Dass der Betrieb einer eigenen Webseite mit einer großen Verantwortung verbunden ist, realisieren viele Kunden leider erst, wenn das Kind bereits in den Brunnen gefallen ist. Denn unsichere Software auf dem angemieteten Speicherplatz im Internet wirkt sich oft auch auf andere Nutzer eines Servers aus und zwingt uns als Provider zum schnellen und konsequenten Handeln im Sinne aller Kunden. Auch wenn Angreifer nicht über die Grenzen des Paketes hinweg springen können, gilt es aktiv Schadensbegrenzung gegenüber Dritten zu betreiben. Es muss die Reichweite und die Folgen einer Kompromittierung ermittelt werden, um mögliche Folgeschäden für den Server, unsere Infrastruktur und Dritte zu minimieren.

Was können für Schäden durch veraltete Software auftreten?

Folgeschäden können sein:
- Massenhafter Versand von Spam-eMails, der dazu führt das unsere Server, beziehungsweise deren IP-Adressen, kurzfristig auf Blacklisten geführt werden, was dazu führt das auch "normale" Mails von anderen Kunden abgewiesen werden.
- Verbreitung von Schadcode, illegalen Inhalten oder Nutzung als Phishing-Seite. (was im schlimmsten Fall bis zur Beschlagnahmung der Hardware im Rechenzentrum führen kann!)
- Einsatz unserer Server für Angriffe auf andere Netze oder einzelne Webseiten (z.B. DDOS) mit dem Ziel der Überlastung.

Welche Sicherheitslücken entstehen durch veraltete Software?

Die Einfallstore hierfür sind vielfältig, müssen sich aber nicht zwangsläufig auf die installierte Software eines Webspace beziehen. Zwar werden hierbei inzwischen vollautomatische Scripte eingesetzt, die bekannte Sicherheitslücken in weit verbreiteten Systemen wie Joomla, Wordpress, PHPBB2 usw. austesten und wenn möglich infizieren. Doch erweisen sich unsichere Betriebssysteme der Kunden als mindestens ebenso ertragreich in der Hacker- und Malware-Ausbeute. Immerhin lassen sich fast alle Zugangsdaten ebenso komfortabel über einen Trojaner abfangen, wenn das System infiziert ist. Oft werden so auch als Nebenprodukt im Zusammenhang mit der Jagd nach Daten weitere Informationen für das Onlinebanking oder der Nutzung von Kreditkarten illegal von Dritten ermittelt.

Was für Folgen hat das für den Provider?

Die Verantwortung für verwendete Scripte und deren Aktualität liegt auf Seiten des Kunden und kann unsererseits nicht umfassend kontrolliert werden. Doch sind wir z. B. nach § 10 TMG verpflichtet schnell zu handeln, sobald wir Kenntnis von Einfallstoren auf Kundenseite erhalten, um die oben genannten Schäden möglichst gering zu halten und um Dritte vor deren Auswirkungen zu schützen.
Die erforderliche Maßnahme kann im einfachsten Fall in einer vorübergehenden Sperre des betreffenden Paketes, Änderung der Zugangsdaten und Information des Kunden liegen. Doch manchmal kommt es vor, dass komplexe Angriffe größere Kreise ziehen und über den normalen Support für solche Fälle hinausgehen. Zum Beispiel durch langwierige und umfangreiche Kommunikation, um durch Spam gesperrte IP-Adressbereiche von Blacklisten zu entfernen, oder wenn Techniker im Rechenzentrum aktiv werden müssen. Natürlich ist es dabei unser Bestreben die dadurch anfallenden Kosten für den Kunden möglichst gering zu halten und vieles wird aus Kulanz schlicht nicht in Rechnung gestellt. Aber es gibt ebenso Fälle in denen sich solche Vorkommnisse bei einzelnen Kunden häufen, in denen es auch langfristig nicht möglich erscheint auch nur kostendeckend zu arbeiten. In solchen Einzelfällen behalten wir uns vor, den wirklich entstandenen Aufwand zu berechnen, oder wenn weitere Wiederholungen auftreten oder im Fall eines außergewöhnlich schweren Verstoßes, dass Vertragsverhältnis fristlos zu kündigen. Wie gesagt sehen wir dies aber wirklich nur als letzte Option welche sehr selten zum Einsatz kommt.

Was haben Sie als Kunde zu tun?

Damit es also überhaupt nicht erst so weit kommt, gibt es einige äußerst wirkungsvolle Mittel, um ungebetenen Gästen ihre unlauteren Absichten extrem zu erschweren. Diese lassen sich sehr leicht umsetzen und verlangen nur ein überschaubares Minimum an Einsatz und Hintergrundwissen.  Insbesondere regelmäßige Updates und Prüfungen des Accounts gehören zu den vertraglichen Mitwirkungspflichten des Kunden, der allein Hosting-Leistungen bezieht. Werden diese Verpflichtungen verletzt, können wir die anfallenden Kosten ersetzt verlangen. Um Ihnen die Prüfung zu erleichtern, hier eine Checkliste mit Beispielen für die wichtigsten Prüfungen:

Checkliste

- Kontrollieren Sie regelmäßig die Verwendung von aktuellen Versionen der von Ihnen verwendeten Software (inklusive des Betriebssystems ihres heimischen Rechners).
- Installieren Sie nur vertrauenswürdige Programme, deren Quellen sie als sicher einschätzen können.
- Achten Sie auf ausreichend lange und komplexe Passwörter, in denen neben Klein- und Großbuchstaben, möglichst auch Zahlen und Sonderzeichen vorkommen.
- Nutzen Sie ein Passwort niemals für mehrere Dienste, um die Auswirkungen eines Hacks auf einen möglichst kleinen Bereich zu minimieren.
- Entfernen Sie alle nicht benötigten Erweiterungen, um die Angriffsfläche zu minimieren: Scripte (bzw. Plugins, Module oder AddOns), die nicht installiert sind, können auch nicht altern und damit zu einer potenziellen Zielscheibe werden.

Hilfen und Quellen zum Thema:

Lesen Sie die von uns bereitgestellten Newsletter und informieren Sie sich nach Möglichkeit auch auf anderen unabhängigen Quellen.
http://www.heise.de/newsletter/manage/heisec-summary
http://secunia.com/advisories/historic/
http://secunia.com/community/advisories/search/ (Bei der Suche den Namen Ihrer verwendeten Software eingeben)