Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Gesamtzahl der Tests:
485,773,462
737,046
130,956

California-CCPA-Compliance

Der kalifornische CCPA verpflichtet Unternehmen, angemessene Sicherheitsvorkehrungen für Verbraucherdaten zu gewährleisten, und neue Vorschriften sehen zusätzlich Cybersecurity Audits vor. Erfahren Sie, wie ImmuniWeb beim Testen von Web- und Mobile-Applications hilft.

Lesezeit:8 Min. Aktualisiert:8. Juli 2025
Einhaltung des California Consumer Privacy Act (CCPA)
Bitte füllen Sie die unten rot markierten Felder aus.

Talk to a Specialist about
California Consumer Privacy Act (CCPA) Compliance

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

Einhaltung des California Consumer Privacy Act (CCPA)

Was ist das kalifornische CCPA?

Der CCPA gewährt kalifornischen Verbrauchern Rechte in Bezug auf ihre personenbezogenen Daten – das Recht auf Auskunft, Löschung, Berichtigung, Widerspruch gegen den Verkauf oder die Weitergabe personenbezogener Daten sowie die Einschränkung der Verwendung sensibler personenbezogener Daten. Unternehmen müssen angemessene Sicherheitsmaßnahmen umsetzen und diese Rechte einhalten.

Das CPRA hat die CPPA gegründet und beauftragt, Regeln zu erlassen. Die finalisierten Regelungen – gültig ab dem 1. Januar 2026 – verpflichten betroffene Unternehmen zur Durchführung von Risk Assessments und jährlichen Cybersecurity Audits, bei denen die 'reasonable security' anhand anerkannter Frameworks wie NIST und ISO bewertet wird, einschließlich Gap Analysis und Remediation.

Erfahren Sie, wie ImmuniWeb Ihnen hilft, 'reasonable security' nachzuweisen und CCPA-Cybersicherheitsaudits zu unterstützen – durch das Testen der Apps, die Verbraucherdaten verarbeiten. Fordern Sie eine Demo an · oder führen Sie einen kostenlosen Test der Community Edition durch.

Wer muss CCPA-konform sein?

Der CCPA gilt für gewinnorientierte Unternehmen, die einen Schwellenwert erfüllen:

  • Australische Regierungsbehörden über 25 Millionen Dollar; oder
  • Große Mengen personenbezogener Daten – der Kauf, Verkauf oder Weitergabe der PI von mehr als 100.000 Verbrauchern oder Haushalten; oder
  • Data-driven revenue – Wenn 50 % oder mehr des Jahresumsatzes aus dem Verkauf oder der Weitergabe von PI stammen. In-scope-Betriebe, die Web- und Mobile-Anwendungen betreiben, die Consumer-Daten verarbeiten, müssen diese sichern und testen.

Wichtige CCPA-Anforderungen an die Anwendungssicherheit

Zwei Aspekte bestimmen die Anwendungssicherheitsarbeit unter dem CCPA:

  • Angemessene Sicherheit: Implementieren und pflegen Sie angemessene Sicherheitsverfahren und -praktiken; Unterlassen kann nach einem Vorfall das private Klagerecht auslösen.
  • Cybersecurity Audits (ab 2026): Durchführung jährlicher, unabhängiger Cybersecurity Audits zur Bewertung der Sicherheit anhand anerkannter Frameworks, einschließlich Gap Analysis und Remediation.
  • Risikobewertungen: Bewerten und dokumentieren Sie die Risiken von Hochrisiko-Verarbeitungsaktivitäten.

Die Sicherheitsanforderungen des CCPA im Detail

Angemessene Sicherheit und das private Klagerecht

Der CCPA verlangt angemessene Sicherheitsverfahren und -praktiken, und Verbraucher können ein privates Klagerecht geltend machen, wenn ein Datenverstoß auf die failure to maintain them zurückzuführen ist. Penetrationstests und Vulnerability Scans der Anwendungen, die Consumer-Daten verarbeiten, sind praktischer Nachweis für „angemessene Sicherheit“.

