Mit Hoster unzufrieden - Was tun?

F

FrankSoer

New Member
Hallo,
ich bin vor einem Monat auf einen eigenen Managed V-Server bei einem neuen Hoster gezogen.

Die Geschwindigkeit ist top, der Support auch relativ gut (allerdings nicht telefonisch nur über Ticket).
Das Problem:

Meine Domains sind jetzt innerhalb der letzten 3 Wochen an 2 Tagen etwa jeweils eine Stunde offline gewesen, heute morgen das 3.te mal für eine Stunde.

Auf einer der Domains läuft ein Online Shop, der natürlich nie offline gehen darf.

Was soll ich jetzt tun? Hoster wechseln? Bei meinem derzeitigen Hoster Bedinungen stellen, oder gar Schadenersatz fordern?
Was soll ich machen?

Danke!
 
FrankSoer said:
oder gar Schadenersatz fordern?
Was soll ich machen?
Click to expand...
Hast du denn eine zugesicherte Verfügbarkeit bei dem Hoster? Ohne ein garantiertes Service-Level dürfte es schwierig sein Forderungen zu stellen.

Dass ein Server hin und wieder mal einen Service braucht, der einen Reboot erfordert, sollte klar sein. Wenn du nur einen Server hast, ist das logischerweise mit einer Downtime verbunden. Wenn das nicht sein darf, musst du mehr Technik auffahren.

Hast du denn den Hoster mal kontaktiert, wieso dein Server für jeweils so lange offline war? Eine Stunde ist ja schon nicht ganz wenig.
Zu verstehen, wieso diese Downtime zustande gekommen ist, sollte die Basis für Überlegungen sein, wie du darauf reagierst.
 
Aus diesen vier Dingen kannst Du maximal nur zwei auf einmal haben:
* Ein (v)Server
* 0 Downtime
* Onlineshop
* Weitere Websites

Eine halbwegs brauchbare Kombination sieht in etwa so aus:
* 2+n dedzierte Server (keine vServer)
* Failover für geringstmögliche Downtime
* Onlineshop dediziert und redundant auf den Systemen
* Regelmässig geprobtes Backup und Desasterrecovery
* Regelmässiges vollständiges Audit des Systems
* Professioneller und vertrauenswürdiger Admin
* Datenschutzbeauftragter

Ein Onlineshop teilt sich grundsätzlich nicht das System mit weiteren Websites.
 
Joe User said:
* 2+n dedzierte Server (keine vServer)
Click to expand...
Mit virtuellen Servern hast du m.M.n. eine geringere Downtime als mit echter Hardware. So ein virtueller Server lässt sich (so machen wir das) mit zero Downtime von einem Host auf den anderen verschieben, wenn da mal auf dem Host Wartungsarbeiten stattfinden müssen.
Für geplante Wartungen innerhalb der VM kannst du dann meinetwegen die IP auf das andere System routen oder DNS-Zonen ändern oder... oder...
Auch das mit praktisch keiner spürbaren Downtime für den Besucher.

Wie dieser virtuelle Server realisiert wird, ist eine andere Sache - den Shop selbst würde ich aber nicht direkt auf der nackten Hardware betreiben sondern tatsächlich in der virtuellen Umgebung.
Damit kannst du dir am Ende des Tages auch mal einen Klon der gesamten VM ziehen und mal ein Update durchtesten.
 
Okay erst einmal danke für die Antworten.

Es ist kein großer Shop mit zig tausend Besuchern am Tag, sondern ein kleiner Oxid eShop.
Der lief zuvor, vollkommen problemlos auf einem normalen Hosting Paket einer der großen Hoster. Das einzige Problem damit war die Performance.

Das derzeitige System ist ein hardwarevirtualisierter KVM Server. Für den ersten Ausfall bekam ich überhaupt keine richtige Erklärung. Der zweite Ausfall wurde mit einem "Filesystem Fehler das System war im Read-Only mode gemountet" begründet.
Auf die Begründung für den letzten Ausfall warte ich noch.


Mit Aussagen wie "Ein Onlineshop teilt sich grundsätzlich nicht das System mit weiteren Websites." kann ich leider generell nichts anfangen. Da jegliche Erklärung fehlt.
Viele Hoster bieten sogar Shop Pakete für kleine Shops an, die sich mit Sicherheit auch virtualisiert sind und sich die Ressourcen teilen.

Mir ist schon klar, dass ein Server auch gewartet werden muss. Aber ich gehe doch mal davon aus, dass seriöse Anbieter feste Wartungsintervalle haben und diese im Voraus ankündigen. So kenne ich das zumindest, zudem sind wir das dann meistens Nachts oder früh morgens durchgeführt.

