Audit extend it

Inhaltsverzeichnis

Fokus: Sicherheit, Datenschutz, Barrierefreiheit, Performance sowie SEO, Lesbarkeit und Usability.

Methodik: Analyse der öffentlich ausgelieferten Website (Runtime-Ebene) mittels Browser-DevTools, Security-Header-Scan, PageSpeed Insights und automatisierter Accessibility-Analyse.

Bewertet wird ausschließlich das tatsächlich beobachtbare Verhalten im Browser, nicht interne Systeme oder Annahmen über das Backend.

1. Sicherheit

1.1 Fehlende Security Headers

Bei der Analyse der HTTP-Response-Header fehlen zentrale Sicherheits-Header vollständig:

  • Content-Security-Policy (CSP)
  • Strict-Transport-Security (HSTS)
  • X-Frame-Options
  • X-Content-Type-Options
  • Referrer-Policy
  • Permissions-Policy
Audit extend it – image²

1.2 Externe JavaScript-Abhängigkeiten

Die Website bindet externe JavaScript-Ressourcen von Drittanbietern ein, die bereits im Initial-Load geladen werden. Beobachtungen:
  • Keine Content Security Policy zur Einschränkung externer Skriptquellen
  • Kein Einsatz von Subresource Integrity (SRI)
Risiko: Externer Code wird ungeprüft im Browser der Nutzer ausgeführt. Dies erhöht die Angriffsfläche für Supply-Chain-Angriffe. Konkretes Beispiel (ebenfalls über Polyfill.io): https://www.golem.de/news/angriff-via-polyfill-io-ueber-100-000-webseiten-verbreiten-ploetzlich-malware-2406-186452.html

1.3 Sicherheitsbewertung

- Fehlende Basis-Sicherheitsmechanismen
- Keine technische Kontrolle über Drittanbieter-Skripte
- Erhöhte strukturelle Risiken

2. Datenschutz

2.1 Externe Skripte und Datenübertragung

Durch externe JavaScript-Ressourcen werden personenbezogene Daten (z. B. IP-Adresse, Browserinformationen, Referrer) technisch bedingt an Dritte übertragen.
Audit extend it – image²

2.2 Consent-Mechanismus

Tracking-Skripte werden auch dann geladen, wenn Nutzer im Cookie-Banner eine Ablehnung wählen.

Der Cookie-Banner hat damit keine steuernde Wirkung auf Script-Ebene. Eine klare technische Trennung zwischen notwendigen und optionalen Ressourcen ist nicht erkennbar.

Zusätzlicher Hinweis: Wenn man beim Cookie-Banner auf nein klickt, wird er kurz darauf wieder angezeigt (er taucht immer wieder auf).

Audit extend it – image²

2.3 Einsatz von Contentful (Headless CMS / CDN)

Die Website bindet Medienressourcen (insbesondere Bilder) über das externe CDN images.ctfassets.net ein. Dieses CDN wird von Contentful, einem Anbieter für Headless-CMS- und Content-Delivery-Dienste, betrieben.

Beobachtung:

  • Medien werden nicht von der eigenen Domain ausgeliefert
  • Bei jedem Seitenaufruf wird eine Verbindung zu Servern von Contentful aufgebaut
  • Dabei werden technisch bedingt personenbezogene Daten (z. B. IP-Adresse, Browserinformationen) an einen Drittanbieter übertragen
  • Die Einbindung erfolgt zwingend und unabhängig von einer Einwilligung des Nutzers

Datenschutzrechtliche Einordnung:

Der Einsatz eines externen CDNs ist grundsätzlich zulässig, erfordert jedoch:

  • eine klare vertragliche Grundlage (Auftragsverarbeitung),
  • eine transparente Darstellung in der Datenschutzerklärung,
  • sowie eine eindeutige Einordnung als technisch notwendige Datenverarbeitung.

Aus technischer Sicht ist festzuhalten, dass diese Drittanbieter-Einbindung nicht durch das Consent-Management gesteuert werden kann und daher nicht als optionaler Dienst behandelt werden sollte.

Audit extend it – image²

2.4 Datenschutzerklärung

Die Datenschutzerklärung ist formal umfangreich, bildet jedoch die tatsächliche technische Einbindung externer Dienste nicht konsistent ab.
Insbesondere werden technisch zwingende Drittanbieter-Einbindungen (z. B. externe Medien-CDNs) nicht klar von optionalen Diensten abgegrenzt.

2.5 Datenschutz - Bewertung

- Externe Skripte mit potenzieller Datenübertragung
- Technisch erschwerte DSGVO-konforme Einwilligungsumsetzung - In der Datenschutzerklärung werden tatsächliche Datenübertragungen nicht präzise und systemnah beschrieben

3. Barrierefreiheit

3.1 JavaScript-Abhängigkeit

Die Website ist stark JavaScript-abhängig. Inhalte und Interaktionen setzen eine vollständige Client-Side-Ausführung voraus.

Dies kann zu Einschränkungen für Screenreader, Tastaturnavigation und assistive Technologien führen.