CPPA-Cybersicherheits-Audit-Regelungen (2026)

Die am 1. Januar 2026 in Kraft tretenden Vorschriften der CPPA verpflichten betroffene Unternehmen zur Durchführung jährlicher Cybersicherheitsaudits, die auf anerkannten Frameworks (wie NIST und ISO) basieren, einschließlich einer Lückenanalyse und Abhilfemaßnahmen. Regelmäßige Anwendungstests liefern die Nachweise, die ein Auditor benötigt.

Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind

Die Schwachstellen, die die „angemessene Sicherheit“ untergraben, entsprechen eng den OWASP Top 10:

  • Broken Access Control — Nutzer erreichen Daten oder Aktionen, auf die sie keinen Zugriff haben sollten.
  • Kryptografische Fehler – schwache oder fehlende Verschlüsselung, die sensible Daten offenlegt.
  • Injection — SQL-, Befehls- oder andere Injections durch nicht validierte Eingaben.
  • Insecure Design — fehlende Sicherheitskontrollen durch Design, nicht nur durch Bugs.
  • Sicherheitsmiskonfiguration — Standard-, unvollständige oder unsichere Konfiguration.
  • Anfällige und veraltete Komponenten — ungepatchte Bibliotheken und Frameworks.
  • Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
  • Software- und Datenintegritätsfehler — nicht vertrauenswürdige Updates, unsichere CI/CD-Pipelines.
  • Mängel in der Sicherheitsprotokollierung und -überwachung — Angriffe, die unentdeckt bleiben.
  • Server-Side Request Forgery (SSRF) — der Server wird dazu verleitet, böswillige Anfragen zu stellen. Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Um diese Probleme zuverlässig zu erkennen, ist das Testen der laufenden Anwendung erforderlich, nicht nur eine Überprüfung der Dokumentation.

Anwendungssicherheit im Rahmen der CCPA mit ImmuniWeb

  1. Erfassen Sie Ihre Angriffsfläche.Erstellen Sie mit ImmuniWeb Discovery eine Bestandsaufnahme der internetexponierten Apps, die Verbraucherdaten verarbeiten.
  2. Testen Sie Webanwendungen mit On-Demand (Penetrationstests) und Neuron (Scanning).
  3. Testen Sie mobile Anwendungen mit MobileSuite und Neuron Mobile.
  4. Unterstützen Sie Cybersicherheits-Audits mit Berichten, die an NIST/ISO abgeglichen sind, sowie mit Gap Analysis und Remediation.
  5. Beseitigen und neu testen mit umsetzbaren Berichten ohne False Positives.
  6. Kontinuierlich überwachen mit Continuous und Discovery.

So unterstützt Sie ImmuniWeb bei der CCPA-Konformität

ImmuniWeb hilft Unternehmen, „angemessene Sicherheit“ nachzuweisen und die Nachweise zu erbringen, die das Cybersicherheits-Audit-Regelwerk des CCPA erfordert.

Anforderung Was erforderlich ist ImmuniWeb-Produkte
Angemessene Sicherheit Umsetzung und Nachweis angemessener Sicherheitspraktiken. On-Demand, Neuron, Discovery, Continuous
Cybersicherheitsaudits Benchmarken, Lückenanalyse und Behebung gemäß NIST/ISO. On-Demand, Neuron
Apps & Daten Sichere Web-/Mobile-Apps zur Verarbeitung von Verbraucherdaten. On-Demand, Neuron, MobileSuite, Neuron Mobile

ImmuniWeb On-Demand und MobileSuite bieten Web- und Mobile-Penetrationstests an; Neuron und Neuron Mobile bieten automatisierte Scans an; Continuous integriert Tests in CI/CD; und Discovery kartiert Ihre Angriffsfläche – was gemeinsam angemessene Sicherheit belegt und Cybersecurity-Audits unterstützt.

