Billig Hosting: Wie man sich bettet …

Billig Hosting ist ein teures Risiko

… so liegt man. Das gilt natürlich auch in unserer Branche. Vor allem wenn es um das Thema Billig Hosting geht. Denn auch hier ist jeder für sein eigenes Handeln oder Unterlassen verantwortlich. Das gilt für Hosting-Anbieter wie für die (kommerziellen) Anwender. Wirklich neu ist diese Erkenntnis natürlich nicht. Doch sie gewinnt an Bedeutung, wenn ein Unternehmen seine Geschäftsanwendungen rein aus Kostengründen einem Billiganbieter im festen Glauben überantwortet, diese Regel gelte für ihn nicht. Und deshalb habe er auch keine Nachteile oder Einbußen zu befürchten. Eine gefährliche Einschätzung, wie der nachfolgende Beitrag veranschaulicht: Durch eine Firmenübernahme wurden über Nacht tausende Kundendaten frei zugänglich und Sicherheitslücken aufgedeckt.

Kleine Datenpanne mit großer Wirkung

Da gab es doch kürzlich bei einem Discount-Anbieter unserer Branche eine „Datenpanne“. So nannte die Firma jedenfalls den Vorfall, der seit dem 29. Januar 2018 Aussenstehenden den Zugriff auf so ziemlich alle Kunden-Informationen ermöglichte. Dazu gehörten: Klarname, Firmenname, E-Mail-Adressen, Anschrift, Geburtsdatum, Telefonnummer, Telefonpasswort, Bankname und IBAN sowie der bei der Schufa abgefragte Score des Kunden und wann dieser zuletzt eingeholt wurde. Eine Quelle spricht sogar davon, dass Kundenzugangsdaten kompromittiert wurden. Dementsprechend war am letzten Wochenende der Aufschrei der Öffentlichkeit, als die Sache aufflog.

Kein Grund zur Häme

Lästern ist bei Ausfällen und Pannen grundsätzlich unangebracht. Denn erstens arbeitet niemand ganz fehlerfrei (auch dann nicht, wenn er selbst es wirklich glaubt oder sein DIN/ISO-Zertifikat dieses bescheinigt). Zweitens halten wir es für stillos, hämisch über das Geschehen bei Wettbewerbern zu lachen. Und drittens gibt es andere und bessere Möglichkeiten, auf eigene Qualitäten aufmerksam zu machen. Deshalb haben wir uns auch jegliche Komentare verkniffen, als im ersten Quartal 2018 drei wirklich grosse Ausfälle bei Wettbewerbern bzw. zentralen Institutionen unserer Branche (drei Tage Mittwald, zwei Tage DECIX, zwei Tage Hetzner) zu verzeichnen waren.

Wir halten fest: technische Pannen passieren auch den Besten. Weder Technik noch Mensch arbeiten zu 100% fehlerfrei. Darauf haben weder wir Anbieter noch Sie als Kunden immer einfluss. Aber es gibt Fehler, die sich aus bedenklichen Tendenzen in den Geschäftspraktiken unserer Branche ergeben. Und dagegen können Sie als Kunde etwas unternehmen, indem Sie auch die Geschäftspraktiken Ihres Hosting-Anbieters regelmäßig kritisch hinterfragen.

Unglückliche Kette von Ergeignissen

In unserem aktuellen Beispiel geht es um ein bekanntes Großunternehmen, welches zunächst mit billigen Domainservices startete und diesen Markt zur Freude der Kunden mächtig aufwirbelte. Der schnelle wirtschaftliche Erfolg legte nahe, auch als Hoster tätig zu werden. Auch in diesem Bereichen gab man sich extrem preis-aggressiv. Und man wuchs schnell. Es kam, wie es kommen musste: In 2013 übernahm das britische Unternehmen „Host Europe“ den Discounter. Drei Jahre später schluckte dann der US-amerikanische Weltmarktführer „GoDaddy“ den ehemaligen Business Hoster. Diese Kettenreaktionen der Aufkäufe sind in der ISP-Szene durchaus üblich. Auch die anschließenden Sparmaßnahmen zur Kostenoptimierung kommen nicht überraschend. Denn der Hostingmarkt ist auch und insbesondere in Deutschland einem harten Wettbewerb ausgesetzt. Und letztlich sollten die Übernahmen mehr Marktanteile und noch höhere Gewinne garantieren.

