Nachrichtenmagazin DER GLÖCKEL

Was der IT-Sicherheitsberater Uwe Berger dem LG Passau zu HOST EUROPE mitteilte

HOSTEUROPEIn dem Gerichtsverfahren zur zur Veröffentlichung Klage der HOST EUROPE GmbH gegen den Herausgeber, Walter Egon GLÖCKEL, wegen angeblich rufschädigender Äußerungen in der Exklusivreportage zur Veröffentlichung "Wie HOST EUROPE ein Hackeropfer zum Täter wandelt", wurde Uwe BERGER als Zeuge von GLÖCKEL benannt. BERGER (zertifizierter IT-Sicherheitsberater), dessen Internetpräsenzen von HOST EUROPE wegen angeblichen SPAM-Versand für dessen eigene Domains, der tatsächlich jedoch durch kriminelle Dritte verursacht wurde, einfach vom Netz genommen wurden und durch HostEurope-eigene Werbung ersetzt, teilte dem Landgericht Passau zur AZ: 1 O 171/07, in einem unfassenden Schriftsatz zum Verhandlungstermin am 26.6.08 wie folgt mit:

"Ich gehe davon aus, Herr Glöckl hat Ihnen bereits umfangreiches Datenmaterial zur Verfügung gestellt, mit dem dokumentiert wurde, wie es zu den Ereignissen und der anschließenden Veröffentlichung der strittigen Berichte kam. Ich schreibe hier meine persönlichen Eindrücke und Erfahrungen zum betreffenden Zeitraum nieder.

Zur Frage des im Jahr 2006 bei dem Web-Hosting Unternehmen Hosteurope GmbH und den Vorgängen, die zum Streitfall wurden, möchte ich wie folgt Stellung nehmen:

Wir betrieben zu der betreffenden Zeit das im europäischen Raum größte Internet-Portal zum Thema Computer- und Netzwerksicherheit. Ich, Uwe Berger - xxx, war verantwortlicher Webmaster im Sinne des §6 MDSTV für unsere Domains http://www.firewallinfo.de - http://www.network-secure.de.

Webpack Betreiber können keine grundlegenden Einstellungen am Server vornehmen

Verwaltet wurde unsere Homepage beim Web-Hoster Host Europe GmbH in Form eines WebPacks der Größenordnung XXL. Das heißt, es wurde uns ein Bereich auf einem der zu Host Europe gehörenden Webserver zur Miete zur Verfügung gestellt. Die Zugriffsmöglichkeiten auf elementare Bestandteile des Webservers waren naturgemäß erheblich beschnitten. So konnten Webpack Betreiber keine grundlegenden Einstellungen für die Web-Entwicklungssprache PHP vornehmen sowie auch keine Änderungen an der Webserver Konfiguration selbst.

Für den Betrieb, Pflege, Wartung und Aktualisierung benutzten bzw. benutzen wir auch heute noch ein so genanntes Content-Management-System namens Joomla. Joomla ist ein freies Open-Source CMS, mit dem tausende Webseiten weltweit betrieben werden.

Ich versichere hiermit von Eides statt, dass die für den Betrieb des Internet-Portals notwendige Software stets in aktuellster Version installiert wurde. Wir haben hierfür einen automatischen Benachrichtigungsdienst mit dem Entwicklerteam der Portalsoftware eingerichtet, über den wir umgehend darüber informiert wurden, wenn aktualisierte Software zur Verfügung stand.

Am 26. Juni 2006 wurde diese Portalsoftware aktualisiert auf Version 1.0.10, die am selben Tag veröffentlicht wurde. Wir aktualisieren unsere Portalsoftware immer direkt nach der Veröffentlichung und erhalten zu diesem Zweck Benachrichtigungen der Entwickler-Gemeinschaft. Die Aktualisierung war sowieso zwingend notwendig, da Schwachstellen in ihr entdeckt wurden, die von externen Stellen aus missbrauchbar waren. Entsprechend gehen wir keine Risiken ein und aktualisieren immer sofort.

Zu der Zeit waren generell seit längeren Tagen bereits massive Angriffe von einer türkischen Hackergruppe bekannt, auf die PHP basierende Webseiten abzielten. Wir warnten bereits seit Mitte Juni 2006 vor diesen Angriffen mit einer entsprechenden Warnmeldung:

http://www.network-secure.de/index.php?option=com_content&task=view&id=4609&Itemid=1755 (die Seite ist heute nicht mehr aktiv, eine Kopie sollte Ihnen aber von der letzten Verhandlung noch vorliegen).

Zugriffsrechte wurden über die Vorgaben hinaus zusätzlich eingeschränkt

Aufgrund dieser Erkenntnisse überprüften wir engmaschig Einstellungen, auf die wir Zugriff hatten. Wesentlich handelte es sich dabei um die Portalsoftware selbst sowie Erweiterungen dieser Software. Soweit möglich wurden die Zugriffsrechte für interaktive Funktionen unterhalb der Vorgaben der Entwickler beschnitten. Das heißt, selbst für die Administration mussten die Zugriffsrechte für den Moment von Änderungen verschiedener Einstellungen manuell wieder freigegeben werden, um die Gefahr der missbräuchlichen Benutzung im Rahmen unserer Möglichkeiten auszuschließen.

In der Nacht vom 29. Juli 2006 auf den 30. Juli 2006 stellten wir zufällig die Nichterreichbarkeit unserer Webseite: http://www.firewallinfo.de - http://www.network-secure.de fest und telefonierten um ca. 23:00 Uhr mit dem Kundendienst. Der teilte uns mit bzw. war uns direkt vor, wir seien Verursacher so genannter Phishing Emails, was heißt, es werden in betrügerischer Absicht perfekte Kopien von Banken, Sparkassen und anderen Finanzdienstleistungsunternehmen an ahnungslose Opfer verschickt zum Zweck, ihre Bank Verbindungsdaten zu stehlen. Falls Detail-Informationen zu dieser Angriffstechnik benötigt werden, informieren Sie mich bitte, ich reiche sie dann nach und spare es mir hier, weil es die Aussage unnötig in die Länge ziehen würde.

Selbstverständlich waren wir nicht die Verursacher sondern Opfer eines Einbruchs in unser Portal, das widerrechtlich benutzt wurde, um besagte Phishing-Attacken auszuführen.

weiterlesen - zur nächsten Seite

© Copyright DER GLÖCKEL - ISSN 1992-0318 - alle Rechte vorbehalten