanbieter-Anfragen erkannt — alle Inhalte kommen vom eigenen Server.

100 Tracker-Erkennung

Keine bekannten Tracker erkannt.

100 Externe Ressourcen-Integrität (SRI)

Keine externen Skripte oder Stylesheets geladen.

65 DNS-Sicherheit

Keine CAA-Einträge. Jede Zertifizierungsstelle könnte ein Zertifikat für diese Domain ausstellen.

☛ Handlungsbedarf: Erstellen Sie CAA-DNS-Einträge, um festzulegen, welche Zertifizierungsstellen Zertifikate für Ihre Domain ausstellen dürfen. Das verhindert, dass unbefugte Zertifikate ausgestellt werden.

3 Nameserver vorhanden — gute Redundanz.

Keine IPv6-Unterstützung (kein AAAA-Eintrag).

☛ Handlungsbedarf: Aktivieren Sie IPv6-Unterstützung (AAAA-Einträge) für Ihre Domain. Immer mehr Nutzer verwenden IPv6.

SPF-Eintrag vorhanden: v=spf1 redirect=hi-reg.de.spf.hornetdmarc.com — schützt vor E-Mail-Spoofing.

DMARC-Eintrag vorhanden: v=DMARC1; p=quarantine; pct=100; fo=0:s:d:1; rua=mailto:a.qwm448aq@reports.hornetdmarc.com — E-Mail-Authentifizierung aktiv.

0 Sicherheitskontakt (security.txt)

Keine security.txt-Datei gefunden (RFC 9116). Sicherheitsforscher wissen nicht, wie sie Schwachstellen melden können.

☛ Handlungsbedarf: Erstellen Sie eine security.txt-Datei unter /.well-known/security.txt. Diese ermöglicht es Sicherheitsforschern, Schwachstellen verantwortungsvoll zu melden. Pflichtfelder: Contact (E-Mail oder URL) und Expires (Ablaufdatum).

100 Externe Reporting-Endpunkte

Keine externen Reporting-Endpunkte erkannt.

70 Cookie-Einwilligung (Consent)

Cookie-Einwilligungssystem erkannt: Borlabs Cookie, borlabs.

Consent-System erkannt, aber Banner scheint nicht sichtbar zu sein.

☛ Handlungsbedarf: Das Consent-System scheint nicht sichtbar zu sein. Stellen Sie sicher, dass der Cookie-Banner beim ersten Besuch angezeigt wird und nicht durch CSS oder JavaScript verborgen ist.

80 Datenschutzerklärung & Impressum

Datenschutzerklärung verlinkt: „DATENSCHUTZ" (/datenschutz/).

Impressum verlinkt: „IMPRESSUM" (/impressum/).

Link zur Datenschutzerklärung ist fehlerhaft: HTTP/1.1 301 Moved Permanently.

☛ Handlungsbedarf: Der Link zur Datenschutzerklärung führt zu einem Fehler. Prüfen Sie die URL und stellen Sie sicher, dass die Seite erreichbar ist.

HTTP Response Headers

Header	Wert
access-control-allow-headers	Content-Type, Authorization Content-Type, Authorization
access-control-allow-methods	GET,POST GET,POST
content-security-policy	upgrade-insecure-requests; upgrade-insecure-requests;
content-type	text/html; charset=UTF-8
cross-origin-embedder-policy	unsafe-none; report-to='default' unsafe-none; report-to='default'
cross-origin-embedder-policy-report-only	unsafe-none; report-to='default' unsafe-none; report-to='default'
cross-origin-opener-policy	unsafe-none unsafe-none
cross-origin-opener-policy-report-only	unsafe-none; report-to='default' unsafe-none; report-to='default'
cross-origin-resource-policy	cross-origin cross-origin
date	Fri, 27 Mar 2026 18:43:09 GMT
link	<https://hi-reg.de/wp-json/>; rel="https://api.w.org/", <https://hi-reg.de/wp-json/wp/v2/pages/14>; rel="alternate"; title="JSON"; type="application/json", <https://hi-reg.de/>; rel=shortlink
permissions-policy	accelerometer=(), autoplay=(), camera=(), cross-origin-isolated=(), display-capture=(self), encrypted-media=(), fullscreen=, geolocation=(self), gyroscope=(), keyboard-map=(), magnetometer=(), microphone=(), midi=(), payment=, picture-in-picture=*, publickey-credentials-get=(), screen-wake-lock=()
referrer-policy	strict-origin-when-cross-origin strict-origin-when-cross-origin
server	Apache
strict-transport-security	max-age=63072000; includeSubDomains; preload max-age=63072000; includeSubDomains; preload
x-cache	hit
x-content-security-policy	default-src 'self'; img-src ; media-src data:; default-src 'self'; img-src ; media-src data:;
x-frame-options	SAMEORIGIN SAMEORIGIN
x-permitted-cross-domain-policies	none none
x-tec-api-origin	https://hi-reg.de
x-tec-api-root	https://hi-reg.de/wp-json/tribe/events/v1/
x-tec-api-version	v1

Neue Analyse · Vergleichen