Es gibt ein "Service & Availabilty Agreement" aber das ist wohl nur Standard, 99,9% Verfügbarkeit, also sind 0,1% Ausfall im Jahr 8,76 Stunden. Davon sind jetzt schon mindestens 3 Stunden aufgebraucht (allerdings innerhalb von 3,5 Wochen).

Ich war schon bei vielen Hostern und hatte mit den Shared Paketen wirklich nie Probleme. Kann es sein, dass Managed Server unzuverlässiger sind ein als ein kleines 10 Euro Hosting Paket vom "Massen Hoster"?
 
Last edited by a moderator:
Solange wir hier über schützenswerte Fremddaten, wie sie nunmal zwangsweise bei jedem Onlineshop anfallen, sprechen, kommen vServer schon technisch nicht in Frage, da sich keine einzige Virtualisierungslösung gegen einen unbemerkten Hostzugriff absichern lässt. Da freut sich jeder Datenschützer, jeder Zahlungsdienstleister, ebenso wie auch jeder Versicherer.

Das nahezu gleiche Problem besteht bei dem Vorhandensein dritter Webseiten auf dem gleichen System des Onlineshops.

Nur weil irgendetwas technisch machbar ist, ist es noch lange nicht sinnvoll oder gar erlaubt/legal.



Wenn überhaupt VM, dann auf eigener dedizierter Hardware und exklusiv für den Onlineshop.



Die grösse des Onlineshops spielt dabei absolut keine Rolle, die erforderlichen Betriebskosten muss man wie alle anderen Betriebsausgaben und Betriebsrisiken in seine VK einkalkulieren. BWL Grundlagenwissen...
 
da sich keine einzige Virtualisierungslösung gegen einen unbemerkten Hostzugriff absichern lässt. Da freut sich jeder Datenschützer, jeder Zahlungsdienstleister, ebenso wie auch jeder Versicherer.
Click to expand...
Sofern der Host des Anbieters PCI-compliant ist, kann es sogar ein Websapce sein (*) - zumindest sehe ich nichts direkt in den Dokumenten der PCI welche dies verbieten würde. Versicherer usw stützen sich mehr oder weniger nur auf die PCI-Anforderungen da diese als "ausreichend" erachtet wird. Davon abgesehen dass die meisten Onlineshops Paypal akzeptieren ohne PCI-compliant zu sein muss es definititv kein eigenes Blech für A-EP zertifierte Webseiten sein (also Webseiten die auf Zahlungsdienstleister umleiten).
Es gibt zum Thema Virtualisierung sogar ein paar Fragen im "self-assessment" Fragebogen.

(*) Ich kenne aber keinen Anbieter welche pauschal seine Webspaces PCI-compliant zertifiert oder überhaupt überprüft oder auditen lässt.

Der zweite Ausfall wurde mit einem "Filesystem Fehler das System war im Read-Only mode gemountet" begründet.
Click to expand...
Ohne Details zu kennen lässt das generell Korruption von entweder dem echten oder dem virtuellen Dateisystem (oder beiden) vermuten. Aus der Antwort des Anbieters schliesse ich auf "reboot... geht doch". Eventuell solltest du dich (dringend) nach einem anderen Anbieter umsehen.


Mir ist schon klar, dass ein Server auch gewartet werden muss. Aber ich gehe doch mal davon aus, dass seriöse Anbieter feste Wartungsintervalle haben und diese im Voraus ankündigen. So kenne ich das zumindest, zudem sind wir das dann meistens Nachts oder früh morgens durchgeführt.
Click to expand...
Generell ist das industrieüblich, ja.

Kann es sein, dass Managed Server unzuverlässiger sind ein als ein kleines 10 Euro Hosting Paket vom "Massen Hoster"?
Click to expand...
Es sollte nicht sein, aber je nach Qualität des Anbieters und Produktes kann es natürlich schnell passieren. Meist sind kleine Anbieter besser als "von der Stange", aber es gibt natürlich immer Ausreisser in die andere Richtung.
 
Paypal, Visa, Mastercard, etc. ist es im Schadensfall egal ob das System PCI-Compliant war, sie werden Dich in Regress nehmen wenn der Shop nicht dediziert lief. Ebenso sieht es bei nahezu allen Versicherungen aus.
Der Grund ist simpel und richtig: Es wurde vorsätzlich gegen den Datenschutz verstossen, denn ein unberechtigter Zugriff unbekannter Dritter wurde nicht nach bestem Wissen und Stand der Technik zu verhindern versucht. Im Gegenteil, es wurden vorsätzlich einfachste Zugriffsmöglichkeiten für unbekannte Dritte bereitgestellt.

