Wer ist haftbar bei managed Servern?

Dieses Thema im Forum "Internet-Recht" wurde erstellt von actionhero, 9. Februar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. actionhero

    actionhero New Member

    Registriert seit:
    15. Juni 2005
    Beiträge:
    249
    Hallo,
    kurze, einfach Frage:
    Wer ist haftbar, wenn ein gemanagter Server "gehackt/missbraucht" wird?
     
  2. Voicehoster.de

    Voicehoster.de New Member

    Registriert seit:
    3. April 2005
    Beiträge:
    338
    AW: Wer ist haftbar bei managed Servern?

    Das kommt sich darauf an was der Vertrag so hergibt. Wenn vereinbart wurde, dass der Hoster sich darum kümmert und für evtl. Probleme dafür gerade steht, dann dürfte sich das von selbst erklären.

    Gruß
    S. Langen
     
  3. [netcup] Felix

    [netcup] Felix Eingetragener Provider

    Registriert seit:
    13. Juni 2005
    Beiträge:
    4.871
    Ort:
    Karlsruhe
    Firmenname:
    netcup.de
    Anbieterprofil:
    Klick
    AW: Wer ist haftbar bei managed Servern?

    Es kommt auch darauf an wie der Server gehackt wurde. Wenn der Nutzer da z.B. PHP-Scripte mit Sicherheitslücken installeirt hat ist sicherlich auch der Nutzer dafür verantwortlich.

    Gruß Felix Preuß
     
  4. Voicehoster.de

    Voicehoster.de New Member

    Registriert seit:
    3. April 2005
    Beiträge:
    338
    AW: Wer ist haftbar bei managed Servern?

    Stimmt. Hatte ich jetzt nicht dran gedacht.
     
  5. terrabyte

    terrabyte New Member

    Registriert seit:
    3. Juni 2005
    Beiträge:
    1.471
    AW: Wer ist haftbar bei managed Servern?

    Der Hacker :D
     
  6. NetDepot

    NetDepot Eingetragener Provider

    Registriert seit:
    1. Januar 2003
    Beiträge:
    605
    Firmenname:
    NetDepot Internet Se...
    Anbieterprofil:
    Klick
    AW: Wer ist haftbar bei managed Servern?

    Warum ich??? ;D
     
  7. silm4rill

    silm4rill New Member

    Registriert seit:
    9. Dezember 2004
    Beiträge:
    294
    AW: Wer ist haftbar bei managed Servern?

    Muss man nicht auch in diesem Fall eine "Fallunterscheidung" machen?

    Angenommen ich habe einen Manged Server und installiere das Forum PhpBB und dieses wird gehackt und anschließend erlangt der Hacker wohlmöglich Rootrechte. Ist in diesem Fall nicht der Hoster dafür verantwortlich?
    Ist es nicht gerade seine Aufgabe solche "Sicherheitslücken" auszumerzen?

    Bei einem php-Script, das zum Spam-Versand misbraucht wird ist das natürlich etwas anderes, schließlich kann es nicht die Aufgabe des Hosters sein, den Source-Code eines jeden Scripts anzuschauen.

    Mfg Silm4rill
     
  8. mattes

    mattes Erfahrener Benutzer

    Registriert seit:
    7. Januar 2002
    Beiträge:
    1.864
    AW: Wer ist haftbar bei managed Servern?

    Angenommen ich habe einen PKW und lege den Schlüssel aufs Dach und dieser wird geklaut und anschließend fährt der Dieb womöglich mit dem Wagen weg weg. Ist in diesem Fall nicht der Fahrzeughersteller dafür verantwortlich? Ist es nicht gerade seine Aufgabe solche "Sicherheitslücken" auszumerzen?

    meinjanur,
    Matthias
     
  9. sitepush

    sitepush Eingetragener Provider

    Registriert seit:
    10. März 2004
    Beiträge:
    1.616
    Ort:
    Landshut
    Firmenname:
    SPIEGLHOF media GmbH
    Anbieterprofil:
    Klick
    AW: Wer ist haftbar bei managed Servern?

