… so liegt man. Das gilt natürlich auch in unserer Branche. Vor allem wenn es um das Thema Billig Hosting geht. Denn auch hier ist jeder für sein eigenes Handeln oder Unterlassen verantwortlich. Das gilt für Hosting-Anbieter wie für die (kommerziellen) Anwender. Wirklich neu ist diese Erkenntnis natürlich nicht. Doch sie gewinnt an Bedeutung, wenn ein Unternehmen seine Geschäftsanwendungen rein aus Kostengründen einem Billiganbieter im festen Glauben überantwortet, diese Regel gelte für ihn nicht. Und deshalb habe er auch keine Nachteile oder Einbußen zu befürchten. Eine gefährliche Einschätzung, wie der nachfolgende Beitrag veranschaulicht: Durch eine Firmenübernahme wurden über Nacht tausende Kundendaten frei zugänglich und Sicherheitslücken aufgedeckt.
Kleine Datenpanne mit großer Wirkung
Da gab es doch kürzlich bei einem Discount-Anbieter unserer Branche eine „Datenpanne“. So nannte die Firma jedenfalls den Vorfall, der seit dem 29. Januar 2018 Aussenstehenden den Zugriff auf so ziemlich alle Kunden-Informationen ermöglichte. Dazu gehörten: Klarname, Firmenname, E-Mail-Adressen, Anschrift, Geburtsdatum, Telefonnummer, Telefonpasswort, Bankname und IBAN sowie der bei der Schufa abgefragte Score des Kunden und wann dieser zuletzt eingeholt wurde. Eine Quelle spricht sogar davon, dass Kundenzugangsdaten kompromittiert wurden. Dementsprechend war am letzten Wochenende der Aufschrei der Öffentlichkeit, als die Sache aufflog.
Kein Grund zur Häme
Lästern ist bei Ausfällen und Pannen grundsätzlich unangebracht. Denn erstens arbeitet niemand ganz fehlerfrei (auch dann nicht, wenn er selbst es wirklich glaubt oder sein DIN/ISO-Zertifikat dieses bescheinigt). Zweitens halten wir es für stillos, hämisch über das Geschehen bei Wettbewerbern zu lachen. Und drittens gibt es andere und bessere Möglichkeiten, auf eigene Qualitäten aufmerksam zu machen. Deshalb haben wir uns auch jegliche Komentare verkniffen, als im ersten Quartal 2018 drei wirklich grosse Ausfälle bei Wettbewerbern bzw. zentralen Institutionen unserer Branche (drei Tage Mittwald, zwei Tage DECIX, zwei Tage Hetzner) zu verzeichnen waren.
Wir halten fest: technische Pannen passieren auch den Besten. Weder Technik noch Mensch arbeiten zu 100% fehlerfrei. Darauf haben weder wir Anbieter noch Sie als Kunden immer einfluss. Aber es gibt Fehler, die sich aus bedenklichen Tendenzen in den Geschäftspraktiken unserer Branche ergeben. Und dagegen können Sie als Kunde etwas unternehmen, indem Sie auch die Geschäftspraktiken Ihres Hosting-Anbieters regelmäßig kritisch hinterfragen.
Unglückliche Kette von Ergeignissen
In unserem aktuellen Beispiel geht es um ein bekanntes Großunternehmen, welches zunächst mit billigen Domainservices startete und diesen Markt zur Freude der Kunden mächtig aufwirbelte. Der schnelle wirtschaftliche Erfolg legte nahe, auch als Hoster tätig zu werden. Auch in diesem Bereichen gab man sich extrem preis-aggressiv. Und man wuchs schnell. Es kam, wie es kommen musste: In 2013 übernahm das britische Unternehmen „Host Europe“ den Discounter. Drei Jahre später schluckte dann der US-amerikanische Weltmarktführer „GoDaddy“ den ehemaligen Business Hoster. Diese Kettenreaktionen der Aufkäufe sind in der ISP-Szene durchaus üblich. Auch die anschließenden Sparmaßnahmen zur Kostenoptimierung kommen nicht überraschend. Denn der Hostingmarkt ist auch und insbesondere in Deutschland einem harten Wettbewerb ausgesetzt. Und letztlich sollten die Übernahmen mehr Marktanteile und noch höhere Gewinne garantieren.
