1BLU Kunden aufgepasst!

[[netcup] Felix]

unschön? es ist absolut unverhältnismäßig, wenn ein Provider alle seine Server-Kunden auf Port 22 sperrt, nur weil bei einigen (und wenn ich dich richtig verstehe, hätte 1BLU ja nicht mal testen dürfen, welche Kunden betroffen sind) ein Sicherheitsloch bestehen könnte.

Ich habe mir das nicht ausgedacht.

welche Straftat denn genau?

Verstoß gegen das BDSG.

Ich betone noch einmal das ich keine Rechtsberatung gebe und alle meine Äußerungen in diesem Beitrag meine persönliche Meinung darstellen.

[jodost]

Ich habe mir das nicht ausgedacht.

doch, der Vorschlag einer Portsperren-Keule kam von dir :-)

Verstoß gegen das BDSG.

oh, der Datenschutz. Na dann ist die Sache natürlich eindeutig, der Provider gehört gehängt und gesteinigt.

Das folgende ist übrigens auch meine persönliche Meinung: 1. Ein vom Provider initial festgelegtes, rollenbezogenes Passwort ist kein persönliches Datum, darum findet das ganze BDSG überhaupt keine Anwendung. 2. Wenn das BDSG Anwendung finden würde, sähe es in §14 (2) 3 sogar eine Ausnahme vor, die in die gleiche Richtung wie der von mir eingangs erwähnte §687 BGB geht und diese Art der Nutzung des Passwortes deckt. 3. Wenn jemand in einem Thread über einen Mitbewerber die Formulierungen "Straftat" und "Anzeige erstatten" verwendet, sollte er m.E. die Aussage auch etwas fundierter begründen können als mit dem Hinweis auf ein komplettes Gesetz.

[domainfriends]

da wird wieder ein Fass aufgemacht. Alles nur persönliche Meinung, natürlich - wessen Meinung auch sonst?

Kann Joern da nur zustimmen. Etwas fundierter wäre schon angebracht. Ich stell mich hier auch nicht hin und sage, was du da machst, das verstößt gegen das UWG - aber ist nur meine Meinung, soll das jeder selbst interpretieren :-). Und WENN dann mal jemand klagen würden, dann geht's aber los.

Natürlich liest man im §14 (1) folgendes:

(1) Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind. Ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind.

Man liest aber auch in §14 (2) folgendes:

(2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn
[...]
3. offensichtlich ist, dass es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, dass er in Kenntnis des anderen Zwecks seine Einwilligung verweigern würde,
[...]

Ich denke nicht, dass man dem betroffenen Provider hier öffentlich eine böse Absicht unterstellen sollte, zumal es sich um Initialkennwörter handelt, die der Kunde laut AGB hätte ändern müssen.

Und jetzt müsstest du wieder dagegenhalten, worauf du dich beziehst.

Alles natürlich meine eigene Meinung :-).

[[netcup] Felix]

doch, der Vorschlag einer Portsperren-Keule kam von dir :-)

Das stimmt. Ich wollte sagen das ich es mir nicht ausgedacht habe, dass wir Provider nur in unserem Zuständigkeitsbereich agieren dürfen. Ohne Erlaubnis des Kunden, dürfen wir nicht deren Daten ändern.

3. Wenn jemand in einem Thread über einen Mitbewerber die Formulierungen "Straftat" und "Anzeige erstatten" verwendet, sollte er m.E. die Aussage auch etwas fundierter begründen können als mit dem Hinweis auf ein komplettes Gesetz.

Es geht mir hier nicht darum einen Mitbewerber schlecht zu reden. Ich habe bewusst meine Formulierungen bei derart kritischen Behauptungen von mir allgemein gehalten.

Es geht mir allgemein darum meine persönliche Meinung zu bekräftigen, dass ein Provider keine privaten Daten des Kunden ohne dessen Zustimmung verändern darf.

Ich finde es aber erstaunlich wie du (jodost) über den Datenschutz denkst. Immerhin hast du vermutlich auch einige Kunden, die dir ihre Daten anvertraut haben. Würdest du genau so handeln wie hier angeblich 1blu gehandelt hat?

[domainfriends]

Was mir da noch zum Datenschutz einfällt. Da gibt es ja noch spannende Beiträge im internen Bereich.


Beste Grüße,
Daniel

[jodost]

Ich finde es aber erstaunlich wie du (jodost) über den Datenschutz denkst. Immerhin hast du vermutlich auch einige Kunden, die dir ihre Daten anvertraut haben. Würdest du genau so handeln wie hier angeblich 1blu gehandelt hat?

dazu hatte ich schon mal etwas geschrieben: Ich bin froh, dass ich nicht in der Situation bin, so etwas entscheiden zu müssen. Aber ich tendiere (auch nach mehreren Tagen immer noch) dazu, ebenfalls das für den Kunden mit Abstand kleinste Übel zu wählen. Eine Portsperre, solange ich nicht weiß, was ich damit für Folgeschäden anrichte, wäre mir zu riskant. Die Änderung des Passwortes ist das, was der Kunde auch machen würde, wenn er von der Situation wüsste -> von daher scheint das mangels sinnvoller Alternativen die beste Idee. Wir sprechen aber auch eine Kundenklientel an, die genau sowas von uns erwartet. Nur weil das rechtlich eine Ausnahmesituation ist (die der Gesetzgeber im BGB sogar extra vorsieht und damit m.E. das ganze legitimiert), wäre das für mich kein Grund, dem Kunden absichtlich unnötig seinen Serverbetrieb lahmzulegen.

Wie ich über Datenschutz denke, spielt übrigens keine Rolle, denn 1. hat das Thema meiner Auffassung nach gar nichts mit zu tun ("root" ist ein roleaccount, der vom Provider angelegt/gesetzt wurde -> welches ist also die durch die Regelung des BDSG zu schützende Person, über deren persönliche Daten wir reden?) und 2. spielt keine Rolle, wie ich darüber denke, sondern ob ich mich an Gesetze halte. Und ich sage nur (nochmal): §14 (2) 3.

[Optimate-Server]

Man könnte auch ein Script schreiben, welches sich versucht auf die Kundenserver auf Port 22 einzuloggen und bei erfolgreichem Login sperrt man den Port 22 auf der Server-IP direkt im Router. Also ändert auf dem Kundenserver nichts.
Verschickt dann eine E-Mail an den Kunden mit dem Hinweis, dass er über das Webinterface die Sperre aufheben kann und dann sofort nach erfolgter Aufhebung das Passwort ändern soll.
Das wäre sicher eine saubere Sache, denke ich :)

[[netcup] Felix]

So hätte ich das vermutlich gemacht. Wobei wie jodost angemerkt hat, ist das eventuell auch nicht rechtens... :-)

Letztendlich kann man nur jedem Provider wünschen, dass einem nicht so etwas passiert. Der Hacker der bei Hetzner die Daten geklaut hat, hat ja bereits angekündigt auch andere Provider unter die Lupe zu nehmen. Ich denke spätestens jetzt sollte jeder Provider Passwörter nur noch als Hash speichern.