    @mattes: Netter Vergleich ;-)

    @silm4rill: Ich möchte das Gejammer sehen, wenn ein Kunde z.B. osCommerce bis zum Erbrechen angepasst hat (kann er ja, da Open Source) und ihm der Hoster dann ein frisches Release drüber installiert, welches alle Anpassungen zunichte macht.


    Der Hoster ist verantwortlich für den Teil des Servers, auf den der Kunde keinen Zugriff hat. Was er im Webspace treibt, ist so lange alleinige Sache des Kunden (geht den Hoster auch nichts an!), wie der Serverbetrieb nicht beeinträchtigt wird. Stellt der Hoster allerdings gravierende Lücken oder Fehlfunktionen fest, die Auswirkungen auf den Server haben, wird er sicherlich den Kontakt zum Kunden suchen, damit der Mangel (in welcher Form auch immer) zügig beseitigt werden kann.

    Es ist aber sicher nicht Aufgabe des Hosters (wahrscheinlich hat er auch gar kein Recht dazu), Babysitter zu spielen und permanent zu überwachen, welche Applikationen Kunden im Webspace installiert haben, um hier dann für Updates zu sorgen.
     
  10. silm4rill

    silm4rill New Member

    Registriert seit:
    9. Dezember 2004
    Beiträge:
    294
    AW: Wer ist haftbar bei managed Servern?

    Darfst du gerne meinen, aber dann stellt sich mir irgendwann die Frage wozu noch einen Managed Server nehmen?
    Wenn der Hoster nicht in der Lage ist php ordentlich abzusichern, dann sollte er sich überlegen ob er wirklich Managed Server anbieten möchte...
    Ich Rede hier nicht von einem open relay, das durch "schlechte" Programmierung eines Script entsteht;
    vielmehr ist doch die Frage warum nehme ich einen Managed Server, wenn praktisch jedes open-source php-Skript ein potentielles Sicherheitsloch ist, das der Hoster nicht verantworten möchte?

    Meine Meinung ist, dass "man" keinen Managed Server für teures Geld mieten muss, wenn der Hoster nicht in der Lage ist den Webserver entsprechend abzusichern. Es gibt doch dutzende Möglichkeiten php ordentlich abzusichern und einem ISP würde ich sogar vorwerfen, dass er seine Sorgfaltspflicht verletzt hat, falls der Hacker root Rechte erlangt.

    Mfg Silm4rill
     
  11. Inet

    Inet Erfahrener Benutzer

    Registriert seit:
    29. Januar 2002
    Beiträge:
    3.721
    AW: Wer ist haftbar bei managed Servern?

    Und da hat Slim4rill absolut recht.
    Um beim Beispiel von Mattes zu bleiben.
    Miete ich mir einen Leihwagen und lasse den Schlüssel auf dem Autodach liegen bekomm ich natürlich Ärger wenn der Wagen geklaut wird.
    Aber wie sieht das denn aus wenn ich mir ein Taxi rufe ?
    Für mich sieht es so aus, als ob sich gerade einige Anbieter von managed Services aus der Verantwortung stehlen wollen.
    Da sollte man dochmal klar erläutern was wirklich managed ist.
    Bugfixes installieren und das war es denn ?
    Sorry aber das ist so als wenn ein Autoverleiher den Wagen abholt wenn der Hersteller einen Rückruf macht.
    Wenn ihr als managed Server Anbieter das anders seht kann ich das verstehen.
    Ist aber nicht im Sinne eines managed Servers.
    Den mieten Leute an die die Performance eines Servers brauchen, sich aber nicht mit der Materie auskennen.
    Wenn ihr das für 10 € mehr anbietet und meint das ist mit Bugfixes getan ist das in meinen Augen falsch.
    Schließlich bessert ihr nur das nach was ihr fehlerhaft ausgeliefert habt.
    Und das hat mit managed genau nichts zu tun !
     
  12. silm4rill

    silm4rill New Member

    Registriert seit:
    9. Dezember 2004
    Beiträge:
    294
    AW: Wer ist haftbar bei managed Servern?

    Danke, ich finde, dass manche Hoster die Managed Server anbieten, es sich zu leicht machen, wenn managed != nur patchen.