Da wird es schnell sehr teuer und rechtlich verdammt eng.



PCI-Compliant ist genauso viel wert wie TÜV-Zertifiziert, nämlich absolut gar nichts. Denn Beide prüfen maximal bestimmte Abläufe, aber weder Security noch Datenschutz.
Da ist jedes von mir ausgestellte Zertifikat aussagekräftiger...
 
Wie bitteschön sollen die Daten von einem Paypal Account gestohlen werden, nur weil der Shop nicht auf dedizierter Hardware lief?? Die Authentifizierung geschieht in JEDEM Fall ausschliesslich über die Paypal-Webseite.
 
Paypal, Visa, Mastercard, etc. ist es im Schadensfall egal ob das System PCI-Compliant war, sie werden Dich in Regress nehmen wenn der Shop nicht dediziert lief.
Click to expand...
Visa und Mastercard interessiert es in aller Regel nicht sonderlich viel was ich tue, hier kommt es eher auf den Payment processor an. In der Annahme dass das hypotetische System 100% PCI-compliant ist und auch alle weiteren Anforderungen eingehalten wurden sehe ich keine direkte Handhabe des Processors gegen den Anbieter. Da aber die Compliance in Umfang, Komplexität und Methoden so komplex ist, sollte so ziemlich kein System alle Anforderungen jederzeit vollumfänglich erfüllen und der Anbieter ist trotzdem dran.

PCI-Compliant ist genauso viel wert wie TÜV-Zertifiziert, nämlich absolut gar nichts. Denn Beide prüfen maximal bestimmte Abläufe, aber weder Security noch Datenschutz
Click to expand...
Security - sofern man einen schnöden Nessus-Scan auf den Host das nennen kann - ist über entsprechende PCI Vendor-Scan ASV und Verpflichtung des Zertifierten von Audits und pentesting durch Dritte in recht großem Umfang vorgeschrieben. Datenschutz (oder, dank Verpflichtung Systemlogs mindestens 1 Jahr vor zu halten, eher dessen Abwesenheit) wird ebenfalls vorgeschrieben aber nicht durch den Payment processor überprüft.

Im Gegenteil, es wurden vorsätzlich einfachste Zugriffsmöglichkeiten für unbekannte Dritte bereitgestellt.
Click to expand...
Ich wage mal zu behaupten dass social engineering von RZ-Mitarbeiter oder Administratoren generell DEUTLICH einfacher ist als auf gepatchten Systemen aus einem Jail aus zu brechen.

Die Authentifizierung geschieht in JEDEM Fall ausschliesslich über die Paypal-Webseite.
Click to expand...
Seit PCI DSS 3.0 gibt es eine böse Geschichte namens SAQ A-EP. In Kurz: hierunter fällt jede Webseite die direkt auf einen Payment processor UMLEITET und selber KEINE Daten zur Kreditkarte vorhält. Voraussetzung sind quartalsweise Security-Scans sowie recht umfangreiche Fragebogen welche man als korrekt und wahr "unterschreiben" muss. Hintergrund ist dass eine gehackte Seite auf eine Pishing-Seite umleiten könnte und somit der Benutzer durch Vertrauen in deinen Shop gestraft wird.

Paypal selber versteckt PCI-Anforderungen auf ihren Webseiten komplett und gibt nur sehr schwammige Auskunft so dass ich noch immer nicht sicher bin ob alle deren Checkout-Optionen PCI-Compliance erfordern. Ich hab es irgendwann aufgegeben nach zu forschen - die Compliance müssen wir ja so oder so in der Firma einhalten...
 
@Joe User, beantworte doch bitte einfach die Frage. Ein Händler bekommt von PayPal AUSSCHLIESSLICH die Mail-Adresse, kein Passwort, keine Kreditkarte, kein XYZ.

Das Ganze hat übrigens nicht mit meiner Staatszugehörigkeit zu tun.
 
d4f said:
Ich wage mal zu behaupten dass social engineering von RZ-Mitarbeiter oder Administratoren generell DEUTLICH einfacher ist als auf gepatchten Systemen aus einem Jail aus zu brechen.
Click to expand...
Allein die in diesem Jahr veröffentlichten Sicherheitslücken in den diversen Virtualisierungslösungen sprechen eine ganz andere Sprache und die waren nur die Spitze des Eisbergs. Ich kenne noch mindestens sieben unveröffentlichte Scheunentore in drei derzeit populären Virtualisierungslösungen. Andere kennen deutlich mehr.

