Rechtliche Konsequenzen aufgrund eines eigenen Servers

[testobjekt]

Hat irgendjemand Statistiken darüber wieviel Prozent der Root und vServer Nutzer schonmal unangenehme Konsequenzen aufgrund ihres Servers zu tragen hatten?

Kennt ihr Berichte, Freunde, Verwandte oder euch selbst, denen sowas widerfahren ist?

Wenn ja, bitte posten.

PS: Dieses Thema hat mich auf die Fragestellung gebracht:

Unsicher ob vServer das richtige ist

Schönen Guten Tag miteinander, ich hoffe ich hab hier das richtige Forum für mich gefunden :) Hab mich schon einmal etwas eingelesen, schaut ganz gut aus bisher. Es geht um folgendes. Ich bin Admin eines Clans und möchte folgendes zur Verfügung stellen: - Homepage mit CMS -...

serversupportforum.de

 

[Ben.]

Ich kenne ein paar die Probleme hatten. Aussagekräftige Statistiken kann dir ggf. die Anwaltskammer geben.

 

[blupp1]

http://www.online-anwalt.org/

Frag mal da

 

[Joe User]

Ich kenne 5 Fälle persönlich:
2x <10.000EUR
1x ~25.000EUR
1x >100.000EUR + Bewährung
1x >100.000EUR + 3 Jahre

 

[PapaBaer]

Aus dem näheren Umfeld:

2x ~500EUR (Unterlassungserklärung)

 

[Dex]

Hm... ich denke die einzelnen Werte hier bringen niemanden wirklich weiter. Es ist klar dass dies ein denkbar schlechter Ort ist um in solche Details reinzugehen, aber eine Kurzbeschreibung der Form "Server gehackt"/"Forum Missbraucht"/"Filesharing"/"Rechnung nicht bezahlt"/etc. würde schon für einiges mehr an Verständniss und Übersicht sorgen.

Ansonsten denke ich wird der Prozentsatz, wenn man "Bagatellfälle" der Form fehlendes Impressum, Rechnung nicht bezahlt, etc., weglässt, angesichts der unzähligen Server/Kunden wohl recht überschaubar sein. Vor allem ist der Hoster idr. schon so "nett" den Server vom Netz zu nehmen bevor jemand Zeit findet sich mit seinem Anwalt zusammenzusetzen.

Um also auf deine eigentliche Frage einzugehen (angesichts des verlinkten Threads), wird sich die Wahrscheinlichkeit dass du, völlig überrascht und unerwartet Nachts von der Polizei aus dem Bett gezehrt wirst, wegen deinem Server, in Grenzen halten. ^^

Ein paar Grundlagen sind zwar zu beachten - SSH-Port nicht auf 22 lassen, Root-Login sperren, niemand anders auf dem Server "spielen" lassen, unnötige Ports per iptables sperren, Software aktuell halten - aber das ist keine Kunst mehr, und manche Hoster geben einem hier auch gerne die notwendigen Denkanstöße. Dass der Server dadurch noch nicht "sicher" ist, und dass man unzählige Horrorszenarien konstruieren kann ist klar, aber solange du keine halbwegs große bzw. gut besuchte Community-Seite hast, darfst du davon ausgehen dass es einfach interessantere und auch leichtere Angriffsziele als dich gibt.

Ich kenne 5 Fälle persönlich:
1x >100.000EUR + Bewährung
1x >100.000EUR + 3 Jahre

Das war dann aber nicht mehr nur Unfähigkeit sondern schon Absicht oder?

2x ~500EUR (Unterlassungserklärung)

Fehlendes Impressum?

 

[wstuermer]

Ein paar Grundlagen sind zwar zu beachten - SSH-Port nicht auf 22 lassen, Root-Login sperren, niemand anders auf dem Server "spielen" lassen, unnötige Ports per iptables sperren, Software aktuell halten

OT:
1. bringt keine Sicherheit
2. machbar, zieht aber zuviel Arbeitsaufwand nach sich. without-password wäre da sinniger.
3. full ack
4. Schwachsinn. Wo kein Dienst läuft ist auch kein Port offen - da brauch ich dann auch keinen Paketfilter mehr drauf.
5. full ack

 

[Dex]

Das war keine vollständige Liste, sollte nur die Denkrichtung angeben und verdeutlichen dass es in ein paar Handgriffen erledigt ist.

[SSH-Port] 1. bringt keine Sicherheit

"Sicherheit" wohl nicht, aber man schließt schon Mal eine Menge automatisierter "Hackversuche" ab.
Solange es kein gezielter Angriff ist wird ja sonst ein Portscann notwendig sein, und der fällt dann doch halbwegs auf (zumindest fällt er hoffentlich dem Hoster auf).