Billig Hosting: Sparen bis ins letzte Glied

Jetzt stellt sich allerdings die Frage, wie man in einem bereits hochautomatisierten, auf Effizienz getrimmten Segment immer noch mehr Kosten einsparen kann. Denn höhere Gewinne durch Preisanhebungen schließt sich beim Discounter aus. Noch weniger Personal geht eigentlich nicht. Lieferanten-Erpressung funktioniert meistens auch nicht, denn die wenigen verbleibenden Carrier, also die echten Infrastruktur-Anbieter, stehen letztlich am richtigen Ende der Leitung. Das ist durchaus wortwörtlich zu nehmen.

Einige Tricks der „Billigheimer“ sind bekannt. Man verzichtet zum Beispiel auf Redundanz bei IP-Leitungen, Strom, Klimatisierung etc. Dann setzt man verschleiss-behaftete Hardware länger ein, als für Technik und Kunden gut ist. Man reduziert die Angebotspalette und das Leistungsspektrum an Stellen, die der Kunde gar nicht oder erst viel zu spät bemerkt. Das kann der fehlende qualifizierte Service sein, wenn es echte, ernsthafte Probleme gibt, die sich weder durch ein FAQ-System noch durch eine kostenpflichte Callcenter-Hotline lösen lassen. So weit so (nicht!) gut.

Da geht noch mehr

Ab hier kann allerdings auch ein alter (Internet) Hase noch etwas dazu lernen. In dem beschriebenen Fall kam man auf eine sehr kreative Lösung: Man kaufte einfach den kostenintensiven Service „Network Operation Center“ als Dienstleistung ein, und zwar bei einer größeren Gruppe von IT-Selbständigen in Lviv, Ukraine. Das mag zunächst harmlos klingen. Ist es aber nicht.

Zum besseren Verständnis müssen wir kurz ausholen. Hosting braucht Rechenzentrums-Leistungen. Dazu gehören unter anderem das Netzwerk, Netzwerk-Geräte (Switches), Server für den Kundenbetrieb, Server für das Service-Management, Monitoring-Server, Firewalls, Router und einiges mehr. All diese Geräte müssen beobachtet (Monitoring), konfiguriert und gewartet werden. Bei uns heisst das „NOC“ (Network Operation Center). Hier geht es um hoch qualifiziertes Personal. Das ist nicht billig zu haben.

Damit jetzt kein Missverständnis aufkommt: In der Ukraine gibt es mindestens so gute IT-ler wie in unseren Breiten. Schließlich kommen inzwischen viele nützliche IT-Anwendungen, also nicht nur Hacker-Angriffe, Spyware & Co, aus dieser Richtung. Und vielleicht haben diese Leute etwas Erfahrung im Betrieb eines Rechenzentrums. Aber es gibt ein riesiges Problem: Selbständige sind nicht weisungsgebunden und in diesem Fall sogar fern jeglicher Kontrolle und Handhabe, weil die Ukraine ausserhalb der EU-Rechtsnormen liegt. Und ob mehrere Freelancer zusammen ein professionell arbeitendes Team bilden, das den hierbei erforderlichen Ansprüchen an Verfügbarkeit, Zuverlässigkeit etc. entspricht, ist mehr als fraglich

Das dicke Ende

Jetzt dürfte wohl jedem klar sein, wie es zu der vermeintlichen Datenpanne kam. Wer Zugriff auf das Herzstück „NOC“ des Hostings hat, kann auch auf ALLE Daten zugreifen. Und mit ihnen beliebig verfahren. Ob nun die Offenlegung der Kundendaten absichtlich oder aus Versehen geschah, spielte für die Betroffenen keine Rolle. Es folgte eine Welle von Beschwerden in allen möglichen Social Media-Plattformen. Viele verlangen ihr Geld zurück, fordern Schadensersatz, drohen mit sofortiger Kündigung etc. Selbstverständlich.