Von den Möglichkeiten per SMM, DMA und anderen Features fange ich gar nicht erst an. Ein einfacher Weg per SMM wurde gerade erst medienwirksam demonstriert, da gibt es aber noch dutzende weitere Wege. Und das Beste daran ist, dass sich nur wenige davon fixen lassen (durch neu zu entwickelnde Hardware).

So, genug davon, das wird Off-Topic.



Shared-Hosting ist sicherheitstechnisch vertrauenswürdiger als ein vServer.
Für Onlineshops ist und bleibt aber Beides ungeeignet.


In wieviele Systeme nach PCI-DSS 3 wurde dieses Jahr eingebrochen? Ich habe das Zählen aufgegeben...
Ist also sehr viel wert dieses Zertifikat.
 
Joe User said:
...
Shared-Hosting ist sicherheitstechnisch vertrauenswürdiger als ein vServer.
Für Onlineshops ist und bleibt aber Beides ungeeignet.
...
Click to expand...

Hinsichtlich der Ausfallsicherheit dachte ich zumindest bis jetzt, dass eine Virtualisierungslösung mehr Zuverlässigkeit böte als ein dediziertes System. Hinsichtlich der Sicherheit, wusste ich nicht dass ein vServer "unsicher" ist.

Was wäre denn dann die beste Alternative für einen kleinen Shop die kein Vermögen kostet?
 
Last edited by a moderator:
Die einfachste und bequemste Lösung wäre wohl beim Zahlungsdienstleister deines Vertrauens nach zu fragen welche Anforderungen -insbesondere PCI-Compliance- diese für deine gewählte Zahlungsart haben. Solange diese erfüllt ist solltest du, rein faktuell betrachtet, die Lösung deiner Wahl (inkl. Webspace) verwenden können. Problematisch bei Webspace könnten noch ein paar Datenschutzparagraphen/Sicherheitsanforderungen werden da du hier bspw keine direkte Einwirkung auf die Logdateien und Auditing hast.

Hinsichtlich der Ausfallsicherheit dachte ich zumindest bis jetzt, dass eine Virtualisierungslösung mehr Zuverlässigkeit böte als ein dediziertes System.
Click to expand...
Das ist wahr in der Annahme dass das dedizierte System Massenware (generell Desktop-Komponenten ohne Redundanz) ist und die Vserver-Hosts entsprechend hochwertigere Komponenten enthalten. Allerdings bezieht sich Joe User hier nicht auf Ausfallsicherheit (Reliability) sondern Datensicherheit (Security) in der Annahme dass der physikalische Schutz bei beiden identisch ist.
 
Vielen Dank für die Antwort.

Der Shop beinhaltet keine direkte Kreditkarten Zahlung, sondern nur via PayPal & PayPal Express. In beiden Fällen wird der Kunde mit dem PayPal API auf deren Server umgeleitet. Die Informationen werden also nie auf meinem Server gespeichert oder zwischengespeichert.

Die zweite Zahlungsart ist SOFORÜberweisung. Ähnlich wie bei PayPal wird der Kunde über das API auf deren Server umgeleitet, die Daten werden nicht auf meinem Server gespeichert.

Eine spezielle PCI-Compliance fordern beide Zahlungsanbieter AFAIK nicht, lediglich muss die Umleitung von einer TLS verschlüsselten Seite ausgehen.
 
Joe User said:
Nur weil irgendetwas technisch machbar ist, ist es noch lange nicht sinnvoll oder gar erlaubt/legal.
Click to expand...

Würden Deine Bewertungsmaßstäbe im Markt Anwendung finden, sollte es diese Angebote wohl nicht geben, oder?
https://www.hosteurope.de/Online-Shop/

Selbst die Angebote bis 199 EUR pro Monat scheinen rein virtualisiert zu sein.
https://www.hosteurope.de/ShopServer/

Welcher Anbieter in Deutschland bietet Shopserver in einer standardisierten Form für Händler an, die sich nicht selbst die Magentosicherheitslücken am WE wegpatchen wollen. In der Software selber sehe ich ja derzeit noch die größten Datenabflüsse. Welche Ecommercesoftware hat denn eine gute Reputation bezüglich Pflege und Sicherheitsupdates? Ich habe den Markt jahrelang nicht mehr verfolgt. Sehe nur bei Heise die Sicherheitslückenmeldungen und die Problematik, dass bei vielen Shops scheinbar oft so viel in der Software customized ist, dass ein Update direkt zur Einstellung des Betriebes führt.