    100 % ACK.
    Mir ist allerdings auch schleierhaft, wie man eine managed Option für "nur" 20€ mehr pro Monat anbieten kann, denn in dieser Budgetierung bleibt natürlich nicht viel mehr Zeit als "Einloggen, apt-get update, apt-get upgrade, exit".

    Bei einem managed Server hat der ISP für die Sicherheit des Webservers gerade zu stehen. Ein managed Vertrag bedeutet doch, dass der ISP den Server administiert und aus diesen Gründen auch keine Root-Rechte an den Kunden vergibt.
    Allein diese Tatsache zeigt, dass ich als Kunde KEINE Möglichkeit habe das System "von der Wurzel" auf abzusichern.
    Und wenn wir ganz ehrlich sind, dann muss ein ISP in der Lage sein den Webserver abzusichern und Shell-User zu jailen/chrooten oder was auch immer. Das ist seine Pflicht und wenn er gegen diese verstösst, handelt er fahrlässig oder zumindest verletzt er seine Sorgfaltspflicht.
    Wozu stelle ich einen Administrator an, wenn dieser nicht für die Sicherheit des Servers sorgt? (und eine Managed Option ist doch nichts anderes als ein Administrator den ich beauftrage)

    Mfg Silm4rill
     
    Zuletzt bearbeitet: 22. Februar 2006
  13. Inet

    Inet Erfahrener Benutzer

    Registriert seit:
    29. Januar 2002
    Beiträge:
    3.721
    AW: Wer ist haftbar bei managed Servern?

    Managed heißt in meinen Augen das der Kunde die Sicherheit des Servers nicht kompromitieren kann.
    Im Standarsd Low Cost Fall.
    Kommt der Kunde mit spezifischen Wünschen wird es richtig teuer.
    Mit Recht !
    Aber nicht wenn ihr euch auf Standard Patches beruft.
    Und nichts anderes macht ihr.
     
  14. silm4rill

    silm4rill New Member

    Registriert seit:
    9. Dezember 2004
    Beiträge:
    294
    AW: Wer ist haftbar bei managed Servern?

    Die Frage ist nur ob es bzgl. dieses Themas einen Referenzentscheid gibt?

    Handelt der ISP fahrlässig? Verletzt er seine Sorgfaltspflicht(en)?
    Ist der Kunde vielleicht sogar mitverantwortlich?

    Mfg Silm4rill
     
  15. G.Röhrmann

    G.Röhrmann Eingetragener Provider

    Registriert seit:
    19. April 2005
    Beiträge:
    479
    Firmenname:
    rh-tec®
    Anbieterprofil:
    Klick
    AW: Wer ist haftbar bei managed Servern?

    also meiner Meinung nach hat bei einem Full-Managed Server der ISP die alleinige Verantwortung für die Sicherheit, für die Funktion, einfach für alles. Egal was der Kunde auf dem Server macht, es liegt in der Verantwortung des ISPs.
    Nur ist es manchmal so, das manche Kunden zwar irgendiwe ein bischen "managed" wollen und nicht wirklich managed.
     
  16. sitepush

    sitepush Eingetragener Provider

    Registriert seit:
    10. März 2004
    Beiträge:
    1.616
    Ort:
    Landshut
    Firmenname:
    SPIEGLHOF media GmbH
    Anbieterprofil:
    Klick
    AW: Wer ist haftbar bei managed Servern?

    @Marcus,

    Nein, vielleicht habe ich mich etwas missverständlich ausgedrückt.
    "Friss oder stirb" ist ganz sicher _nicht_ die Devise.

    Natürlich ist der Anbieter verantwortlich für die Serversicherheit. Wir wollen aber nicht aus den Augen verlieren, dass Sicherheitspatches meistens erst _nach_ dem Bekanntwerden einer Lücke verfügbar sind (ähnlich den Viren, Trojanern und Würmern).
    Es bleibt also immer eine Zeitspanne, in der ein wirklich guter Hacker zuschlagen könnte. Wir halten also fest: Wer 100% Sicherheit will, sollte zu keinem Zeitpunkt online gehen und sich gut zu Hause einschließen (überspitzt formuliert). Totale Sicherheit kann niemand garantieren -- insbesondere nicht im Internet.