3.2 Automatisierte Prüfung (WAVE)

Die WAVE-Analyse zeigt mehrere relevante WCAG-Fehler, unter anderem:

  • Fehlende Formular-Labels
  • Leere Links und Buttons
  • Kontrastprobleme

Zusätzlich wurde eine hohe Anzahl an Warnungen zur Überschriftenstruktur und NoScript-Abhängigkeit festgestellt.

Audit extend it – image²

3.3 Barrierefreiheit-Bewertung

- Relevante WCAG-Fehler
- Fehlende Fallback-Strukturen
- Erhöhte Abhängigkeit von JavaScript

4. Performance & technische SEO

4.1 PageSpeed Insights (Mobile)

Ergebnisse:

  • Leistung: 76
  • Barrierefreiheit: 87
  • Best Practices: 96
  • SEO: 100

Core Web Vitals:

  • First Contentful Paint (FCP): 0,9 s
  • Largest Contentful Paint (LCP): 6,7 s
  • Total Blocking Time (TBT): 110 ms
  • Cumulative Layout Shift (CLS): 0,018
  • Speed Index: 2,6 s
Audit extend it – image²

4.2 Einordnung

Der gute FCP-Wert zeigt einen schnellen ersten Seitenaufbau. Der deutlich erhöhte LCP-Wert weist jedoch darauf hin, dass zentrale Inhalte für Nutzer spät sichtbar werden.

Dies ist typisch für JavaScript-lastige Frontends.

4.3 Strukturierte Daten & Rich Results

Der Test für Rich-Suchergebnisse von Google zeigt, dass auf der geprüften URL keine strukturierten Daten erkannt werden.

Es sind somit keine Rich Results (z. B. Organisation, LocalBusiness, FAQ, Breadcrumbs o. Ä.) für Suchmaschinen verfügbar.

Beobachtung:

  • Seite wird erfolgreich gecrawlt
  • Es sind jedoch keine auswertbaren Schema.org-Markups hinterlegt
  • Google kann die Inhalte nur als unstrukturierte Texte interpretieren

Auswirkung:

  • Kein Anspruch auf Rich Snippets oder erweiterte Suchdarstellung
  • Geringere semantische Einordnung der Inhalte durch Suchmaschinen
  • KI-Tools können die Inhalte der Website nicht korrekt „lesen“ und einordnen.

Sprich: Viel ungenutztes SEO-Potenzial, insbesondere für:

  • Unternehmensinformationen
  • Leistungen / Services
  • FAQs
  • lokale Sichtbarkeit

Einordnung:

Fehlende strukturierte Daten sind kein technischer Fehler, bedeutet aber einen klaren Wettbewerbsnachteil.
Gerade für ein IT-Unternehmen wäre eine saubere semantische Auszeichnung (z. B. Organisation, LocalBusiness, Services) problemlos möglich und fachlich zu erwarten. 

Audit extend it – image²

4.4 Performance- & SEO-Bewertung

- Kritischer LCP-Wert
- Zusätzliche externe Requests im Rendering-Pfad
- Potenziell negative Auswirkungen auf Core Web Vitals

5. Textqualität, Lesbarkeit & SEO-Wirkung

5.1 Abstrakter und generischer Sprachgebrauch

Die Texte verwenden überwiegend abstrakte und allgemein gehaltene Begriffe (z. B. „IT-Lösungen“, „EDV-Problematiken“, „kompetente Unterstützung“).

Das führt zu geringer Differenzierung gegenüber Mitbewerbern und schwachen semantischen Signalen für Suchmaschinen.

5.2 Geringe Ausrichtung auf Suchintentionen

Die Inhalte sind primär aus Unternehmensperspektive formuliert und gehen nur selten auf konkrete Nutzerfragen, typische Probleme oder Anwendungsszenarien ein. Dadurch lassen sich die Inhalte nur schwer klaren Suchintentionen zuordnen.

5.3 Lesbarkeit & Scannbarkeit

Lange Absätze, komplexe Satzstrukturen und geringe visuelle Gliederung erschweren es den Usern, die Inhalte schnell zu erfassen.

Da die meisten Texte in Nominalstil verfasst wurden, sprechen sie nur den rationalen Teil des Gehirns an und verhindern, dass Emotionen entstehen (und damit die gewünschten Handlungsimpulse).

Ein weiteres Problem ist, dass die Inhalte stark „geclustert“ sind und kein durchgängiger Lesefluss möglich ist. Die notwenige Struktur für Suchmaschinen (Absätze, Zwischenüberschriften) bleibt komplett außen vor. 

Audit extend it – image²

Bessere Variante:

Damit die IT im Unternehmen reibungslos läuft, müssen mehrere Dinge zusammenspielen. Wir beraten beim Aufbau der IT-Infrastruktur, stimmen Hard- und Software sauber aufeinander ab und setzen Anforderungen in praktikable Lösungen um. Dabei unterstützen wir nicht nur technisch, sondern auch im laufenden Betrieb.