Aber das wird nicht so einfach sein, denn die betroffenen Kunden müssen dem Anbieter ein schuldhaftes Versäumnis nachweisen. Und dabei ist noch nicht mal sicher, wo der Gerichtstandort sein wird. Wenn es die USA sind – viel Spaß! In der Zwischenzeit haben internatiole Adress- und Datenjäger reiche Beute gemacht und den Schaden potenziert.

Nebeneffekt: Die seit Mai aktive DS GVO verspricht für solche Fälle bis zu 4% vom weltweiten Jahresumsatz als Strafgebühr. Dass es hier zu Datenschutz-Verstössen kam, dürfte unstrittig sein. Wessen Umsatz als Berechnungsgrundlage hier wohl zum Tragen kommen wird? Der der Konzermutter (GoDaddy) oder der direkten Mutter (Host Europe)? Oder doch der eigene?

Die Verantwortung des Hosting-Kunden

Natürlich ist kein Kunde glücklich, wenn sein Dienstleister seine wichtigsten Daten nicht schützen konnte. Auch wenn allen klar ist, dass es keinen hundertprozentigen Schutz gibt, so sollte allen genau so klar sein, dass die Geiz-Mentalität im kommerziellen Hosting irgendwo ihren Preis hat. Als Privatkunde kann man sich die „scheißegal – Hauptsache billig“ Haltung vielleicht (noch) leisten, aber für den kommerziellen, also unternehmerisch tätigen Anwender wird aus ganz billig sehr schnell extrem teuer. Und Sie können davon ausgehen, dass Sie bei Hosting-Discounter“ auf jeden Fall an einer Stelle draufzahlen, die zunächst nicht auffällt…

Und damit schließt sich der Kreis. Bevor Sie Ihre Server „betten“, überprüfen Sie den Hosting-Anbieter kritisch. Nutzen Sie zum Beispiel hierfür unsere Data-Center Checkliste. Ein weiteres Kriterium zum Thema Preis-Leistungs-Verhältnis – und nur darum kann es hier gehen – ist die Qualität des Kundendienstes: deutschsprachig, direkt, individuell, persönlich. Klären Sie, wo die Server stehen und welches der Gerichtsstandort ist. Hier hilft Ihnen auch der Fragenkatalog „Cloudservice“. Damit stellen Sie ganz nebenbei sicher, dass Sie in Sachen Hosting DS-GVO konform arbeiten. Mehr Infos hierzu finden Sie übrigens beim eBusiness Lotsen Berlin.

Apropos Kundendaten

Zum Abschluss noch ein besonderes Schmankerl. Der hier besprochene Dienstleister verteilt die personenbezogenen Daten seiner Kunden seit Jahren quer durch die Welt. So kommen externe internationale Unternehmen, ie in Bezug auf Datenschutz einen mehr als zweifelhaften Ruf besitzen, in direkten Kontakt mit personenbezogenen Daten. Ob dies in den einzelnen Kundenverträgen tatsächlich Erwähnung findet, mag bezweifelt werden. In der ADV (Vereinbarung zur Auftragsdatenverarbeitung) jedenfalls steht nichts davon. Sie können ja mal selbst nachprüfen, wenn Sie Zweifel haben. Hier eine Liste der Subunternehmer.

Links zum Thema

Nachtrag:

Das Kundenforum des hier besprochenen Dienstleisters wurde direkt nach dem Bekanntwerden des Hacks gesperrt und ist bis heute (17.08.2018) noch nicht wieder aktiv.

Die Berichterstattung in der einschlägigen Fachpresse zu dem Vorfall brach nach drei Tagen ab, offene Fragen zu Ursache, Datenschutz-Fragen etc. bleiben seither unbeantwortet. Ob hier eventuell das Schalten von Anzeigen für die Verlage wichtiger ist als die Berichterstattung, muss jeder für sich entscheiden.