huschi.net

ID #1255 Was bedeutet "Haftung" als Server-Betreiber?

Vielen Server-Betreibern (egal ob Rootserver oder Vserver, egal ob Linux oder Windows) ist die eigene Haftung nicht ganz Klar. Zum Teil wird der Server als "Spielzeug" und "zum Lernen" angesehen.
Welche Gefahren der neue "Möchtegern-Admin" eingeht will ich hier kurz aufzeichnen.

Haftung

Zu Beginn erstmal ein paar gesammelte Zitate aus den AGB großer deutscher Server-Hoster:

  • Wir übernehmen keine Haftung für Schäden oder Folgeschäden.
  • Die Firma XYZ übernimmt keine Haftung für Schäden oder Folgeschäden.
  • Der Kunde stellt den Provider von der Haftung durch eventuell auftretende Sicherheitslücken frei.
  • Für unsachgemäße Handhabung des Servers haftet ausschließlich der Kunde.
  • Der Kunde hat für die Sicherheit seines Servers Sorge zu tragen.
  • Ansprüche Dritter durch fehlerhafte Konfigurationen sind vom Kunden zu erfüllen.

Damit sind wir zumindest schon mal in einem Punkt einig: Der Server-Betreiber haftet! Nicht der Hoster.
Die Frage bleibt lediglich: "Wofür?"
Zum Beispiel:

  • Für offene Mailserver (sog. Open-Relays), die für den Versand von Spammails missbraucht werden.
  • Für Server die für die Verbreitung von Malware oder illegalen Dateien (geschützte Musikstücke z.B.) missbraucht werden.
  • Für jedwede Folgeschäden die aus mangelhafter Absicherung des Servers für Dritten entstehen können.
  • u.a.

Die größte Frage nach dieser Liste ist wohl: "Welcher Schaden soll denn anderen dadurch entstehen?"
Fangen wir beim entstehenden Traffic an. Viele Hosting-Verträge sehen ein Traffic-Limit pro Monat vor. Sobald der Traffic diesen Wert überschreitet, bittet der Hoster den Server-Betreiber zur Kasse.
Zum anderen kommt ggf. auch noch Übertraffic auf anderen Servern dazu, die von diesem einen Server ausgelöst worden sind.
Bei einer Sperrung des Servers wegen Missbrauch erheben viele Hoster noch zusätzliche Bearbeitungsgebühren.

Beispiel

Das sind erstmal jeweils geringe Kosten mag der Eine oder Andere sagen. Aber nun mal ein paar Beispiele aus der Praxis:

Voraussetzung: Ein Newbie (Vorurteilslos für "neuer Server-Admin ohne viel Ahnung") betreibt einen (V)Server. Ohne gute Kenntnisse hat er ein Webblog installiert und noch eine kleine Community-Software für seine Freunde.
Und weil alles so leicht war, vermietet er noch etwas Platz für einen kleinen Webshop der Nachbarin. Da in den AGB's des Hosters "99%ige Erreichbarkeit" garantiert werden, hat er diese Klausel auch für sein Webhosting übernommen.

Nun zu den Übelkeiten:
Unter der Nase des gutgläubigen Admin wurde über eine Sicherheitslücke im Weblog-Script ein Spam-Script eingeschleust und per Cross-Site-Scripting (XSS) konnte von einem Hacker ein IRC-Bouncer installiert werden.

Welche Kosten kommt plötzlich auf unseren unbescholtenen Newbie zu?

  • Der Server ist vom Hoster gesperrt worden, weil zu viele Klagen darüber eingingen.
    Zum Freischalten ist eine Rechnung von 20 EUR fällig.
  • Da der Server nach der Freischaltung immer noch kompromittiert ist und weitere Klagen beim Hoster eingereicht werden, wird er zwangsweise neu installiert.
    Dabei geht die gesamte Datenbank (weil kein Backup vorhanden ist) über den Jordan.
  • Da der Webshop der Nachbarin aber recht gut lief hat der Server-Ausfall ein Einkommensverlust von geschätzten 300 EUR verursacht.
    Bei Geld hört bekanntlich jede Freundschaft auf und der Verlust der Kundendaten kann ebenfalls nicht einfach so hingenommen werden.
  • Ein benachbarter Server-Besitzer ist ebenfalls schon sauer weil seine Leitung nicht mehr soviel durchlässt und ist auf der Suche nach einem Schuldigen.
  • Der IRC-Bot hat einen Angriff auf 3 wichtige Server einer großen Versicherungsgesellschaft gefahren.
    Diese hat bereits einen Anwalt eingeschaltet und verrechnet teure Ausfalls- und Administrationskosten.

