Was wird für einen Scan benötigt?

Nur eine öffentlich erreichbare Domain. Zugangsdaten oder Änderungen an der Konfiguration sind nicht nötig.

Wie lange dauert ein Scan?

Der Scan dauert in der Regel weniger als eine Minute. Das Ergebnis steht unmittelbar danach zur Verfügung.

Welche Auswirkungen hat der Scan auf die Website?

Der Scan entspricht einem regulären Seitenaufruf und erzeugt nicht mehr Last als ein zusätzlicher Besucher.

Verändert der Scan meine Website oder Daten?

Nein. Der Scan erfolgt rein extern und hat keinen Einfluss auf Systeme oder Daten.

Ist der Scan rechtlich zulässig?

Der Scan analysiert ausschließlich öffentlich erreichbare Inhalte der angegebenen Domain. Er erfolgt wie ein regulärer Zugriff auf die Website und greift nicht auf interne Systeme zu.

Werden Daten gespeichert?

Die Testergebnisse werden nur gespeichert, wenn der vollständige Report erworben wird. Andernfalls werden sie automatisch nach kurzer Zeit gelöscht. Wir teilen keine Daten mit Dritten und halten uns strikt an die DSGVO.

Was liefert der kostenlose Scan?

Das kostenlose Testergebnis zeigt die Anzahl und den Schweregrad der erkannten Mängel sowie eine zusammenfassende Einschätzung zum Zustands der Website. Detailinformationen zu einzelnen Schwachstellen und Maßnahmen zur Behebung sind erst im vollständigen Report enthalten.

Was enthält der Report?

Der Report enthält die Ergebnisse aller Tests, ordnet sie ein und zeigt konkrete Maßnahmen zur Behebung.

Wie wird sichergestellt, dass nur der Domaininhaber die Ergebnisse erhält?

Der vollständige Report kann erst nach einer E-Mail-Verifikation erworben werden. Dazu muss eine E-Mail-Adresse bestätigt werden, die zur getesteten Domain gehört. Die Bestätigung erfolgt über ein einmaliges Passwort, das an diese Adresse gesendet wird.

Für welche Websites ist der Scan geeignet?

Der Scan eignet sich für öffentlich erreichbare Websites und Web-Anwendungen. Dazu zählen klassische Websites ebenso wie moderne Single-Page-Applications oder APIs.

Was wir prüfen

Volle Transparenz: Hier ist jeder automatisierte Check, der in einem RGate-Scan enthalten ist. Jedes Finding enthält eine Risikoerklärung und eine Schritt-für-Schritt-Anleitung zur Behebung.

119 automatisierte Checks in 5 Kategorien

Sicherheit

50 Checks

TLS / Zertifikat

Sicherheitsheader

CORS-Konfiguration

Offengelegte Dateien und Pfade

Supabase-Konfiguration

Firebase-Konfiguration

Bekannte Schwachstellen (CVE)

Legal

12 Checks

Cookie-Einwilligung

Datenschutzrichtlinie

Rechtliche Hinweise (Impressum)

Offenlegung des Tech-Stacks

Bildlizenzierung und KI-Inhalte

Barrierefreiheit (A11y)

14 Checks

WCAG-Konformität

Bilder

Dokumentstruktur

Touch & Mobil

Suchmaschinenoptimierung (SEO)

32 Checks

Meta-Tags

Roboter und Indexierung

Mobilfreundlichkeit

URL und Kanonisierung

Seitenstruktur

Leistung (SEO-Auswirkung)

Nachhaltigkeit

11 Checks

Was wir prüfen

Sicherheit

TLS / Zertifikat

Das SSL-Zertifikat ist abgelaufen

SSL-Zertifikat läuft bald ab (< 14 Tage)

SSL-Zertifikat läuft bald ab (< 30 Tage)

Veraltete TLS-Version (TLS 1.0 / 1.1)

TLS 1.2 im Einsatz (1.3 empfohlen)

Das maximale HSTS-Alter beträgt weniger als 1 Jahr

HSTS umfasst keine Subdomains

Gemischter Inhalt erkannt

Sicherheitsheader

Fehlender Strict-Transport-Security (HSTS)-Header

Fehlender Content-Security-Policy (CSP)-Header

Schwache Inhaltssicherheitsrichtlinie

CSP erlaubt „Unsafe-Inline“

Fehlender X-Frame-Options-Header

Fehlender X-Content-Type-Options-Header

Fehlender Referrer-Policy-Header

Fehlender Permissions-Policy-Header

CORS-Konfiguration

CORS spiegelt jede Herkunft mit Anmeldeinformationen wider

CORS spiegelt jede Herkunft wider

CORS-Platzhalter (*) mit Anmeldeinformationen

CORS erlaubt alle Ursprünge (Platzhalter)

Offengelegte Dateien und Pfade

Offengelegte .env-Datei

Offengelegtes .git-Verzeichnis

Offengelegte wp-config.php

Offengelegte .htpasswd-Datei

Offengelegtes SQL-Backup

phpinfo() ausgesetzt

Offengelegtes Debug-Protokoll

Docker-compose.yml verfügbar gemacht

config.json verfügbar gemacht

Source Maps freigelegt

Offengelegter Apache-Serverstatus

Docker-Umgebung erkannt

Zugriff auf das WordPress-Admin-Panel

security.txt gefunden

Supabase-Konfiguration

Das Supabase OpenAPI-Schema ist öffentlich zugänglich

Viele Datenbanktabellen werden über die API bereitgestellt

Tabellen ermöglichen Schreibvorgänge über die API

Sensible Tische freigelegt

Tabellen ohne Authentifizierung lesbar

In der Tabelle angezeigte sensible Felder

Tabellen erlauben nicht authentifizierte Schreibvorgänge

Der Supabase-API-Key ist abgelaufen

Der Supabase-API-Key läuft bald ab

Öffentlicher Speicher-Bucket(s) gefunden

Firebase-Konfiguration

Die Firebase-Echtzeitdatenbank ist öffentlich lesbar

Die Firestore-Sammlung ist öffentlich lesbar

Firebase Storage ermöglicht die Auflistung öffentlicher Dateien

Für den Firebase-API-Key fehlen Einschränkungen

Bekannte Schwachstellen (CVE)

CVE-Suche gegen NVD und OSV.dev

Veraltete WordPress-Version erkannt

Legal

Cookie-Einwilligung

Ohne Cookie-Zustimmung geladene Tracking-Skripte

Cookies werden ohne sichtbaren Einwilligungsmechanismus gesetzt

Cookie-Zustimmungsmechanismus erkannt

Datenschutzrichtlinie

Keine Datenschutzrichtlinie gefunden

Mehrere Dienste von Drittanbietern erfordern Aktualisierungen der Datenschutzrichtlinien

Rechtliche Hinweise (Impressum)

Kein Impressum/Rechtlicher Hinweis gefunden

Offenlegung des Tech-Stacks

Die Nutzung von Diensten Dritter erfordert eine Offenlegung

Bildlizenzierung und KI-Inhalte

KI-generierte Bilder ohne sichtbare Beschriftung

KI-bearbeitete Bilder erkannt

Bilder mit Stockfoto-Copyright

Bilder mit Copyright-Metadaten

C2PA-Herkunftsüberprüfung

Barrierefreiheit (A11y)

WCAG-Konformität

Automatisierte WCAG-Verstoßprüfungen (Axe-Core)