Unsichere Server sollen Geldbußen nach sich ziehen

Betreiber von Servern, die sich nicht um die Sicherheit ihrer Systeme kümmern, sollten zur Verantwortung gezogen werden. Einen entsprechenden Vorschlag unterbreitete das Anti-Spam-Unternehmen Spamhouse der britischen Regierung. mehr... Google, Server, Netzwerk Bildquelle: Liz Henry / Flickr Server, Supercomputer, Rack Server, Supercomputer, Rack IBM

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
"Betreiber von Servern, die sich nicht um die Sicherheit ihrer Systeme kümmern, sollten zur Verantwortung gezogen werden." Ich bin mal gespannt wie man DAS festlegen will. Ab wann kümmern man sich nicht "genug"? Es sind ja häeufig auch Fehler in CMS Systemen oder PHP Versionen etc.
 
@Navajo: Denke mal geht erstmal um sowas wie.. PW in Klartext speichern usw. :)
 
@StefanB20: naja - bei WLANs ist es WEP schon genug um es "abzusichern"
 
@-adrian-: wenn man aber was sicherer nehmen kann als Sache X, ist es ja grob fahrlaessig wuerde ich sagen.
 
@Navajo: Dass die Fehler nicht direkt am Server sind ist wahrlich oft der Fall. Doch wenn der Serverbetreiber im Fall einer z.B. Vermietung keine Werkzeuge in der Hand hat, den Mieter dazu aufzufordern, seine betriebene Software zu sichern, wird sich nichts ändern. So zumindest kann ein Serverbetreiber ein wenig Druck auf den Mieter machen, und mit abschaltung des Systems drohen aufgrund eines plausiblen Grundes, der nicht aus Lust und Laune kommt, sondern eienn fundierten Grund hat. Geschäftsführer könnten z.B. auch dazu bewegt werden mehr Resourcen für die Sicherheit bereit zu stellen.
 
@Navajo: ist genauso wie bei ROOT-Servern... du bist dafür verantwortlich dich bspw. um die Einspielung von Updates zu kümmern, bekannte Lücken zu schließen und nicht eine grobfahrlässige Konfiguration vom Stapel zu lassen. Man redet ja nicht von "100% sicherheit" - das ist so oder so utopisch und kann nicht wirklich erreicht werden. Statdessen redet man davon, dass eeben - wie es sich für einen Admin gehört - sich um die Sicherheitsaspekte gekümmert wird soweit es technisch realisierbar und zumutbar ist. Wenn du mit dem Auto fährst hast du ja auch gewisse Regeln zu beachten.
 
@Navajo: Auf meiner Webseite lief vor vielen Jahren ein PHP Script welches nicht (mehr) sicher war. Irgendjemand hat sich dann tatsächlich die Mühe gemacht meine wenig bekannte (PHP) Seite damit zu hacken und 1&1 hat mich ermahnt das ich mein Script (was ich eigentlich nur aus dem Internet geladen und angepaßt hatte) sicher machen muss. Einige Zeit später hat 1&1 dann auch ihre Server mit einer neueren PHP Version geupdatet worauf dieses Script nicht mehr lief und leider gab es auch keine Updates für das Script vom Hersteller mehr.
So gesehen habe ich daher das "Gefühl" es bemühen sich schon zumindest Webhosting Anbieter alles sicher(er) zu machen aber hierbei muss auch eine Balance gefunden werden. Eine kleine Firma die Webseiten und (PHP) Scripte in Auftrag gibt kann ja nicht bei jeder neuen (PHP) Version alle paar Wochen für viel Geld alle Scripte neu anpassen lassen wenn sie es nicht selber können. Nicht umsonst werden ja auch erst Windows (Server) Updates monatelang getestet bevor sie in Produktivsysteme gelangen. Ist denke ich auch immer ein Kopf an Kopf Rennen mit Sicherheitslücken, etc. und von daher schwierig das umzusetzen je nachdem wie man unsichere Server auslegt, also ob das heißt sie müssen einen bestimmten Versionsstand haben oder werden bestraft wenn ein findiger Hacker reinkommt, ...
 
@HellsDelight: Naja so oft muss nichts angepasst werden, es gab in letzter Zeit eine Dinge endlich PHP4 weg auf PHP5, dann auf 5.3 und neuerdings ist eigentlich PHP 5.4 Pflicht. Scripte darauf anzupassen ist, je nach Größe des Scripts nicht sooo aufwendig. Aber was mich aufregt sind Admins von Gestern, ich habe doch vor kurzem Tatsächlich gelesen das man bei PHP 5.3 den SafeMode anschalten soll... Laut PHP ist der aber in der PHP 5.3 nicht mehr funktionsfähig und in der PHP 5.4 nicht mehr eingebaut und leider auch viele andere Dinge die unsinnig sind.
 
ich halte sowas für nicht durchführbar und wenn mit extrem viel aufwand, der wohl in keinem verhältnis steht.
 
Gelten die Geldbußen auch, wenn die Serverbetreiber ihre Systeme nicht gegen Spionage durch Geheimdienste absichern? Gelten sie auch, wenn die Betreiber aufgrund der Gesetzeslage eine vom BND/NSA/whoever bereitgestellte Blackbox an das Netzwerk anschließen müssen? Die Geldbußen gehen in die richtige Richtung, aber wo bleiben die Strafen für Amok laufende Geheimdienste und Politiker, die den Datenschutz aushöhlen?
 