In wie weit sich überhaupt der Betrieb eines Onlineshops in Komfortzonen der Ecommerceanbieter in Deutschland lohnt, sei mal unkommentiert gelassen.
Wer sich mit dem Gedanken trägt, im Bereich Ecommerce aktiv zu werden, dem sei http://www.kassenzone.de/ empfohlen. Neben Amazon, Zalando und Co., kommen da in Interviews auch kleine Händler zu Wort. Wenig Hype, dafür oft nüchterne Analysen.

Mich würde interessieren, welche Software der Threadersteller zur Realisierung des Shops nutzt.
 
FrankSoer said:
Hinsichtlich der Ausfallsicherheit dachte ich zumindest bis jetzt, dass eine Virtualisierungslösung mehr Zuverlässigkeit böte als ein dediziertes System. Hinsichtlich der Sicherheit, wusste ich nicht dass ein vServer "unsicher" ist.

Was wäre denn dann die beste Alternative für einen kleinen Shop die kein Vermögen kostet?
Click to expand...
Eine Virtualisierungslösung ist genau so zuverlässig, wie die darunter liegende Hardware und das dazugehörige Betriebskonzept. Sämtliche Shared-Hosting-Systeme sind für eCommerce-Lösung sehr kritisch zu betrachten. Warum?

Mindeststandards für IT-Sicherheit werden quasi durch das BSI definiert und festgelegt und stellen damit Maßstab für Versicherungen und Gerichte dar. eCommerce-Anwendungen sind in aller Regel Anwendungen mit hohem Schutzbedarf. Daher sind die Anforderungen besonders streng auszulegen.

Ich zitiere mal aus einem Eckpunktepapier des BSI "Mindestanforderungen
zur Informationssicherheit bei eCommerce-Anbietern":

[...]Weiterhin sollten Applikationen und Netzdienste, die zum Betrieb des IT-Systems nicht erforderlich sind, ebenfalls deaktiviert oder deinstalliert werden.[...]
Click to expand...
Mit "IT-System" ist immer das Gesamtsystem gemeint also auch der Hardware-Host. Frage: Ist diese Anforderung (nur eine unter vielen) bei notwendig strenger Auslegung mit üblichen Shared-Hosting-Umgebungen (wo auch unbekannte Dritte gehostet sind in eigenen Umgebungen) überhaupt realisierbar?

Etwas anderes sind spezialisierte Angebote, weil genau die in der Funktionalität stark beschränkt sind und damit die geforderte Härtung des Systems umgesetzt wird. Eine Mehrmandantenfähigkeit einer Shop-Lösung steht den Anforderungen nicht entgegen.
 
Last edited by a moderator:
Der Shop beinhaltet keine direkte Kreditkarten Zahlung, sondern nur via PayPal & PayPal Express. In beiden Fällen wird der Kunde mit dem PayPal API auf deren Server umgeleitet. Die Informationen werden also nie auf meinem Server gespeichert oder zwischengespeichert.
Click to expand...
Ich hatte ein paar Beiträge zurück den PCI-Compliance Level A-EP erklärt welcher genau für diesen Fall Voraussetzung ist. Bei Verarbeitung oder gar Speicherung von Kreditkartendaten sind die Voraussetzungen fast unermesslich strenger und wohl von keinem kleinen Unternehmen auch nur halbwegs realisierbar. Es gibt unterhalb Level A-EP nur noch Level A (kein Einfluss auf Kreditkartendaten, also auch keine Weiterleitungen).
Es herrscht allerdings offensichtlich sowohl intern bei Paypal als auch bei Webhostern und Dienstleister keine Einigkeit darüber welches Level das "normale" Paypal nun ist. Sich selbst scheinen sie als A an zu sehen, eigentlich erfüllen sie aber die Voraussetzungen für A-EP.

Bei SAQ-A ist eigentlich jeder poppelige Webspace PCI-compliant, du musst meist nicht mal nen Fragebogen ausfüllen. A-EP hingegen ist ein richtiges Prozedre.

Die zweite Zahlungsart ist SOFORÜberweisung. Ähnlich wie bei PayPal wird der Kunde über das API auf deren Server umgeleitet, die Daten werden nicht auf meinem Server gespeichert.
Click to expand...
Sofortüberweisung umgeht das ganze PCI-Problem gekonnt indem sie das SWIFT-System einsetzen welche komplett andere Voraussetzungen hat. Hier hat die PCI (Payment cards industry) nichts zu sagen :D
 
You must log in or register to reply here.
Back
Top