[root-Login] 2. machbar, zieht aber zuviel Arbeitsaufwand nach sich. without-password wäre da sinniger.

Tut es nicht. Siehe Ubuntu-Modell. Man hat mit einem sudo -s genau so seine root-shell, aber alle anderen dürfen zusätzlich auch noch den Benutzernamen erraten.

[Ports sperren] 4. Schwachsinn. Wo kein Dienst läuft ist auch kein Port offen - da brauch ich dann auch keinen Paketfilter mehr drauf.

Weiß ein Anfänger was alles an Diensten läuft/vorinstalliert ist?
Weiß ein Anfänger, nachdem er alle möglichen Kommandozeilenbefehle von Google in sein SSH-Terminal kopiert, und sich nicht nur im Paketmanager ausgiebig bedient, sondern vorher auch noch alle erdenklichen Paketquellen hinzugefügt hat, was da nun wirklich alles auf welchem Port lauscht?
Vielleicht will man auch einfach nur einzelne Features eines Dienstes Sperren, die auf eigenen Ports laufen, und man findet sich in der Konfigurationsdatei nicht zurecht.
Davon abgesehen, evtl. ist ein Dienst nur für den lokalen bzw. auf bestimmte IPs begrenzten Gebrauch (und bietet keine, oder eine nur eine unzureichende, Möglichkeit dies innerhalb der Anwendung zu beschränken) - Paradebeispiel MySQL.

Und selbst wenn nichts davon zutrifft, kann man denke ich jedenfalls um Einiges beruhigter schlafen wenn man weiß, dass außer auf einer handvoll Ports mit bewusst installierten Anwendungen dahinter, erstmal nichts Unbekanntes im Hintergrund "schlummert" und darauf wartet Chaos anzurichten.

 

[Joe User]

Das war dann aber nicht mehr nur Unfähigkeit sondern schon Absicht oder?

Nö, das waren zwei Hobby-Hoster, die dachten, dass es reicht, sich ein paar HowTos und Forenbeiträge durchzulesen, um Kunden verantwortungsvoll betreuen zu können. Sie haben nur vergessen, dass sich Kunden beim Unvermögen des Vertragspartners auch gerne mal zivilrechtlich zur Wehr setzen und dass soetwas sehr teuer werden kann. Hinzu kamen dann noch ein paar Unstimmigkeiten mit den zuständigen Staatsanwaltschaften, da diese etwas gegen das Überlassen der Server an Unbekannte und deren Nutzung der freien Ressourcen hatten.

 

[PapaBaer]

Oh je,

hier kommen ja mal wieder das komplette gefährliche Halbwissen zusammen.

Vor allem ist der Hoster idr. schon so "nett" den Server vom Netz zu nehmen bevor jemand Zeit findet sich mit seinem Anwalt zusammenzusetzen.

Wenn der Hoster den Server vom Netz nimmt, sind schon Angriffe passiert. Da kann sich dann auch schonmal ein Anwalt die Zeit nehmen.

wird sich die Wahrscheinlichkeit dass du, völlig überrascht und unerwartet Nachts von der Polizei aus dem Bett gezehrt wirst, wegen deinem Server, in Grenzen halten. ^^

Jo. Die zerren da sicher niemanden aus dem Bett. Du hast im dümmsten Fall halt einen unschönen Brief im Briefkasten mit Überweisungsbeleg hinten dran.

unnötige Ports per iptables sperren

Oh, hier spircht ein Profi ...

aber das ist keine Kunst mehr, und manche Hoster geben einem hier auch gerne die notwendigen Denkanstöße.

Und weil das alles so trivial ist, gehören professionelle Admins auch eher zu den Geringverdienern, was?

solange du keine halbwegs große bzw. gut besuchte Community-Seite hast, darfst du davon ausgehen dass es einfach interessantere und auch leichtere Angriffsziele als dich gibt.

Willkommen im Märchenland. Das ist vielleicht in Hollywood so, dass da ein fieser Hacker am PC sitzt. Heutzutage laufen die Angriffe Skriptgesteuert ab und grasen einfach die gängigen IP-Ranges von Rootservern ab, wohl wissend, dass dort viele unfähige Admins am Werk sind. Den Angreifern ist es nämlich total egal, was da auf einem Server liegt. Die wollen nur an die Rescource "Server" ran, um dann ihren Kram durchzuziehen.

Fehlendes Impressum?

Nope. 1x ne Karte eingebunden, die nicht frei war, 1x nen Angriff gehabt und gedacht, sowas mit rkhunter reparieren zu können. War dann aber leider doch nicht sauber, so dass der Server über 3 Monate offen war.

