Datenschutz bei netcup

  • In einem Support Fall habe ich dies dem Support mal erlaubt, daraufhin wurde auch eigenständig (also ohne Weitergabe des PWs) auf den SFTP Server zugegriffen. Ich glaube, dass damals das PW des hostingXXXXX Users geändert wurde, sprich wenn dem so ist, wird einfach ein neues Plesk PW gesetzt. (Selbiges müsste ja dann beim Mail Pleskserver möglich sein.)


    Aber ohne deine Erlaubnis oder anderweitige Ereignisse (richterliche Beschlüsse oder sowas), wird dies der netcup Support nicht tun.


    (Und wenn es wirklich einer wollen würde, gäbe es andere Wege: Stammdaten (EMail) ändern -> CCP PW Reset -> CCP Login -> WCP Auto-Login -> done)

  • In meinen Supportfällen war es meist so, dass sich der Mitarbeiter direkt auf das entsprechende Control Panel eingeloggt hat. Wahrscheinlich haben sie eine Art ECP (Employee Control Panel), über welches sie sich, ohne das Kennwort zu ändern, auf den CCP Account des Kunden oder direkt auf das betroffene Control Panel einloggen können. So meine Vermutung.


    Ich nehme mal an, dass netcup root-Rechte auf ihren Servern hat, sie haben somit die Möglichkeit auf Daten der Kunden zuzugreifen.


    Aber meine Frage ist eher, wer von den Mitarbeitern Zugriff darauf hat. Kann jeder vom Praktikant, über den Support bis zum Abteilungsleiter auf die vollständigen Datensätze und gehosteten Daten der Kunden zugreifen? Oder gibt es zum Beispiel auch Einschränkungen für den Support (vier Augenprinzip)? Im Falle einer Störung, in wie weit werden personenbezogene Daten von den Mitarbeitern beispielsweise in den Logs oder beim reproduzieren des Fehlers eingesehen?


    In meinen Störungsfällen hatte ich immer den Eindruck, dass der Mitarbeiter unbeschränkten Zugriff auf den Account hat.

  • Ich weiß nicht genau, wie Plesk diesbezüglich aufgebaut ist, aber früher war es mir im Froxlor Admin Panel möglich, mich auf angelegte Kundenaccounts ohne Passwort einzuloggen, quasi su user. (Also auf Webinterfaceebene)


    Mit den root-Rechten: Ich meine, dass bei mir kein Rootuser via sftp/ssh zugegriffen hat, da die geänderten/erstellten Dateien meinen persönlichen Nutzer zugeordnen waren und auch beim Login "last login from IP", die IP aus den üblichen netcup Blöcken stammte.

  • Das ist bei den meisten Webserver Controlpanels so, dass du dich von einer oberen Ebene (Admin pder Reseller), quasi auf die Ebene des Kunden einloggen kannst, ohne Passwort. Vielleicht hat netcup auch so etwas beim CCP.


    Interessant, dass sie bei dir das PW geändert haben sollen und über den Nutzer zugegriffen haben. Root-Rechte werden sie aber wahrscheinlich auch noch haben. Haben bestimmt nicht das Passwort einfach weggeschmissen. :)
    Es gibt aber auch verschiedene Technologien bei der Serverwaltung, so dass du dich nicht auf jedem einzelnen Server einloggen musst, zum administrieren.

  • Wie schon gesagt, bin ich mir nicht mehr zu 100% sicher. Es kann auch sein, dass ich damals das PW geändert und dem Support zukommen lassen hab. Aber ohne deine Einwilligung passiert da ja sowieso nichts. ...und selbst wenn du via cron Backups vom Webspace (ausgeführt auf nem Rootserver) ziehst, stellt dies kein Problem dar, da ja hier der Key genutzt wird.

    Im Zweifelsfall hat sich das jetzt schon wieder geändert - letztlich kann hier nur netcup eine 100%-ige Aussage treffen.

  • Gibt es zu dem Thema schon Neuigkeiten? Würde gerne nextcloud nutzen und dort Dateien und Bilder hochladen. Wenn aber ein Mitarbeiter einfach so draufschauen kann, dann wäre das doch keine gute Idee. :D

    Da hilft dann nur eine Clientseitige Verschlüsselung. Technisch kann Netcup immer auf die VMs zugreifen. Alle Daten, die unverschlüsselt, auf der Festplatte liegen, sind damit theoretisch immer lesbar. Das Problem hast du aber bei allen Hosting Providern, vor allem in der Cloud. Und eine Verschlüsselung hilft nur etwas, wenn der entsprechende Schlüssel nicht direkt daneben liegt ;-) (die Daten müssen also verschlüsselt werden, bevor sie an den Server gesendet werden).