Im Support arbeiten wir vor allem präventiv. Wir richten Systeme so ein, dass sie stabil laufen und möglichst wenig Notfälle verursachen. So unterstützt die IT den Arbeitsalltag – statt ihn auszubremsen.

Je nach Bedarf übernehmen wir die IT vollständig, unterstützen in einzelnen Bereichen oder stehen mit unserer Helpline für den täglichen Support zur Verfügung. Sie haben dabei immer einen festen Ansprechpartner, der Ihre IT kennt und schnell reagieren kann, wenn Sie Hilfe brauchen.

Audit extend it – image²

5.4 Redundanzen statt inhaltlicher Progression

Mehrere Textabschnitte wiederholen ähnliche Aussagen, ohne neue inhaltliche Aspekte hinzuzufügen.

Das reduziert die thematische Tiefe und das Longtail-Potenzial. 

2.5 Datenschutz - Bewertung

- Inhalte vorhanden, aber zu generisch formuliert
- Schwache Ausrichtung auf Suchintentionen
- Eingeschränkte Lesbarkeit und Scannbarkeit
- Potenzielle Kunden werden nicht direkt angesprochen.

6. Gesamtbewertung

Die Website ist funktional, weist jedoch strukturelle Schwächen in sicherheits-, datenschutz-, usability- und SEO-relevanten Bereichen auf. Gerade für ein IT-Unternehmen entsteht dadurch ein sichtbarer Widerspruch zwischen technischem Anspruch und öffentlicher Umsetzung.

Die Analyse zeigt, dass die Website ohne grundlegende Sicherheits-Header betrieben wird und externe JavaScript-Abhängigkeiten nicht technisch eingeschränkt sind.

Zusätzlich erschweren eine stark client-seitige Architektur und generisch formulierte Inhalte eine optimale Nutzerführung.

Obwohl die Struktur der Überschriften korrekt ist, kommt man als Besucher nicht in den notwendigen „Lesefluss“, das verringert die Wirkung und verhindert einen konkreten Handlungsimpuls.

Fazit:

Um in Suchmaschinen gut abzuschneiden, muss die technische Basis stimmen. Vor allem Barrierefreiheit, JS und strukturierte Daten spielen aus technischer Sicht eine große Rolle.

7. Empfehlungen

Was ich empfehlen würde:

  • Technische Basis zuerst angehen
    Die aktuelle Website ist technisch schwer zu warten und nur begrenzt optimierbar. Für SEO, Datenschutz und Sicherheit fehlt einfach die saubere Grundlage.
  • Security Header nachziehen
    Wichtige Sicherheits-Header fehlen komplett. Das ist kein Drama, aber etwas, das man heute einfach sauber setzen sollte.
  • Datenschutz vereinfachen
    Externe Inhalte (z. B. Bilder über Contentful) verursachen unnötige Drittanfragen. Entweder lokal ausliefern oder zumindest klar und korrekt dokumentieren – aktuell ist das eher ein Graubereich.
  • Cookie-Banner technisch ernst nehmen
    Die Einwilligung sollte auch tatsächlich steuern, was geladen wird. Im Moment ist das eher optisch als funktional.
  • Strukturierte Daten ergänzen
    Google bekommt aktuell kaum Kontext. Organisation, Leistungen usw. sauber auszeichnen wäre ein einfacher, sinnvoller Schritt.
  • SEO nicht isoliert betrachten
    SEO-Texte allein bringen in diesem Setup wenig. Sinnvoll wird das erst, wenn die Technik darunter passt.

Langfristig:

Nachbau statt Flickwerk. Ein sauberer Nachbau auf einer wartbaren Basis ist aus meiner Sicht wesentlich günstiger und nachhaltiger als an der bestehenden Lösung herumzudoktern. Sprich: Moderne Technik, sauber aufgesetzt, ohne das Design zu verändern. Ausnahme: Die Seiten mit Fließtext etwas „lockerer“ strukturieren, damit die Inhalte besser strukturiert sind und leichter verstanden werden.

Was jetzt schon möglich ist:

  • Die wichtigsten Texte komplett neu formulieren. Und zwar so, dass sie eine Geschichte erzählen, die Menschen zum Weiterlesen bewegen und einen Handlungsimpuls auslösen.
  • Strukturierte Daten einbauen: Relevante Google-Markups im Head bzw. auf der FAQ-Seite integrieren, damit Google und die KI-Suche etwas „lesbares“ haben.

Dass das wirklich der große Gamechanger ist, kann ich allerdings nicht garantieren. Die größten Baustellen liegen nicht im Inhalt, sondern in Technik, Datenschutz und Struktur. Und ich kann nicht sagen, ob Google neue Inhalte nicht bloß als reine Kosmetik ansieht.

Sorry, dass ich keine besseren Nachrichten hab, aber ich will nichts versprechen, wovon ich nicht weiß, ob es was bringt. Wahrscheinlich wäre ein Nachbau inklusive neuer Texte deutlich schneller fertig, als die Fehler zu beheben.

Bei Fragen bitte einfach melden!

Liebe Grüße,
Sam