Dex, so grundsätzlich: Du scheinst nicht wirklich Plan zu haben. Ich kann verstehen, dass du dieses Thema gern relativieren möchtest, weil es bedrohlich ist. Sorry, es gibt immer wieder Leute, die mit ihrem Server gegen die Wand fahren. Und das liegt einfachzu oft an zu wenig Ahnung und zu viel Naivität.

 

[testobjekt]

Schonmal Danke für eure ersten Antworten. Hab sie mit viel Interesse gelesen und die Frage jetzt auch in ein anderes Forum gepostet: http://www.online-anwalt.org/sonstiges-f20/topic50.html

Falls ihr Weitere Ereignisse kennt, die aufgrund unzureichendes Absichern eines Servers geschehen sind, dann bitte munter weiter posten.

So wie Dex schon sagte, am besten Geldwert und einen kurzen Grund dafür angeben.

Mich interessiert einfach, welche Szenarien in der Praxis bereits vorgekommen sind, vor allem in Eurem Umfeld.

 

[svenr]

Ich hatte selber schonmal so ein nettes Schreiben im Briefkasten. Ist schon viele Jahre her.
Nunja... man lernt da draus. Es hat mich am Ende übrigens außer einer menge Nerven und ein paar schlaflosen Nächten nichts gekostet.
Aber es hat mich definitiv wach gerüttelt. Damals dachte ich mir auch noch xampp auf nem Linux Server .. why not .... log lesen.. wozu... usw..

 

[wstuermer]

Tut es nicht. Siehe Ubuntu-Modell. Man hat mit einem sudo -s genau so seine root-shell, aber alle anderen dürfen zusätzlich auch noch den Benutzernamen erraten.

Dann denk mal in Richtung scp/rsync. Dann darfst du anschließend nämlich noch die Benutzer/Gruppen manuell anpassen, nachdem du sie als unprivilegierter User übertragen hast. Gerade in Sachen Automatisierung ist ein verbotener Root-Login dann eher hinderlich.

Weiß ein Anfänger was alles an Diensten läuft/vorinstalliert ist?
Weiß ein Anfänger, nachdem er alle möglichen Kommandozeilenbefehle von Google in sein SSH-Terminal kopiert, und sich nicht nur im Paketmanager ausgiebig bedient, sondern vorher auch noch alle erdenklichen Paketquellen hinzugefügt hat, was da nun wirklich alles auf welchem Port lauscht?

Ganz schlechte Ausrede. Fahrlässigkeit könnte man da ja dann schon unterstellen.

Vielleicht will man auch einfach nur einzelne Features eines Dienstes Sperren, die auf eigenen Ports laufen, und man findet sich in der Konfigurationsdatei nicht zurecht.
Davon abgesehen, evtl. ist ein Dienst nur für den lokalen bzw. auf bestimmte IPs begrenzten Gebrauch (und bietet keine, oder eine nur eine unzureichende, Möglichkeit dies innerhalb der Anwendung zu beschränken) - Paradebeispiel MySQL.

MySQL ist da wirklich ein Paradebeispiel. Wenn ich den nur lokal brauche, dann braucht der gar keinen TCP-Socket (lässt sich wunderbar konfigurieren).
Wenn ich von bestimmten IPs Zugriff brauche, dann würde sich da wiederum ein SSH-Tunnel anbieten, und braucht somit wieder keinen zusätzlichen TCP-Socket. Das bietet darüber hinaus dann auch den Vorteil, dass die Datenströme (inklusive Zugangsdaten!) verschlüsselt sind, was bei einer TCP-Verbindung über MySQL eben nicht der Fall wäre.

Und damit genug Offtopic. Dex, wenn du das weiter diskutieren magst, können wir das gerne in einem eigenen Thread machen.

 

[Dex]

Und damit genug Offtopic. Dex, wenn du das weiter diskutieren magst, können wir das gerne in einem eigenen Thread machen.

Ja wird zeit zurück zum Thema zu finden. Ich habe meine Argumente vorgebracht, und ihr eure Gegenargumente. Was davon in wie weit zutrifft und Gültigkeit hat, oder sich gar selbst wiederspricht, darf sich der interessierte Leser dann selbst aus anderen Seiten im Internet zusammensuchen. Irgendwo geht das ganze dann wohl auch in eine Glaubensfrage über.

Dennoch will ich kurz, unabhängig von den technischen Details, zum Abschluss auf 2 Punkte eingehen:

Und weil das alles so trivial ist, gehören professionelle Admins auch eher zu den Geringverdienern, was?