  • Der Hoster kann prinzipiell immer alles lesen, was nicht clientseitig verschlüsselt wird und bereits verschlüsselt auf dem Server ankommt. Ganz egal wie der Hoster heißt, netcup, Google oder Apple. Wem davon Du jetzt datenschutzmäßig am ehesten vertraust musst du selbst wissen. Oder eben die Daten clientseitig vor dem Hochladen verschlüsseln.

  • Du kannst auch die Daten direkt von Nextcloud verschlüsseln lassen.

    Wenn du nur Dateien und Bilder speichern willst (bei einem eigenen Root) kannst du auch ggf. seafile anschauen. DU kannst hier eine Bibliothek end2end verschlüsseln.

  • Du kannst auch die Daten direkt von Nextcloud verschlüsseln lassen.

    Das ist Richtig.


    Das Problem hierbei ist jedoch, dass Nextcloud den privaten Schlüssel zum entschlüsseln der Daten mit auf dem Webspace / Datenbank ablegt und somit ist die Verschlüsselung nutzlos wenn jemand Zugriff auf deinen Webhosting Tarif bekommt (wie von Paul schon angedeutet). Daher sollte man, um auf Nummer sicher zu gehen, die Daten vor Veröffentlichung in der Cloud selbst lokal verschlüsseln. (z.B. mit VeraCrypt)

  • Das ist Richtig.


    Das Problem hierbei ist jedoch, dass Nextcloud den privaten Schlüssel zum entschlüsseln der Daten mit auf dem Webspace / Datenbank ablegt und somit ist die Verschlüsselung nutzlos wenn jemand Zugriff auf deinen Webhosting Tarif bekommt (wie von Paul schon angedeutet). Daher sollte man, um auf Nummer sicher zu gehen, die Daten vor Veröffentlichung in der Cloud selbst lokal verschlüsseln. (z.B. mit VeraCrypt)

    Kann Nextcloud immernoch nicht End2End ohne den Schlüssel auf dem Server abzulegen? Hm das ist natürlich ärgerlich.

    Daher auch mein Hinweis mit Seafile (klappt halt nur auf einen VPS/Root). Wenn da der Schlüssel weg ist, ist er weg.

  • hier denke ich, Du kannst beruhigt sein; so wie es bei den Webhostings gelöst ist, ein dickes fettes PLUS an netcup von mir;:)


    bei anderen Hostern wäre es nicht auszuschließen,

    daß im Shared-Hosting man - zwar nur lesend aber immerhin - Zugriff auf den gesamten Server erhält ...

    z.B. einfach via CGI folgendes ausführen ls -alR /

    (auf die Art würde man evtl. direkt sehen, welche Domains alles auf der selben ("eigenen") Kiste gehostet sind)


    Der Hoster kann prinzipiell immer alles lesen, was nicht clientseitig verschlüsselt wird und bereits verschlüsselt auf dem Server ankommt.

    wobei hier unbedingt die Geschichte mit SSL/TLS vergessen,

    das ist nur eine Transportverschlüsselung;

    und würde bereits diese Kriterien erfüllen;;)

  • Denke ich auch. Es geht hier letztlich nur um die rein technische Machbarkeit, übertragene Daten auszuspionieren. Die besteht eben grundsätzlich immer, wenn man Zugriff auf Hardwareebene hat. Legal ist natürlich anders. Außer Mr. Bnd :D oder die Staatsanwaltschaft wollen es so.

  • ich würde nextcloud mit netcup empfehlen; rein von bestimmten Gesichtspunkten auch aus ganz banalen Gründen ...

    wenn es wen einfällt mit ner Kreissäge im Atlantik zu spielen, würdest nicht mehr an die Daten kommen :D

    (ich hab auf meinem Root-server u.a. auch eine nextcloud-Instanz nur f. mich laufen)

  • Ich empfehle auch Nextcloud hier.

    Bei allem, was über Google läuft, hast du doch schon durch das Geschäftsmodell die Sicherheit, dass da alles analysiert wird, was du ihnen ins Drive legst (, und kombiniert wird mit dem, was du auf Youtube guckst, GMails schreibst und was du via Google suchst).