Compliance · Vertrauen
Sicherheit & Compliance
Stand 2026-05-10
Was im Setup eingebaut ist — strukturiert nach Audit-Kategorien für IT-Audit, DSGVO-Beauftragte und BFSG-Verantwortliche. Wenn Ihr Compliance-Team Quellen will: direkt fragen, ich liefere Audit-Files (Lighthouse, axe-core, Mozilla Observatory).
Transport & Header
Was Browser sieht wenn Ihre Site geladen wird.
- ✓ HTTPS only
- Strict-Transport-Security max-age 1 Jahr + includeSubDomains + preload. HTTP-Requests werden auf HTTPS upgrad-erzwungen.
- ✓ Content-Security-Policy
- default-src 'self', restriktive script-src/style-src/connect-src Allowlist. Blockt Cross-Origin-Injection. frame-ancestors 'self' verhindert Clickjacking.
- ✓ X-Content-Type-Options
- nosniff — Browser interpretiert MIME-Types nicht eigenständig (kein .pdf-as-script-Trick).
- ✓ X-Frame-Options
- SAMEORIGIN — komplementär zu CSP frame-ancestors für ältere Browser.
- ✓ Referrer-Policy
- strict-origin-when-cross-origin — Referrer wird bei externen Links gekürzt.
- ✓ Permissions-Policy
- camera, microphone, geolocation, interest-cohort alle deaktiviert.
Datenschutz & DSGVO
Welche Daten erhoben werden und wo sie liegen.
- ✓ Lokal gehostete Fonts
- @fontsource Latin/Latin-Ext-Subsets — keine Google-Fonts-CDN-Calls, kein Tracking via Font-Provider.
- ✓ Analytics nur mit Consent
- PostHog (sobald aktiviert) lädt erst nach explizitem Cookie-Banner-Opt-In. EU-Hosting (eu.posthog.com), person_profiles=identified_only.
- ✓ Keine Tracking-Pixel
- Kein Google-Tag-Manager, kein Facebook-Pixel, keine LinkedIn-Insight-Tags.
- ✓ Briefing-Daten lokal
- Web-Briefing-State liegt im Browser (localStorage). Erst beim Submit wird ein Mailto erzeugt — kein Server-Roundtrip ohne User-Aktion.
- ✓ EU-Server
- Hosting via Cloudflare Pages (EU-Edge), Workers laufen in EU-Region (sobald aktiv).
- ✓ Datenschutz-Dokumentation
- Vollständige Datenschutzerklärung als separates Dokument. Datenschutzerklärung →
Code & Build
Wie der Code zustande kommt und gehärtet wird.
- ✓ Open-Source Stack
- Astro 5, Cloudflare Pages, Vanilla CSS/JS. Komplette Stack-Transparenz, kein Vendor-Lock-in.
- ✓ Pre-Commit-Hooks
- Brand-Sync-Check (verhindert Drift zwischen Source-Files), console.log/debugger-Guard, File-Size-Limit. Husky + lint-staged.
- ✓ Pre-Push-Build
- Astro build als Quality-Gate vor jedem Push — Type-Errors landen nie in main.
- ✓ Automated CI
- GitHub Actions (Node 24, Actions v5), Playwright E2E gegen Production-URL bei jedem Push.
- ✓ Dependency-Updates
- Manuell + via Dependabot (geplant). Kein npm audit fix --force ohne Review.
Accessibility & Compliance
Was an Standards eingehalten wird.
- ✓ BFSG / WCAG 2.2 AA
- Form-Labels, Skip-Links, role=switch + Tastatur, aria-live für Status, Custom Error-Banner, Reduced-Motion respektiert.
- ✓ BFSG-USP-Eigen-Compliance
- Eigene Site ist BFSG-konform — Kunden bekommen das Gleiche statt unterversorgten Standard.
- ✓ Semantic HTML
- header/main/footer/section/nav-Elemente, Heading-Hierarchie, kein Generic-Div-Stack.
- ✓ Keyboard-only-Navigation
- Alle interaktiven Elemente per Tab erreichbar, focus-visible-Styles, Skip-Links.
Disclosure & Reaction
Was passiert wenn etwas gefunden wird.
- ✓ security.txt (RFC 9116)
- Standardisierter Disclosure-Endpoint mit Policy + Sprachen + Expiry. /.well-known/security.txt →
- ✓ Responsible-Disclosure
- 14 Tage Acknowledgement-Promise. Researcher bekommen [email protected] Antwort innerhalb 24h.
- ◯ Incident-Response
- Studio-Betrieb: kein 24/7-NOC. Bei kritischen Issues schnellst-mögliche Reaktion + transparente Status-Kommunikation.