Nun ja, ich weiß nicht wen du mit "professioneller Admin" meinst und was die verdienen, aber wenn man von den grundsätzlichen Preisen diverser "Managed-"Lösungen ausgeht (die ja gut genug für die Regelfälle der breiten Masse zu sein scheinen), die sich irgnedwo im Bereich von 20-100 € Aufpreis zur regulären Server-Miete bewegen (Monatlich) kann man sich ausrechnen wieviel Aufwand die "Administration" eines Standard-Servers wirklich macht.

Dex, so grundsätzlich: Du scheinst nicht wirklich Plan zu haben. Ich kann verstehen, dass du dieses Thema gern relativieren möchtest, weil es bedrohlich ist.

Du hast recht, ich habe weniger Ahnung als der Durchschnitts-Admin hier, da ich in erster Linie Entwickler (und kein Admin) bin. Ich habe in meinem ersten Beitrag hier auch klar erwähnt dass der Server dadurch nicht "sicher" wird, sondern nur dass er weit genug vor der Flut automatisierter Angriffe geschützt wird, und dass dies für die meisten privaten ("Übungs-")Server wohl auch "gut genug" ist.

Meine Erfahrungen (seit 2005) in diesem Bereich sind offensichtlich das genaue Gegenteil von euren, und ich denke der TE wird eine zweite Sichtweise zu dem Thema durchaus interessant/hilfreich finden. (Offtopic war es natürlich trozdem, tut mir leid dafür.)

 

[PapaBaer]

aber wenn man von den grundsätzlichen Preisen diverser "Managed-"Lösungen ausgeht (die ja gut genug für die Regelfälle der breiten Masse zu sein scheinen), die sich irgnedwo im Bereich von 20-100 € Aufpreis zur regulären Server-Miete bewegen (Monatlich) kann man sich ausrechnen wieviel Aufwand die "Administration" eines Standard-Servers wirklich macht.

Uh man, das wird hier immer abenteurlicher. Wie kann man den die Preise für einen Managed-Server mit dem Stundenlohn eines Admins gleichsetzen???

Ein Managed-Server ist Standard-Setup. Da laufen Standard-Images, die an einem Standard-Monitoring hängen. Standard-Tools fahren Standard-Updates. So ein Provider hat hunderte Server stehen. Daraus ergibt sich ein Budget, für das sich eine Hand voll Admins um eben jene Server kümmern und sicher in der Summe nicht schlecht verdienen. Aber versuch mal, einen dieser Admins für deine paar EUR dazu zu bewegen, einen eJabberd-Server auf deinem Managed-Server zu deployen und zu monitoren. Sowas nennt man Geschäftsmodell. Es zeichnet sich gerade dadurch aus, standardisierte Abläufe weit unter dem Preis individualisierter Leistungen anbieten zu können und trotzdem marktübliche Stundensätze zu zahlen.

Ein seriöser Admin fängt für 20EUR nicht mal an zu arbeiten. Und das hat gute Gründe.

 

[Firewire2002]

Solange es kein gezielter Angriff ist wird ja sonst ein Portscann notwendig sein, und der fällt dann doch halbwegs auf (zumindest fällt er hoffentlich dem Hoster auf).

Wenn bei mir als Admin jedesmal Alarmglocken läuten, wenn einer nen Portscan macht, bin ich nach 2 Tagen taub.
Und ein Hoster interessiert sich ganz gewiss nicht für einen Portscan. Der hat wichtigeres zu tun.

 

[danton]

Nun ja, ich weiß nicht wen du mit "professioneller Admin" meinst und was die verdienen, aber wenn man von den grundsätzlichen Preisen diverser "Managed-"Lösungen ausgeht (die ja gut genug für die Regelfälle der breiten Masse zu sein scheinen), die sich irgnedwo im Bereich von 20-100 € Aufpreis zur regulären Server-Miete bewegen (Monatlich) kann man sich ausrechnen wieviel Aufwand die "Administration" eines Standard-Servers wirklich macht.

Falsche Sichtweise. Die meisten Provider bieten ja auch normales Webhosting an und ein Managed Server ist das fast das gleiche. Im Gegensatz zum Hosting-Paket gehört dir das Blech alleine statt es mit anderen teilen zu müssen und du kannst aus verschiedenen Leistungsklassen wählen. Aber es läßt sich viel automatisieren. Updates werden per Softwareverteilung automatisiert eingespielt, die Server zentral überwacht und auch viele andere Aufgaben sind automatisiert. Das ist für Administratoren natürlich eine erheblicher Zeitersparnis pro Server - aber die Implementation von Automatismen ist natürlich auch mit Zeitaufwand verbunden, der sich erst ab einer gewissen Anzahl von Servern lohnt.