    Wenn wir uns darüber alle bewusst sind, können wir weiter diskutieren.

    Natürlich hat der Hoster alles Erdenkliche zu tun, um es Endkunden und Hackern möglichst schwer und weitestgehend unmöglich zu machen, die Sicherheit anderer Endkunden oder die des Servers zu unterwandern. Das steht ja völlig außer Frage.

    Das heisst aber immernoch nicht, dass der Anbieter willkürlich die neuesten PHP-Applikationen über die Installationen des Kunden installieren kann. Der Anbieter kann nämlich u.U. nicht wissen, ob und inwiefern der Kunde seine Applikation modifiziert hat und welche möglichen Störungen er mit einer neuen Version deshalb hervorruft.
    Auch kommt es vor, dass neue Applikationen in bestimmten Punkten nicht mehr 100% abwärtskompatibel sind zur vorher vom Kunden installierten Version.

    Der Anbieter käme wohl in Teufels Küche, wenn er auf diese Weise die Funktion der Kundenwebseiten dauerhaft stören würde.

    Unabhängig davon ist es dem Anbieter manchmal gar nicht möglich, mit vertretbarem Aufwand festzustellen, um was für eine Applikation es sich handelt. Es gibt nämlich Kunden, die jegliche Copyright-Vermerke und Dokumentation (aus welchen Gründen auch immer) entfernen.

    Oder der Kunde entwickelt eigene Applikationen. Wie soll der Hoster hier Sicherheitslücken ausfindig machen? Selbst wenn er die Zeit hätte (und der Kunde ihn dafür bezahlen würde), den kompletten Source auf Schwachstellen zu analysieren, heisst das noch lange nicht, dass er in kurzer Zeit genauso viele Sicherheitslücken aufdeckt, wie es die User-Community einiger OpenSource-Projekte in vielen Jahren noch nicht einmal auf die Reihe bekommt.


    Nein, für das Stopfen von Sicherheitslücken in den vom Kunden installierten Applikationen ist der Webmaster verantwortlich. Der Webmaster ist der Mieter eines managed Servers (oder Reseller-Accounts oder Webspaces).
    Wenn er es versäumt, sich um Updates seiner Applikationen zu kümmern, und dadurch _seine_ Daten und _seine_ Webseiten in Gefahr sind, dann beherrscht er seinen Job nicht -- nicht der Hoster.

    Aufgabe des Hosters ist es, dafür zu sorgen, dass (mit den Einschränkungen, die ich oben genannt habe) von einem Kunden oder "Besucher" keine Gefahr für andere Kunden oder den Server ausgehen kann.

    Wenn ein Anbieter vollumfänglich für die vom Kunden installierten Applikationen verantwortlich wäre, müsste er neben exzellenten Linux-Kenntnissen auch alle Sprachen beherrschen, die dem Kunden erlaubt sind (bei CGI ziemlich viele): PHP, Perl, Python, Java, Bash, C/C++, TCL, Ruby,...

    Außerdem müsste der Kunde nicht zwei- oder dreistellige Preise für den managed Server bezahlen, sondern mindestens gut vierstellig, denn dann darf dieser eine gottgleiche Admin und Programmierer sich mindestens Fulltime nur noch um einen Server kümmern, auf dem die Hausaufgaben für manchmal hunderte Endkunden mit ihren (woher auch immer stammenden) Applikationen gemacht werden müssten.

    Und selbst dann könnte er noch nicht mit gutem Gewissen behaupten, dass jedes erdenkliche Kundenskript sicher ist.


    Ich betone nochmal: Für die Gesamtsicherheit des Server und die Vermeidung gegenseitiger Störung der Kunden untereinander hat der Hoster gewiss Sorge zu tragen.
    Die Webseiten und Skripte des Kunden sind aber Sache des Kunden. Natürlich wird der Hoster aber, wenn er zufällig oder bewusst auf Lücken in dessen Applikationen stößt, umgehend handeln müssen: Er wird mit dem Kunden einen schnellen Lösungsweg erarbeiten oder (wenn das überhaupt nicht möglich ist) vorübergehend die kritischen Seiten deaktivieren. Er wird sich aber hüten, direkt im Quellcode (wenn der überhaupt offen zugänglich ist) herumzuwerkeln, ohne explizit eine Erlaubnis vom Kunden erhalten zu haben.