Dazu kommen noch verschiedene unangenehme Nebensächlichkeiten wie z.B.:

  1. Man ist nicht selber fähig das Problem zu lösen.
  2. Auch im Falle eines Backups, spielt man meistens nach einer Neuinstallation das Einfallsloch erneut ein. Evtl. sogar die bereits installierten Bouncer/Spam-Scripte.
  3. Der Server erscheint auf Real-Black-List-Seiten und wird nun von vielen Mail-Servern geblockt.
  4. ...

Warum wollen dann also so viele Newbies einen eigenen Server?

Als Antwort kommen meist folgende Argumente:

  1. "Wir sind ein Clan und wollen zocken, ein Forum, nen TeamSpeak-Server und eine eigene Website!"
    Dann sucht ein klein wenig weiter und Ihr werdet spezielle Game-Server-Anbieter finden die genau solche Pakete gefahrenlos anbieten.
  2. "Ich brauch mehr Speicherplatz und will die Software installieren, die ich will!"
    Speicherplatz kostet doch heute nichts mehr und ist auch bei allen Hosting-Provider kein wesentlicher Mehrwert mehr.
    Und bzgl. der Software lassen gerade kleinere Hosting-Firmen gut mit sich reden.
  3. "Ich will *NIX lernen, kann aber meinen Computer nicht dafür verwenden."
    Grundsätzlich Ehrenhaft, aber der falsche Weg!
    Linux läßt sich sehr gut zuhause testen und lernen. Sei es als Live-CD oder in einer VMware.

Welche Software ist denn betroffen?

Häufig ist es sogar die Mainstream-Software: Wordpress, Joomla (bzw. Maboo; hierbei sind es vor allem die Extensions), Typo3 (auch hier: Vorsicht mit alten Extensions), phpMyAdmin, phpMyFAQ.

Aber auch selbst geschriebene Scripte sind häufig Einfallstore auf den Mailserver. Hier fehlt häufig die Vorstellung des Programmierers, daß jemand bewusst falsche Eingaben im Formular machen könnte.

Die Folgen sind meist Ärgerlich:
Sperrung des Servers, Kostenübernahme und evtl. taucht die eigene IP plötzlich auf Realtime-Blacklist auf.

Abschlusswort

Und zum Schluss hier nochmals die Erinnerung:
Genau aus den o.g. Gründen sind die hier veröffentlichten Howto's, Antworten und Tipps alle für Linux/Unix-Kenner geschrieben und nicht für Newbies.

 

sozial Bookmarking
Bookmarken bei YIGG Bookmarken bei Mister-Wong Bookmarken bei Icio Bookmarken bei del.icio.us Bookmarken bei Technorati Bookmarken bei Furl Bookmarken bei Spurl Bookmarken bei Yahoo Bookmarken bei Google

vom 2007-08-28 20:36, zuletzt 2008-01-17 08:32     Artikel ausdrucken Artikel weiterempfehlen Als PDF-Datei anzeigen

Dieser Inhalt ist unter der Creative-Commons Lizenz lizensiert.

Probleme bitte im Server-Support-Forum diskutieren.

überflüssig 1 2 3 4 5 wertvoll  
Durchschnittliche Bewertung:   4.8 von 5 (10 Bewertungen)

Artikel kommentieren

Kommentar von marcel (2008-02-20 11:28:18):
Guter Artikel aber etwas überzogen!
Wir sind mit unserem Clan bei einem CSS-Hoster und recht zufrieden.