Billig Hosting: Sparen bis ins letzte Glied
Jetzt stellt sich allerdings die Frage, wie man in einem bereits hochautomatisierten, auf Effizienz getrimmten Segment immer noch mehr Kosten einsparen kann. Denn höhere Gewinne durch Preisanhebungen schließt sich beim Discounter aus. Noch weniger Personal geht eigentlich nicht. Lieferanten-Erpressung funktioniert meistens auch nicht, denn die wenigen verbleibenden Carrier, also die echten Infrastruktur-Anbieter, stehen letztlich am richtigen Ende der Leitung. Das ist durchaus wortwörtlich zu nehmen.
Einige Tricks der „Billigheimer“ sind bekannt. Man verzichtet zum Beispiel auf Redundanz bei IP-Leitungen, Strom, Klimatisierung etc. Dann setzt man verschleiss-behaftete Hardware länger ein, als für Technik und Kunden gut ist. Man reduziert die Angebotspalette und das Leistungsspektrum an Stellen, die der Kunde gar nicht oder erst viel zu spät bemerkt. Das kann der fehlende qualifizierte Service sein, wenn es echte, ernsthafte Probleme gibt, die sich weder durch ein FAQ-System noch durch eine kostenpflichte Callcenter-Hotline lösen lassen. So weit so (nicht!) gut.
Da geht noch mehr
Ab hier kann allerdings auch ein alter (Internet) Hase noch etwas dazu lernen. In dem beschriebenen Fall kam man auf eine sehr kreative Lösung: Man kaufte einfach den kostenintensiven Service „Network Operation Center“ als Dienstleistung ein, und zwar bei einer größeren Gruppe von IT-Selbständigen in Lviv, Ukraine. Das mag zunächst harmlos klingen. Ist es aber nicht.
Zum besseren Verständnis müssen wir kurz ausholen. Hosting braucht Rechenzentrums-Leistungen. Dazu gehören unter anderem das Netzwerk, Netzwerk-Geräte (Switches), Server für den Kundenbetrieb, Server für das Service-Management, Monitoring-Server, Firewalls, Router und einiges mehr. All diese Geräte müssen beobachtet (Monitoring), konfiguriert und gewartet werden. Bei uns heisst das „NOC“ (Network Operation Center). Hier geht es um hoch qualifiziertes Personal. Das ist nicht billig zu haben.
Damit jetzt kein Missverständnis aufkommt: In der Ukraine gibt es mindestens so gute IT-ler wie in unseren Breiten. Schließlich kommen inzwischen viele nützliche IT-Anwendungen, also nicht nur Hacker-Angriffe, Spyware & Co, aus dieser Richtung. Und vielleicht haben diese Leute etwas Erfahrung im Betrieb eines Rechenzentrums. Aber es gibt ein riesiges Problem: Selbständige sind nicht weisungsgebunden und in diesem Fall sogar fern jeglicher Kontrolle und Handhabe, weil die Ukraine ausserhalb der EU-Rechtsnormen liegt. Und ob mehrere Freelancer zusammen ein professionell arbeitendes Team bilden, das den hierbei erforderlichen Ansprüchen an Verfügbarkeit, Zuverlässigkeit etc. entspricht, ist mehr als fraglich
Das dicke Ende
Jetzt dürfte wohl jedem klar sein, wie es zu der vermeintlichen Datenpanne kam. Wer Zugriff auf das Herzstück „NOC“ des Hostings hat, kann auch auf ALLE Daten zugreifen. Und mit ihnen beliebig verfahren. Ob nun die Offenlegung der Kundendaten absichtlich oder aus Versehen geschah, spielte für die Betroffenen keine Rolle. Es folgte eine Welle von Beschwerden in allen möglichen Social Media-Plattformen. Viele verlangen ihr Geld zurück, fordern Schadensersatz, drohen mit sofortiger Kündigung etc. Selbstverständlich.
Aber das wird nicht so einfach sein, denn die betroffenen Kunden müssen dem Anbieter ein schuldhaftes Versäumnis nachweisen. Und dabei ist noch nicht mal sicher, wo der Gerichtstandort sein wird. Wenn es die USA sind – viel Spaß! In der Zwischenzeit haben internatiole Adress- und Datenjäger reiche Beute gemacht und den Schaden potenziert.