Wie HOST EUROPE ein Hackeropfer zum Täter wandelt

Die erwartete Antwort blieb aus und um 15.22 Uhr urgierten wir diesbezüglich fernmündlich in der Pressestelle. Herr Heimlich von der Host Europe GmbH teilte mit, daß wir in Kürze eine e-Mail erhalten würden. Um 15.55 Uhr traf sie dann mit folgendem Inhalt ein: "Nach Rücksprache mit dem zuständigen Abteilungsleiter können wir Ihnen mitteilen, dass Ihre E-Mail an die zuständigen Personen weitergeleitet wurde und derzeit bearbeitet wird. Sobald eine Klärung erfolgt ist werden wir Ihnen die Antwort schnellstmöglich mitteilen. Wir bitten Sie daher noch um ein wenig Geduld."

Screenshot der Administrationsoberfläche von C99shell
Screenshot der Admin-Oberfläche der durch Hacker eingepflanzten "C99shell"

Haben wir - und setzten in Anbetracht des Sachverhaltes, immerhin wurden sämtliche Präsenzen der betroffenen Unternehmung (z.B. network-secure.de, firewallinfo.de, bluemerlin-security.de) einfach vom Netz genommen und durch Werbung von der Host Europe GmbH ersetzt und teilten den Redaktionsschluß schriftlich für den 15.8. 10.30 Uhr mit.

Am 14.8. gegen 16 Uhr, also kurz nach unserem wiederholten Kontakt mit der Pressestelle von Host Europe, machte Uwe Berger dann die Feststellung, daß seine Präsenzen wieder freigeschaltet wurden und veröffentlichte für seine Kunden und Webportalbesucher eine Sachverhaltsdarstellung zu den Abläufen.

Wir hingegen mußten uns noch etwas gedulden bis die Pressestelle von der Host Europe GmbH uns ihre Stellungnahme am 15.8.06 um 17:40 Uhr wie folgt übermittelte:

"Die Host Europe GmbH stellt für Ihre Kunden Webhosting Dienstleistungen bereit und hat daher dafür Sorge zu tragen, dass die Systeme entsprechend abgesichert sind. In dem hier vorliegenden Fall war die Systemsicherheit jederzeit gewährleistet - die Sicherheitslücke ist durch ein vom Kunden installiertes Skript aufgetreten - d.H. in diesem Fall hat der Kunde selbst für die Sicherheit seiner Anwendungen zu sorgen. Die Angriffe sind erfolgt, da in dem vom Kunden eingesetzten CMS eine Sicherheitslücke nicht geschlossen wurde - einen Artikel zu den Lücken finden Sie unter: http://www.heise.de/newsticker/meldung/75880

Der Kunde wurde hierüber informiert und nachdem die Lücke nicht geschlossen wurde, vom Netz genommen.
Mit freundlichen Grüßen

Christoph Selbach
Leitung Werbung & PR"

Aus dem Protokoll der Installation von Joomla 1.0.10 Damit ergibt sich unzweifelsfrei nach vorliegen sämtlicher auch zum Zwecke der Beweisführung gesicherter Dateien wie folgt: Die Host Europe GmbH sollte im gegenständlichen Fall für die Sicherheit Sorge tragen - HIER WURDEN 4 WÖRTER VORLÄUFIG ENTFERNT - bis zum Vorliegen des Urteils des Europäischen Gerichtshofes für Menschenrechte der im Gerichtsfall HOST EUROPE GmbH gegen DER GLÖCKEL von Seiten des Herausgebers im Juni 09 angerufen wurde. Auch die in der Stellungnahme ausgewiesene Sicherheitslücke mit dem Verweis auf einen Artikel von heise.de ist ein Schlag ins Leere. Denn Berger bediente sich der aktuellsten Version von Joomla 1.0.10 und dieses wurde bereits unmittelbar nach deren Veröffentlichung am 26. Juni 06 aufgespielt (siehe Faksimile aus dem Protokoll rechts). Die Hackermanipulationen fanden jedoch auch mehrfach am 13.8. statt. Zu einem Zeitpunkt als Berger auch alle Daten bereits auf den Servern von Host Europe zuvor gelöscht und neu aufgespielt hatte. Diese Stellungnahme stellt auch unter Beweis, daß sich die Fachleute von Host Europe gar nicht die Mühe machten, auf ihren Servern die Inhalte der Verzeichnisse des Hackeropfers genau anzusehen. Da kann es zusätzlich als das "i-Tüpfchen" angesehen werden, daß die für den Massen-SPAM verwendete e-Mail-Adresse der Hacker "info@firewallinfo.de" seitens Berger niemals eingerichtet wurde. Auch das beweisen die gesicherten Inhalte des Servers, blieb jedoch den IT-Spezialisten von Host Europe verborgen - hätte ja nur der Nachschau bedurft.

Anstelle sich gemeinsam mit dem Kunden den Hackerangriffen zu stellen, wie Berger sogar anbot und geeignete Maßnahmen zu ergreifen, hat es die Host Europe GmbH vorgezogen, den "schwarzen Peter", Berger in die Schuhe zu schieben, zusätzlich eindeutig oberflächlich agiert und sich durch die Entfernung der Internetpräsenzen dem Problem auf diese Weise entledigt. Schon am Sonntag, den 13.8. um 23:08 Uhr sandte der Kundenservice von Host Europe unter der Ticketzahl: 1002ce7e861102038 an Berger die e-Mail wegen angeblich von ihm vorgenommenen SPAM-Versandt und teilt mit: "Vermutlich ist Ihr Mambo nicht auf dem neuesten Stand und bedarf eines Updates." Vermutlich ! - eine Nachschau hätte Gewißheit gebracht, daß dies nicht der Fall war. Auch die Okkupation durch die Hacker, die die Index-Seite mit den Anti-Israel-Parolen besetzte, die bereits um 18:12 Uhr von ihm selbst festgestellt, dann in den Ursprungszustand versetzt und inhaltlich an Host Europe übermittelt wurde, war jedoch gar kein Thema. Der Werbeslogan mit dem die Host Europe GmbH wirbt "World Class Internet Hosting & Services" war jedenfalls hier nicht zutreffend.

Berger hat nach eigenen Angaben seine Verträge bei Host Europe mittlerweile gekündigt und wird in Kürze mit seinen Internetpräsenzen durch einen anderen Webhoster vertreten sein. Es bleibt ihm nur zu wünschen, daß dieser in der Lage ist, gängige Sicherheitsstandards zu erfüllen, denn daß ein Hackeropfer von einer Firma zum Täter abgestempelt wird, ist wie bereits in den Schreiben an die Host Europe GmbH ausgeführt, aus unserer Sicht ein Novum.

Wie HOST EUROPE ein Hackeropfer zum Täter wandelt

Die Folgen unserer Exklusivreportage: HOST EUROPE fordert Löschung der Reportage von DER GLÖCKEL

Weiterlesen: Zur Sonderseite Gerichtsfall HOSTEUROPE gegen DER GLÖCKEL

_____
Zu den Blog-Einträgen zu HOST EUROPE des Herausgebers

Wie HOST EUROPE ein Hackeropfer zum Täter wandelt

Die Folgen unserer Exklusivreportage: HOST EUROPE fordert Löschung der Reportage von DER GLÖCKEL

Weiterlesen: Zur Sonderseite Gerichtsfall HOSTEUROPE gegen DER GLÖCKEL

_____ Zu den Blog-Einträgen zu HOST EUROPE des Herausgebers

_____
Zu den Blog-Einträgen zu HOST EUROPE des Herausgebers