Finde ich gut, aber wie kann man das überprüfen? Auslesen kann man ja oftmals nur die Apache, PHP Version und die Version des Content Management Systems. Gerade die Plugins der CMS Systeme sind besonders anfällig: http://www.heise.de/ix/artikel/Eintritt-frei-2044553.html
 
gute idee. das veranlasst die unternehmen evtl. mehr geld für die IT zur verfügung zu stellen
 
@gast27: vermutlich wird eher das gegenteil der fall sein. als unternehmen lagert mann dann einfach noch mehr aus.
 
Die Richtung ist schon sehr gut in die da gedacht wird. Wenn so was vernünftig umgesetzt wird, kann sich viel tun was sid Sicherheit angeht. Das Problem ist denke ich nicht, dass Systeme infiziert und missbraucht werden (das wird sich vermutlich nie abstellen lassen), sondern dass bereits infizierte Systeme einfach laufen gelassen werden und das oft ohne ohne die Ursachen der Infizierung zu beheben. Von eriner Schließung von Sicherheitslücken mal ganz zu schweigen.
 
Dann aber bitte zusätzlich auch endlich die Prügelstrafe für Spammer und Malwareautoren/-verbreiter. (Das meine ich ernst)
 
@DON666: wenn du damit meinst, dass ein solches vorhaben lächerlich ist, dann geben ich dir recht.
 
@Mezo: Naja, irgendwie schon... Gegen die Prügelstrafe hätte ich in dem Fall trotzdem nichts.
 
@DON666: klar, und Händeabhacken führen wir auch gleich wieder ein.... und Pranger, Streckbnank, eiserne Jungfrau....
 
@JBC: Wenn du mich hier jetzt als reaktionäres A-Loch dastehen lassen willst, bist du falsch gewickelt. Ich halte diese Typen lediglich für den Abschaum der heutigen Zeit. Wenn du mir EIN schlüssiges Argument für die "Arbeit" dieser Ganoven nennen kannst, rudere ich vielleicht mit meiner Ansicht zurück. Ich glaub aber nicht, dass das passieren wird.
 
@DON666: Ich finds auch net grad Prickeld was diese Deppen da alles ablassen um unbescholtene Bürger abzuzocken um Kohle zu machen oder um Unternehmen zu schaden oder gar nur einfach aus "Spass" andere ärgern wollen. Aber Züchtigungsandrohungen find ich schon bisschen zu Mittelalter....
 
@JBC: Ja, ich weiß schon, was du meinst, sehe ich ja normal genauso. Die ernsthafte Frage, die sich aber halt stellt, ist: Wie kann man das Pack kleinkriegen? Oder wird man da immer mit leben müssen? Ist ja nicht so, dass der Mist sich auf gleichbleibendem Level bewegen würde, es wird ja immer heftiger, und viele fühlen sich mittlerweile sicher schon richtig "ausgeliefert", wenn sie auch nur ihre Kiste hochfahren.
 
@DON666: ich hab ein schlüssiges argument: Geld! der grund liegt wieder mal bei der habgier und beim kapitalismus und dem verzinsten geldsystem
 
Mein chinesischer Serverhoster wird sich bestimmt schütteln vor Lachen, wenn er von dieserm Vorschlag je erfahren sollte. Da ich dort Root-Zugriff habe, bin ich eigentlich für das Patchen verantwortlich. Aber wie sollte jemand herausfinden, dass das mein Server ist?
 
@nOOwin: Irgendwer Zaht die Rechnung für diesen Server.....
 
@JBC: Der ist vor Jahren für diverse Jahre im Voraus von dem Bekannten eines Bekannten von mir, der damals in China war, bar gegen eine anonyme Rechnung bezahlt worden. Somit könnte es etwas schwierig werden auch nur diesen Bekannten wiederzufinden.
 
@nOOwin: da hast du aber Glück, dass der Server noch läuft, Vorkasse für mehrere Jahre im Voraus ist schon mutig. Wurde nich nicht mal bei einem Unternehmen in Deutschland machen, schon gar nicht in China, die hätten den auch am nächsten Tag abstellen bzw. an den nächsten vermieten können, wehr dich dann von hier dagegen.
 
@Link: Auch wenn ich die Rechnung habe, hätte ich mich ohnehin nicht dagegen gewehrt wenn sie mir meinem Server abschalten. Ich wollte ja anonym bleiben und da wäre es wenig klug sich auf ein Gerichtsverfahren einzulassen. Ich hätte mir einen anderen chinesischen Serverbetreiber gesucht und dem auch wieder anonym ein paar tausend Euro bzw. das entsprechende Äquivalent in landestypischer Währung auf den Tisch gelegt. Es werden ja nicht alle chinesischen Serverhoster einfach aus Spass einen bezahlten Root-Server vorzeitig abschalten. Ärgerlicher als das verlorene Geld wäre vielmehr gewesen, dass ich dann noch einmal jemanden hätte finden müssen, der das Geld dort hinbringt und den Server ordert.
 
@nOOwin: die schalten den ja auch nicht aus Spaß aus, sondern weil die davon ausgehen können, dass du nicht vor Gericht ziehen wirst, da du erstens offensichtlich anonym bleiben möchtest und zweitens auch noch weit weg wohnst (falls die den Teil sich irgendwie gemerkt haben). Dein Geld haben sie, warum sollten sie Kosten durch einen laufenden Server haben? Denn hätten sie genauso gut schon an 100 weitere, die anonym bleiben wollen, vermieten können. Aber du hast wohl einen ehrlichen Betreiber gefunden.
 
Und das gleiche bitte auch für Leute, deren PCs zu spamversendenden oder sonstwas machenden Zombies geworden sind nur weil die keine Windows-Updates eingespielt haben und auch andere ähnlich triviale Maßnahmen zum Schutz des PCs nicht getroffen haben.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte