Wie kann man "sicher" in die Welt der Serverbetreiber einsteigen?

    Hallo,


    ich war heute morgen für zehn Minuten stolzer Administrator eines Root-Servers. Leider musste ich dann heraus finden, dass ich für die Handlungen von Cyberkriminellen verantwortlich gemacht werden könnte und entschied mich dann, Gebrauch von meiner Zufriedenheitsgarantie zu machen.


    Also eigentlich wollte ich nur einen Minecraft Server und ein paar Kleinigkeiten für meine Schulklasse hosten. Naja und in die Welt des Internet Hostings reinzuschnuppern. Wenn ich die AGB richtig verstanden habe droht mir bei einem "Managed Server" aber trotzdem die Privatinsolvenz, wenn es jemand schafft, damit Schabernack zu treiben. Auf die Schnelle habe ich als Schutz nur eine IT-Haftpflicht gefunden, welche über 1000€ im Jahr kostet.

    Jetzt frage ich mich, ob es überhaupt einen "sicheren Rahmen" gibt, um als ahnungsloser Neulandpionier einen Server zu betreiben (ohne dafür monatlich dreistellig zu blechen).


    Nennt mich verrückt, aber ich verstehe die rechtliche Handhabung auch nicht so ganz. Wenn ich mir ein Auto miete und jemand klaut das dann und fährt damit etwas zu Schrott, bin ich doch auch nicht dafür verantwortlich. Das ist doch eine illegale Handlung eines Dritten, der ohne meine Zustimmung oder mein Zutun handelt.

    Müsste es diesbezüglich nicht eine Versicherung für Serveranbieter geben, welche ihre Kunden in der Hinsicht auch schützt? Ich zahl bei meiner Mietwohnung ja auch nur anteilig die Gebäudeversicherung mit, welche der Hauseigentümer abgeschlossen hat und bin nicht dafür haftbar, wenn Dritte das Haus beschädigen.

    Als ich gestern Abend den Vertrag abgeschlossen hatte, war ich eigentlich nur ein glücklicher Eumel der sich auf ein kleines virtuelles Zockerparadies gefreut hat und jetzt fühle ich mich so, als hätte man mir die Büchse der Pandora in die Hand gedrückt, weil ich ahnungslos wo meinen Stempel drauf gedrückt habe.

    Ich will meinen verantwortungslosen Umgang ja auch gar nicht entschuldigen. Ich habe die AGB nicht in Gänze verstanden und habe mir fürs Erste nichts weiter dabei gedacht. Ich vermute aber auch, dass es da draußen Tausende gibt, die in der Hinsicht genauso verantwortlungslos handeln. Vielleicht auch deshalb, weil die Umstände viel zu abstrakt sind, als dass jeder Durchschnittsnerd davon eine Vorstellung hätte.


    Ich schätze mal in diesem Forum laufen auch eher IT-Fachkräfte rum, welche sich von meiner Sichtweise vielleicht auf den Schlips getreten fühlen könnten. Sofern hier aber nicht die Meinung vertreten wird, dass nur noch Fachpersonal Zugang zum Internet gewährt werden sollte, ist das aus meiner Sicht ein ernstes Problem.

    Soviel zu meiner ersten Erfahrung.


    Gibt es eine sichere Möglichkeit, als Hobby-Interessierter mit einem Server herumzutüfteln, ohne gleich mit einem Bein in der Privatinsolvenz zu stecken?

    Gruß
    Meowdevmittens

  • Zur hilfreichsten Antwort springen
    Zitat von meowdevmittens

    Gibt es eine sichere Möglichkeit, als Hobby-Interessierter mit einem Server herumzutüfteln, ohne gleich mit einem Bein in der Privatinsolvenz zu stecken?

    Ja, du musst dich vorher in die Materie (Absicherung und Überwachung) einlesen und dir das entsprechende Know-How aneignen.

    Ausprobieren kannst du das ja z.B. lokal auf deinem Rechner in einer virtuellen Umgebung,

    Grundsätzlich ist es sehr gut, dass du ein Problembewusstsein dafür entwickelt hast. Das ist schon die halbe Miete auf dem Weg zum sicheren Server.


    100% Sicherheit gibt es nicht. Es ist immer eine Frage, welches Risiko man zu akzeptieren bereit ist. Wichtig ist, dass man unerwünschte Dienste abschottet und die erwünschten so weit wie möglich absichert. Erster Schritt ist also eine Firewall, die alles verbietet, außer das, was erlaubt sein soll. Und für die erlaubten Dienste kann man sich dann ansehen, wie man die weiter absichert, durch Application Level Firewalls, Plugins oder Konfigurationen. Das muss man sich dann im Einzelfall ansehen, pauschal ist es schwierig.


    Den Tipp von aRaphael finde ich sehr gut. Zu Hause in einer VM ist es ungefährlich, zu testen, und da kann man auch wieder dran, wenn man die Firewall zu restriktiv gemacht hat und sich ausgesperrt hat (nicht, dass mir das je passiert wäre ... :saint:).

    Ich finde es super das du so reagierst anstatt den Server zu behalten und zur Spam schleuder zu werden, dafür wirklich Hut ab.


    Aber ohne viel lernen oder eine entsprechende Ausbildung ist es schon recht schwer. Klar, man kann sich anhand von Tutorials irgendwas zusammenbastelln aber wenn man keine Ahnung hat was man da eigentlich macht ist das ziemlich gefährlich.


    Ein Managed Server sollte deine Probleme aber eigentlich lösen. Die von dir benötigte Software musst du halt vom Dienstleister installieren lassen und nicht selber daran rumtüfteln. Das sollte dann passen.

    • Hilfreichste Antwort

    Ich denke letztendlich geht es hauptsächlich ums Problembewusstsein. Es gibt keinen Trick wie ein Server bombensicher abgesichert ist. Es geht drum dass man weiß welche Implikationen alle eigenen Tätigkeiten haben und diese bewerten kann.


    Zum Beispiel:

    Ich richte einen neuen User ein und gebe ihm das Passwort 'password', oder

    Ich richte eine Datenbank ein und da ich von extern drauf zugreifen will hab ich im Internet gelesen dass diese auf 0.0.0.0 horchen muss, oder

    Updates mache ich immer dann wenn ich mal Zeit habe, oder

    Monitoring benötige ich nicht


    Alle diese Sachen muss man bewerten können und entsprechend reagieren. Backups und Monitoring sind wichtig. Regelmäßige Updates sowieso. Passwörter sollten alle sehr stark sein, jeder Dienst sollte nur die Rechte und Konfiguration bekommen damit er seinen Job machen kann.


    Prinzipiell - meiner Meinung nach - wenn du einen frischen Server von netcup genommen hast, dort dann starke SSH-Passwörter oder Key-Auth eingerichtet hast und dann einen aktuellen Minecraft Server betreibst bist du erstmal "sicher" (wobei "sicher" halt IMMER relativ ist!).

    Die Hauptgefahr bei einem Neuling besteht drin dass er irgendeinen Befehl aus dem Internet eingibt, nicht weiß was dieser bewirkt und damit eine riesige Sicherheitslücke reißt!


    Und um beim Auto zu bleiben: Klar, wenn jemand dein Auto klaut und er richtet einen Unfall an ist er schuld. Wenn du aber den Schlüssel im Zündschloß gelassen hast während du dir Zigaretten gekauft hast wirst du trotzdem zur Verantwortung gezogen werden :)

    Zitat von ThomasChr

    Zum Beispiel:

    Ich richte einen neuen User ein und gebe ihm das Passwort 'password', oder

    Ich richte eine Datenbank ein und da ich von extern drauf zugreifen will hab ich im Internet gelesen dass diese auf 0.0.0.0 horchen muss, oder

    Updates mache ich immer dann wenn ich mal Zeit habe, oder

    Monitoring benötige ich nicht

    Oder:

    Ich nehme einen Windows-Server, statt Linux. 8)

    Ich schätze mal ich werde mich in nächster Zeit regelmäßig mit dem Thema befassen, um es dann neubewerten zu können.


    Ich habe jetzt noch herausgefunden das meine Privathaftpflicht "Schäden durch Internetnutzung" bis 50 Mio. mit abdeckt, womit wohl die größte Gefahr gebannt ist. Es wird dann wohl auf einen Managed Server und viel Supportkontakt hinauslaufen, aber für meine aktuellen Pläne ist mir das noch zuviel Geld.


    Ich finde die Rechtslage trotzdem recht kritisch, weil ja keiner ausversehen meinen Server hackt und dann wirtschaftliche Schäden verursacht. Aber ich schätze das ist mal wieder so ein Fall von irgendwer muss dafür den Kopf hinhalten.

    Danke für das vielseitige Feedback!

    Zitat von meowdevmittens

    Ich habe jetzt noch herausgefunden das meine Privathaftpflicht "Schäden durch Internetnutzung" bis 50 Mio. mit abdeckt, womit wohl die größte Gefahr gebannt ist.

    Darauf würde ich mich bei der Entscheidungsfindung nicht verlassen: Es würde mich sehr wundern, falls die Versicherung - so sie sich überhaupt bei "Provider-Leistungen" Deinerseits in der Pflicht sieht - nicht sehr schnell eine Fahrlässigkeit unterstellt, sollte Dein Server kompromittiert werden. Im Zweifelsfall bleibt das Ganze ein Drahtseilakt ... bei hohem Sicherheitsbedürfnis solltest Du von einem Eigen-Hosting Abstand nehmen.


    Mattes


    P.S.: Kudos für Dich, dass Du Dir diese Fragen vorab stellst :thumbup:

    Eine virtuelle Maschine zu Hause wurde schon als Lernplattform genannt, aber wenn der Internetanschluss das hergibt, kann das auch eine echte Dauerlösung sein. "Dialup"-Zugänge haben ziemliche Narrenfreiheit, weil man an solchen Internetzugängen keine Admin-Kompetenz erwartet und unbehandelte Malwareinfektionen, Spamschleudern und Botnetze an der Tagesordnung sind. Die Upstream-Datenrate ist oft eng begrenzt, was auch das Missbrauchspotenzial senkt, reicht aber für den Zweck eines privaten Servers vielleicht aus. Wenn der Nutzerkreis fest ist und die nötigen Fähigkeiten hat, ein VPN zu nutzen, kann man damit die Angriffsfläche deutlich verringern.

    Zitat von meowdevmittens

    Also eigentlich wollte ich nur einen Minecraft Server und ein paar Kleinigkeiten für meine Schulklasse hosten.

    Unter dieser Voraussetzung ist folgende Annahme, sehr wahrscheinlich, falsch.

    Zitat von meowdevmittens

    Ich habe jetzt noch herausgefunden das meine Privathaftpflicht "Schäden durch Internetnutzung" bis 50 Mio. mit abdeckt, womit wohl die größte Gefahr gebannt ist.

    Das anbieten eines Dienstes, auf einem Server im Internet, fällt nicht unter "Schäden durch Internetnutzung" und dürfte nicht über die Privathaftpflicht abgedeckt sein.


    Zitat von meowdevmittens

    Ich finde die Rechtslage trotzdem recht kritisch, weil ja keiner ausversehen meinen Server hackt und dann wirtschaftliche Schäden verursacht.

    Doch, das passiert regelmäßig. Alle Server im Internet werden permanent attackiert und automatisiert auf ausnutzbare Schwachstellen überprüft.


    Zitat von meowdevmittens

    Aber ich schätze das ist mal wieder so ein Fall von irgendwer muss dafür den Kopf hinhalten.

    Du musst für alle Fehler, die du in deinem Leben machst, für alles was Du tust, den Kopf hinhalten. Wie jeder von uns.

    Das ist im Internet nicht anders.


    Zitat von meowdevmittens

    Es wird dann wohl auf einen Managed Server und viel Supportkontakt hinauslaufen, ...

    Auch bei einem Managed Server wirst Du Wissen benötigen und Arbeit investieren müssen, wenn du nicht sehr viel mehr Geld in die Hand nehmen willst.

    Und ein Schutz gegen Schadenersatzforderungen ist das auch nicht.

    Zitat von Mordor

    Du musst für alle Fehler, die du in deinem Leben machst, für alles was Du tust, den Kopf hinhalten.

    Ich weiß, dass hier gerne der Zeigefinger gehoben wird, aber man muss schon schauen, wer welche Fehler macht. Die Ausgangssituation war, dass jemand etwas am Internet betreibt, dabei durchaus Vorsicht walten lässt, und dann trotzdem durch die Schuld eines Angreifers ein Schaden bei einem Dritten verursacht wird. Als Vergleich dazu wurde auch schon der Klassiker "Auto wurde gestohlen und damit Blödsinn gemacht" genannt. Man ist nicht automatisch für die Taten anderer mitverantwortlich, weil einem das Tatwerkzeug gehört. Der Aufwand, der verlangt wird, um Schäden durch Missbrauch zu vermeiden, so dass man nicht haftet, hängt u.a. davon ab, welche Gefahr von dem Gegenstand ausgeht. So dürfte die von einem einzelnen Server für andere Internetteilnehmer ausgehende Gefahr nicht hoch sein, da diese ebenfalls selbst für ihre Sicherheit sorgen müssen.


    Man sieht auch in diesem Thema, dass das Bewusstsein für die Verantwortung schon deutlich darüber hinaus geht, was viele Serverkunden mitbringen. Wenn die "YOLO" Admins aber alle automatisch und unbegrenzt haften müssten, würde man mehr über Privatinsolvenzen durch Serverbetrieb lesen. Überlegt euch doch mal, wer alles Gameserver betreibt. Schaut euch Tutorials dazu an: Sind die für Anwender mit tiefgreifenden IT-Kenntnissen geschrieben? Nichts wird so heiß gegessen, wie es gekocht wird.

  • Neu erstellte Beiträge unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.

    • :)
    • :(
    • ;)
    • :P
    • ^^
    • :D
    • ;(
    • X(
    • :*
    • :|
    • 8o
    • =O
    • <X
    • ||
    • :/
    • :S
    • X/
    • 8)
    • ?(
    • :huh:
    • :rolleyes:
    • :love:
    • :pinch:
    • 8|
    • :cursing:
    • :wacko:
    • :thumbdown:
    • :thumbup:
    • :sleeping:
    • :whistling:
    • :evil:
    • :saint:
    • <3
    • :!:
    • :?:
    Maximale Anzahl an Dateianhängen: 10
    Maximale Dateigröße: 1 MB
    Erlaubte Dateiendungen: bmp, gif, jpeg, jpg, pdf, png, txt, zip