Gerichtsprotokoll LG Passau zur Klage von HOST EUROPE gegen DER GLÖCKEL

Host Europe gegen DER GLÖCKEL Auf nochmalige Frage: Den Server, auf dem Herr Berger sein Webpack hatte, haben wir nicht untersucht. Das ging auch zu diesem Zeitpunkt im August nicht mehr. D. h. unmittelbar während des Vorfalls, als die Hackerangriffe geschehen sind, haben wir auch den Server untersucht, auf dem das Webpack des Herrn Berger war. Für mich war der Ursprung der Schwachstelle das Forum von Host Europe und nicht die Software Joomla, die Herr Berger draufgespielt hat. Es fand insoweit ein Ineinandergreifen statt. Die Vorgänge um die Sperrung der Website des Herrn Berger hat mich so aufgeregt, dass ich dann Herrn Glöckel davon informiert habe.

Auf Frage des Klägervertreters, welche Produkte von Host Europe der Zeuge in Anspruch nimmt und getestet hat, erklärt dieser: Das sind die Produkte Webpack S, Pro und L.

Auf Frage des Klägervertreters, welche von ihm vorher angesprochenen Webposter (Red. Anmerkung: Sollte richtig "Webhoster" lauten) bessere Sicherheitsstandards bieten, erklärt der Zeuge: Das kann man so nicht sagen.

Auf Frage des Klägervertreters, ob es hierfür nicht objektive Kriterien gebe, erklärt der Zeuge: Das sehe ich nicht so. Ich bevorzuge es, das Gefahrenrisiko immer neu einzuschätzen, weil dies auch einem ständigen Wechsel unterliegt. Technische Fragen hinsichtlich unserer Prüfungen kann Herr Goujov beantworten.

Keine weiteren Fragen an den Zeugen. Nach lautem Diktat genehmigt. Keine Anträge. Beschluss: Der Zeuge bleibt unbeeidet und wird sodann entlassen.

2. Zeuge:

Zur Person: Goujov Michael, xxx-jähriger, russischer, xxx Angestellter, ladungsfähige Anschrift: xxx, mit den Parteien des Rechtstreits nicht verwandt und nicht verschwägert.

Zur Sache:

Auf Frage, wann die Überprüfung stattgefunden hat: Das war im Frühjahr, Ende März/Anfang April 2006. Auf Vorhalt des Gerichts, dass die Vorgänge um die Website des Herrn Berger im Juni 2006 gewesen sind, erklärt der Zeuge: Es ist schon zwei Jahre her und dann gab es auch Vorfälle mit unserer eigenen Seite. Das Ergebnis der Überprüfung war nicht so, wie es es gedacht hatte. Es gab erhebliche Mängel bei den PHP-Skripten. Die richtige Überprüfung konnten wir nur hinsichtlich der Server vornehmen, auf denen unsere Seite war, da der Server des Herrn Berger zu diesem Zeitpunkt schon gesperrt war. Ich möchte auf einen Vorfall eingehen, der mit unserer Webseite zu tun hat. Wir bekamen von Host Europe ein Mail. Dort wurden wir darauf hingewiesen, dass der Server durch unsere Domain übermäßig belastet wird oder ausgelastet wird und dass dies im Sinne auch der anderen Kunden nicht zu akzeptieren sei und unsere Präsenz deswegen gesperrt wird. Unsere Präsenz wurde dann auch gesperrt. Dies war am 11.01.2007. Ich habe keine Offlinedaten, nur Kopien aus den Webspaces. Das Forum von Host Europe hat PHP-Dateien verwendet. Diese sind zwar modifiziert, waren aber bei Berger unverändert. Von dem Forum konnte man sowohl Mails versenden als auch Dateien hochladen. Es bestand nun mit etwas Aufwand die Möglichkeit , sich als User zu autifizieren und dann die Dateien zu verändern. Zugang zur Datenbank in dem Sinne hat ein Forum-User nicht. Ich halte es für überwiegend wahrscheinlich, dass es im Fall Berger so gewesen ist, dass in der PHP-Datei die Parameter verändert wurden. Man muss dann nur als User angemeldet sein im Forum, ohne den Account zu kennen. Wenn ich unsere Präsenz sage, dann meine ich das Webportal, das ich zusammen mit dem Zeugen Schönaich betreibe.

Beweismittel, dem Landgericht Passau übergeben
Einer, der von den IT-Spezialisten Schönaich & Goujov überprüfter IP-Bereich von HostEurope-Servern - sie identifizierten Serverstandorte auch in England. Dem LG Passau als Beweismittel vorgelegt.

Auf Frage des Beklagtenvertreters, ob er bei der Überprüfung festgestellt hat, ob die Server in Deutschland oder England stehen, schüttelt der Zeuge den Kopf und erklärt: Oder sonstwo. Beklagtenvertreter übergibt einen Ausdruck eines E-Mails, Text wird verlesen: Micha hat alle Scans gemacht von Günter Handrich, Profiler 3d.de an Chefredaktion Gloeckel.info, Datum: Wed. 13. September 2006, 19.35.50 Uhr. Michael hat den ganzen Bereich gescannt. Die meisten in diesem IP-Adressbereich gehen zu Host Europe. Seltsam ist, dass der oder die Server in England stehen. Als Anhang die Liste der betroffenen E-Mail-Server von Host Europe. Original Message, from usw.

Dem Zeugen wird der Satz "Seltsam ist, dass der oder die Server in England stehen" noch einmal vorgehalten. Er erklärt: Das ist schwierig. Ich glaube mich zu erinnern, dass zwei oder drei Server in England gestanden haben. Der Server, auf dem die Webseite des Herrn Berger war, war mit der IP-Adresse GB zugeordnet, d.h. dass der Server in England gestanden hat.

Dies wird dem Klägervertreter vorgehalten, da dieser mit dem letzten Schriftsatz bestritten hat, dass Host Europe Server in England hat. Rechtsanwalt Peters erklärt hier noch einmal: Kein Server von Host Europe steht in England, auch zu dem fraglichen Zeitpunkt, Sommer 2006, nicht. Es gab zu dem damaligen Zeitpunkt zwei Standorte in Köln. Jetzt sind es drei und das ist das vollständige Programm, das Host Europe betreibt.

Die Kopie des Mails wird ebenfalls als Anlage zum Protokoll genommen.

Der Zeuge erklärt abschließend: Unsere Webpräsenz wurde meiner Meinung nach völlig grundlos gesperrt. Ich habe den Eindruck, dass Host Europe sich damit einfach Kapazitäten verschaffen wollte. (Red. Anmerkung: Kein Einzelfall - siehe auch weitere Beispiele).

Auf Frage des Sachverständigen, welche Joomla-Version der Zeuge getestet hat, erklärt dieser: PHP4. Weiter weiß ich nicht, aber es war eine 4er-Version, weil die hat gravierende Mängel aufgewiesen. Man konnte z.B. die Daten eines externen Web-Servers inkludieren in die eigene.

Auf Hinweis des Sachverständigen, dass es sich bei PHP4 nicht um Joomle handelt, weil dies ein Content-Management-Programm ist, erklärt der Zeuge: Dazu kann ich keine Aussage machen. Die Frage, welche Joomla-Version ich getestet habe, kann ich daher nicht beantworten.