CCPA vs. internationale Frameworks

Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:

Framework Aspekt der Anwendungssicherheit Wie ImmuniWeb abbildet
CCPA Kalifornien Angemessene Sicherheit + Cybersicherheitsaudits Web/Mobile-Penetrationstests, Scanning, ASM, Auditnachweise
EU-DSGVO Artikel 32 Sicherheit der Verarbeitung Dieselben Tests decken beide ab
NIST CSF 2.0 Schutz-/Erkennungsfunktionen Applikationstests und Monitoring
ISO/IEC 27001 Anhang A technische Kontrollen Tests als Kontrollnachweis

Penetrationstests vs. Security Scanning

Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.

Compliance-Checkliste (Anwendungssicherheit)

  • Bestandsaufnahme internetexponierter Apps, die Verbraucherdaten verarbeiten
  • Webanwendungen, die nach OWASP Top 10 getestet wurden
  • Mobile Anwendungen, die gegen die OWASP Mobile Top 10 getestet wurden
  • Umsetzung und Nachweis angemessener Sicherheitspraktiken
  • Cybersicherheits-Audit-Reife gemessen an NIST/ISO
  • Mängel behoben und erneut getestet; Aufzeichnungen aufbewahrt.
  • Risikobewertungen für risikoreiche Datenverarbeitung

Warum CCPA-Compliance wichtig ist

Die CPPA und der Attorney General setzen den CCPA aktiv durch, und das private Klagerecht verknüpft Datenschutzverletzungen mit dem Versäumnis, „reasonable security“ aufrechtzuerhalten – eine häufige Grundlage für class actions. Das neue Cybersecurity-Audit-Regime legt die Messlatte noch höher.

Da Web- und mobile Anwendungen ein führender Vektor für Sicherheitsverletzungen sind, ist ihre nachweisbare Absicherung und Prüfung eine der klarsten Möglichkeiten, angemessene Sicherheit nachzuweisen und Cybersecurity-Audits auf dem größten US-Markt zu bestehen.

Häufig gestellte Fragen

  • Q
    Was ist der CCPA?
    A
    Der California Consumer Privacy Act, in der durch den CPRA geänderten Fassung, ist das führende Datenschutzgesetz eines US-Bundesstaates und wird von der CPPA sowie dem Generalstaatsanwalt durchgesetzt.
  • Q
    Wer muss die CCPA-Vorschriften einhalten?
    A
    Gewinnorientierte Unternehmen, die in Kalifornien geschäftlich tätig sind und bestimmte Schwellenwerte hinsichtlich Umsatz, Datenvolumen oder Datenumsatz erreichen.
  • Q
    Welche Sicherheitsmaßnahmen schreibt der CCPA vor?
    A
    Angemessene Sicherheitsverfahren und -praktiken; die neuen CPPA-Regeln sehen ab 2026 jährliche Cybersecurity-Audits und Risk Assessments vor.
  • Q
    Wie lauten die neuen CCPA-Regelungen für Cybersicherheitsaudits?
    A
    Die ab dem 1. Januar 2026 geltenden CPPA-Verordnungen verpflichten betroffene Unternehmen, jährliche unabhängige Cybersicherheitsaudits durchzuführen, die auf anerkannten Frameworks basieren und eine Lückenanalyse sowie Remediation umfassen.
  • Q
    Wie hilft ImmuniWeb bei der Einhaltung der CCPA?
    A
    Durch das Testen der Web- und mobilen Anwendungen, die Verbraucherdaten verarbeiten, um angemessene Sicherheit nachzuweisen und Cybersecurity Audits zu unterstützen.
  • Q
    Welche Sanktionen sieht das CCPA vor?
    A
    Zivilstrafen von bis zu 2.500 $ pro Verstoß (bzw. 7.500 $ bei vorsätzlichen Verstößen oder solchen, die Minderjährige betreffen), sowie ein privates Klagerecht bei Datenschutzverletzungen.
Bitte füllen Sie die unten rot markierten Felder aus.

Talk to a Specialist about
California Consumer Privacy Act (CCPA) Compliance

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.
Sprechen Sie mit einem Experten