    Hier ist Kommunikation angesagt zwischen dem Kunden und dem Hoster.



    @Gerd

    Wenn ein Server wirklich _full managed_ ist, stimme ich zu. Das sind 99% der Server aber nicht. Denn schon wenn der Kunde per FTP selbst Applikationen oder Webseiten hochladen kann, ist der Hoster nicht mehr in der Lage, zu jedem Zeitpunkt zu 100% mit gutem Gewissen für die Sicherheit zu garantieren.

    Meine Aussage oben bezog sich auf alle managed Server, die dem Kunden mit Administrationsoberfläche (Confixx, Plesk, cPanel usw.) überlassen werden. Ich ging davon aus, dass Marcus und silm4rill sich ebenfalls auf diese Server bezogen.
     
  17. G.Röhrmann

    G.Röhrmann Eingetragener Provider

    Registriert seit:
    19. April 2005
    Beiträge:
    479
    Firmenname:
    rh-tec®
    Anbieterprofil:
    Klick
    AW: Wer ist haftbar bei managed Servern?

    dann natürlich nicht mehr, er kann dann nur noch versuchen, die Kiste in den Griff zu halten, garantieren kann er dann aber nichts mehr zu 100 %.
     
  18. silm4rill

    silm4rill New Member

    Registriert seit:
    9. Dezember 2004
    Beiträge:
    294
    AW: Wer ist haftbar bei managed Servern?

    Ich widerspreche deiner Aussage insofern,
    dass dass ein Managed Server mehr abzusichern ist als
    eine Debian 08/15-Installation mit Plesk.

    Der Grund warum ich einen Managed Server miete ist,
    dass ich mich in keinster Weise um die Sicherheit des Systems kümmern möchte. Dass meine Scripts/Programmierungen sicher sein sollten steht fest,
    allerdings haben ISPs die Möglichkeiten Server professionell abzusichern
    - zumindest professioneller als jeder Hobby-Admin.

    Es gibt natürlich absolute "Cracks", die so gut wie jedes System kompromittieren können, aber wieviele sind das und warum sollten die an einer vermeintlich "kleinen" Seite Interesse haben.
    Der ISP bewegt sich in meinen Augen auf sehr dünnem Eis, wenn er meint, dass managed = patchen.
    Patchen ist ein Teil, aber der viel wichtigere ist die Abschottung des Systems.
    Sowohl nach Innen (jail/chroot etc.) als auch nach Außen obliegt das dem Administrator und das ist schlichtweg der ISP bei einem managed Server.

    Ich rede hier keineswegs von 100% Sicherheit - die gibt es nicht -,
    allerdings sollte sich ein ISP wirklich überlegen ob er Managed Server anbieten möchte, wenn er diese nicht professionell absichern kann.

    Auch hier geht es doch nicht um ein individuelles System, sondern darum, dass der ISP einmal ein System zusammensetzt und dieses patched, weiterentwickelt und optimiert. Natürlich ist das ein großer Aufwand, aber deshalb bezahle ich als Kunde auch für einen Managed Server. (Ich gehe hier nicht von einer managed Option für +20€ p/m aus, auch wenn der ISP dann schreiben sollte, dass er "nur" patched)

    Mfg Silm4rill
     
    Zuletzt bearbeitet: 23. Februar 2006
  19. G.Röhrmann

    G.Röhrmann Eingetragener Provider

    Registriert seit:
    19. April 2005
    Beiträge:
    479
    Firmenname:
    rh-tec®
    Anbieterprofil:
    Klick
    AW: Wer ist haftbar bei managed Servern?

    @sitepush

    ansonsten stimme ich deiner Ausführung in vollem Umfang zu. Nur der Begriff "Managed" ist leider ein sehr schwammiger Begriff. Jeder versteht darunter etwas anderes.
     
  20. A-N

    A-N Erfahrener Benutzer

    Registriert seit:
    13. September 2004
    Beiträge:
    1.669
    AW: Wer ist haftbar bei managed Servern?

    Komisch? :)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen