Технический аудит · 2026-05-29

fitko.de

Исполнительный орган совета по планированию в сфере ИТ

Исполнительный орган IT-Planungsrat — межправительственного координационного органа по цифровизации немецкой публичной администрации. 33 запроса, 2 домена. TYPO3, nginx. Prompt локально, Fira Sans через unpkg.com (Kern дизайн-система). Matomo на серверах IT-Planungsrat — только после согласия. Set-Cookie — ноль.

Хронология утечки

+0 мс · главная страница

www.fitko.de/ — HTML, nginx, TYPO3. Строгий CSP с nonce: script-src разрешает только self, unpkg.com и matomo.it-planungsrat.de. Feature-Policy явно запрещает fullscreen, geolocation, camera, microphone.

+258 мс · стили и Kern

Локальные CSS-файлы TYPO3 (init-fitko, news-basic, cookie_consent). unpkg.com/@kern-ux/native@2.6.2/dist/fonts/fira-sans.css — CSS-декларации шрифта Fira Sans из федеральной дизайн-системы Kern, загружаемый с CDN.

+261 мс · Kern JS-компонент

unpkg.com/@kern-ux/native@2.6.2/dist/js/kern-kopfzeile.js — JavaScript-компонент шапки из Kern. Оба unpkg-ресурса кешируются на год (max-age=31536000).

+289 мс · Prompt локально

prompt-v5-latin-regular.woff2 и prompt-v5-latin-600.woff2 — шрифт Prompt (Regular, SemiBold), локально из _assets/Fonts/fitko/.

+345 мс · cookie_consent

cookie_consent.js и cookie_consent.css — собственная реализация управления согласием FITKO, без внешних CMP-платформ.

Декларация против факта

✓ Matomo (matomo.it-planungsrat.de) — только после согласия, Art. 6(1)(e) DSGVO i.V.m. § 3 HDSIG, cookies _pk_id и _pk_ses (13 месяцев) — заявлен

✓ PHPSESSID — сессионный CMS-cookie, технически необходимый — заявлен

✓ cookie_consent — cookie согласия, 1 год — заявлен

✓ YouTube — упомянут для встроенных видео на внутренних страницах — заявлен

✓ LinkedIn, Mastodon (social.bund.de) — упомянуты как соцсети FITKO — заявлен

+ unpkg.com (Cloudflare CDN) — не упомянут в политике — не заявлен

Зафиксированные нарушения

GDPR Art. 13(1)(e)

unpkg.com загружает два ресурса федеральной дизайн-системы Kern: @kern-ux/native@2.6.2/dist/fonts/fira-sans.css (+259 мс) и @kern-ux/native@2.6.2/dist/js/kern-kopfzeile.js (+261 мс). unpkg.com — публичный npm CDN компании Cloudflare. При загрузке CSS и JS IP-адрес посетителя передаётся на серверы Cloudflare/unpkg. Политика конфиденциальности не упоминает unpkg.com, CDN-провайдеров или шрифтовые зависимости.

Контекст

FITKO (Föderale IT-Kooperation) — исполнительный орган IT-Planungsrat, межправительственного координационного органа по информационным технологиям в администрации федерации и земель Германии. Правовая основа — IT-Staatsvertrag (ст. 91c GG). Оператор данных — FITKO как юридическое лицо публичного права (Anstalt des öffentlichen Rechts). Отраслевое законодательство: HDSIG (Hessisches Datenschutz- und Informationsfreiheitsgesetz). TYPO3, nginx. HAR: 33 запроса, 2 домена.

Kern — федеральная дизайн-система через unpkg.com

FITKO использует Kern — федеральную дизайн-систему для цифровых государственных сервисов Германии (@kern-ux/native@2.6.2). Два компонента загружаются с unpkg.com: CSS-декларации шрифта Fira Sans и JS-компонент шапки kern-kopfzeile.js. unpkg.com — публичный npm CDN, управляемый Cloudflare. При загрузке ресурсов IP-адрес посетителя передаётся на серверы Cloudflare. Оба файла кешируются браузером на один год.

Шрифт Prompt (Regular, SemiBold) — второй шрифт FITKO — хостируется локально, что делает зависимость от unpkg.com непоследовательным архитектурным решением: один шрифт локально, другой через внешний CDN.

CSP с nonce — сильная политика безопасности

Content-Security-Policy использует per-request nonce (nonce-Ed2pqSURk1qzRMye…) для всех скриптов и стилей. script-src разрешает только: self, unpkg.com и matomo.it-planungsrat.de. img-src — только self и data:. frame-ancestors 'none' — полный запрет встраивания. Feature-Policy явно запрещает geolocation, camera, microphone. report-uri настроен на внутренний эндпоинт.

Matomo на инфраструктуре IT-Planungsrat — только после согласия

CSP раскрывает домен Matomo: matomo.it-planungsrat.de — централизованный экземпляр аналитики для органов, подведомственных IT-Planungsrat. Правовое основание — Art. 6(1)(e) DSGVO в сочетании с § 3 HDSIG (публичная задача). Cookies: _pk_id и _pk_ses с хранением 13 месяцев. Активируется исключительно после согласия пользователя. В HAR запросов к matomo.it-planungsrat.de нет.

cookie_consent — собственная реализация без внешних CMP

cookie_consent.js и cookie_consent.css реализованы как TYPO3-расширение FITKO, без OneTrust, Usercentrics или иных коммерческих CMP.

Вывод

www.fitko.de имеет одно нарушение: unpkg.com не декларирован в политике конфиденциальности. Остальная архитектура демонстрирует высокий уровень GDPR-соответствия: строгий CSP с nonce, собственная CMP, Matomo только после согласия, Feature-Policy с явными запретами браузерных API.

Доказательство

Оригинал (разбор)

HAR-файл: de/fitko-de-2026-05-29.har

SHA-256: e39c613024c1af1d132a5d80f91c23a245d2ae54f030aaff1a7ec9c818ee1a65

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом fitko.de.

2. Обстоятельства
Я посетил сайт fitko.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) unpkg.com загружает два ресурса федеральной дизайн-системы Kern: @kern-ux/native@2.6.2/dist/fonts/fira-sans.css (+259 мс) и @kern-ux/native@2.6.2/dist/js/kern-kopfzeile.js (+261 мс). unpkg.com — публичный npm CDN компании Cloudflare. При загрузке CSS и JS IP-адрес посетителя передаётся на серверы Cloudflare/unpkg. Политика конфиденциальности не упоминает unpkg.com, CDN-провайдеров или шрифтовые зависимости.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/fitko-de/

3. Нарушенные положения
GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]