Was der IT-Sicherheitsberater Uwe Berger dem LG Passau zu HOST EUROPE mitteilte

Host Europe hatte erneut unsere Domains gesperrt und eine eigene Werbeseite stattdessen dort platziert. Wir werden das nicht weiter verfolgen, möchten aber dennoch anmerken, dass damit ein erheblicher Werbefaktor zugunsten unseres Web-Hosters erreicht wurde, da wir erheblich große monatliche Zugriffszahlen auf unserem Portal verzeichnen können.

Wir kontrollierten erneut sämtliche Dateien unserer Webseite und fanden erneut widerrechtlich installierte Werkzeuge, die für Angriffe auf Unternehmen und Privatanwender verwendet werden konnten. Unser Web-Hoster Host Europe hatte nichts weiter zu tun als erneut unsere Domains zu sperren.

HOST EUROPE vermutet (!) ein CMS, das gar nicht in Verwendung war

Die Gespräche mit dem Host Europe Kundendienst wurden in der Folge erheblich emotionaler, da es kein sehr gutes Bild abgibt, wenn die Portalseite eines Sicherheitsunternehmens ständig vom Netz genommen wird. Statt der erbetenen Hilfe erhielten wir seitens des Kundendienstes lediglich lapidar den Hinweis, die Mambo Software unseres Portals sei nicht aktuell. (Red. Anm.: Im Original e-Mail-Verkehr zwischen Herrn Berger und HOST EUROPE sprach der Konzern lediglich von der "Vermutung", weil man sich derenseits offensichtlich gar nicht die Mühe machten, den Inhalt des Web-Packs zu begutachten - siehe dem Gericht vorgelegtes Beweismittel [pdf-Datei - auf Seite 3]).

Wir benutzen allerdings keine Mambo Software, sondern eine von diesem Projekt seit langer Zeit abgespaltene Software namens Joomla. Die Hauptentwickler dieses Software-Projekts verließen seinerzeit die Mambo Entwicklung, um eine eigene Portalsoftware auf PHP-Basis zu entwickeln, weil sie mit den Sicherheitsfunktionen der Mambo Software aus verständlichen Gründen nicht einverstanden waren. Mit anderen Worten war dem Host Europe Kundendienst nicht einmal genau bekannt, welche Software wir für den Betrieb unseres Portals benutzen und maß sich dennoch an, einen nicht aktuellen Versionsstand vorzuwerfen.

Zu dieser Zeit erhielt ich einen Anruf von Herrn Glöckl, der sich für den Fall interessierte, da wir nach endgültiger Aktivierung unserer Domains eine Erklärung zu den Vorfällen der Nacht vom 29. Juli auf den 30. Juli 2006 veröffentlichten, in der wir die Schwierigkeiten mit unserem Web-Hoster Host Europe beschrieben haben (diese Informationsseite befindet sich allerdings nicht mehr im Netz, seit wir unseren Web Hoster wechselten im August 2006).

Herr Glöckl schrieb und veröffentlichte daraufhin die offenbar nun beklagten Artikel zu den Vorfällen, die auf der Grundlage von Daten entstanden sind, die Herr Glöckl von uns erhalten hat.

Das waren im Detail

1.) Original Emails des Schriftverkehrs mit dem Host Europe Kundendienst in der besagten Nach (Red. Anm.: Wir schalteten uns nach der Abschaltung Bergers Domains am 13.8.06 in den Fall ein - dies belegt der entsprechende Schriftverkehr, auch der zwischen Berger und Host Europe)
2. Verschiedene Screenshots, die den Versionsstand unserer Portalsoftware dokumentierten
3. Die widerrechtlich zwischen unserer Portalsoftware installierten Dateien, die für Phishing Attacken benutzt wurden
4. Sowie weitere Dokumente, wie Sie Ihnen bereits bekannt sind.

Hackeropfer BERGER wird der Täterschaft durch HOST EUROPE bezichtigt

In der Folge der Nachfragen des Herrn Glöckl bei dem Unternehmen Host Europe GmbH kam es zu erheblichen Auseinandersetzungen mit Host Europe, da Herr Glöckl dem Unternehmen aus meiner Sicht absolut berechtigt vorwarf, aus dem eigentlichen Opfer - nämlich wir - den Täter zu machen. Entsprechende Emails, in denen dieser Vorwurf seitens Host Europe gemacht wurde, dürften Ihnen vorliegen. In einem späteren Telefonat entschuldigte sich ein Host Europe Mitarbeiter für die sehr allgemein gehaltenen Emails mit den Worten, "dies sei sehr unglücklich formuliert gewesen". Wann genau diese Gespräche aber verlaufen sind, daran kann ich mich nicht mehr genau erinnern. Ich bitte das in aller Form zu entschuldigen, da ich in der Zwischenzeit einige Schlaganfälle überlebt habe und entsprechende Gedächtnisstörungen dauerhaft davon getragen habe.

Um den Gesprächen die Emotionalität zu nehmen - auf beiden Seiten war der Tonfall nicht mehr angemessen geschäftlich - erfolgte ein Telefonat mit einem Host Europe Administrator, der mir in der Folge der Angriffe und als Gegenleistung dafür, wenn die Berichte über Host Europe aus dem Netz genommen werden, einen so genannten Manager-Server zum selben Preis des bisher benutzten Webpacks anbot. Dieses Angebot lehnte ich aber ab, weil es mir nicht um Drachfutter ging, sondern um eine simple Entschuldigung für den Vorwurf, wir seien Kriminelle, die fortgesetzt und Warnungen seitens Host Europe missachtend fortlaufend Phishing-Angriffe durchführten. Zudem war das Angebot eines Managed-Servers weiterhin ein subtiler Vorwurf, wir seinen nicht in der Lage, für ausreichende Sicherheit auf unserem Webserver zu sorgen, den wir allerdings nicht besaßen, sondern lediglich ein gemietetes WebPack.

Ich beschäftige mich seit gut 20 Jahren mit Computer- und Netzwerksicherheit. Zudem war ich beruflich längere Zeit Systemadministrator eines Projektnetzwerks bei einer großen deutschen Krankenkasse und beschäftige mich aufgrund der Arbeit mit dem Portal Network-Secure täglich mit neuen Angriffsmethoden und Missbrauch von Computeranlagen und Netzwerken. Auch wenn kein Mensch alles weiß, so auch ich nicht, habe ich einen sehr guten Überblick über die tägliche Gefahrenlage und habe meinen Web-Hoster Host Europe darauf auch mehrfach aufmerksam gemacht.

Ich wurde dort sehr offensichtlich nicht ernst genommen und es passierte, was jetzt zum Gegenstand eines Klageverfahrens geführt hat. Mir persönlich tut es sehr leid, weil Herr Glöckl als nun Klagegegner und Angeklagter uns lediglich helfen wollte. (Red. Anm.: Es ging unserem Nachrichtenmagazin real darum, daß wir von einem IT-Sicherheitsfachmann und gleichzeitigen Mitarbeiter auf die Abschaltung des von Berger betriebenen IT-Sicherheits-Informationsportales aufmerksam gemacht wurden, was uns mit Bergers Hintergrund als ungewöhnlich erschien. Zusätzlich veröffentlichten wir erst Tage zuvor eine Reportage über ein anderes gehacktes Portal durch politisch orientierte Kriminelle mit offensichtlich türkischem Background.)