Aus gegebenem Anlass muss ich leider einen Rant zu einem Thema schreiben, das mich innerlich vor Zorn kochen lässt. Ich bin zwar über die Jahre hinweg deutlich ruhiger in solchen Themen geworden, aber ab und an überkommt es mich doch.
Was ist passiert?
In meinem täglichen Job beschäftige ich mich als Sysadmin vor allem mit Serversicherheit. Dabei haben wir momentan das Problem, dass dank eingestellter Software ein Upgrade auf eine neuere Version des Debian OS nicht so einfach ist. Trotz alledem wurde und wird in hingebungsvoller Kleinarbeit dafür Sorge getragen, dass die Server die notwendigen und wichtigen Serverstandards haben – denn ich sehe mich als Admin in der Verantwortung dafür Sorge zu tragen, dass die Serversicherheit verstärkt und vor allem auch verfügbar ist – und das ganz ohne ein IT-Sicherheitsgesetz.
Nun haben wir vor einiger Zeit unsichere Verbindungen für den Erhalt und Versand von E-Mails abgeschaltet. Das bedeutet, dass nun jeder Kunde der eine E-Mail versenden oder empfangen will, sich immer über TLS (mindestens 1.0 aus Kompatibilitätsgründen) zum Server verbinden und seine Zugangsdaten verwenden muss. Die Umstellung an sich war ein spannendes Erlebnis, allein wie viele Kunden a) angeschrieben wurden und b) bisher ohne mit der Wimper zu zucken, unverschlüsselt Mails abriefen oder versendeten. Das dabei die Zugangsdaten durch die Welt und für jeden lesbar gepumpt wurden, störte niemanden – „es läuft doch auch so?“
Besonders spannend wird es aber nun mit all jenen Kunden, die eine Software eines Drittanbieters einsetzen, die scheinbar nicht in der Lage ist, mit STARTTLS sich am Server anzumelden. Da wir kein SSLv3/2 mehr anbieten, funktioniert diese Software nicht mehr. Die Hersteller dieser „mehrfach zertifizierten und prämierten Software“ (ich frage mich wer diesen Schrott zertifiziert hat, wobei für Geld ja bekanntlich alles gemacht wird), glänzen trotz angeblicher „Fachkräfte“, die sich auf den „Über uns“ Seiten auch noch mit vor Jahrzehnten erworbenen Titeln rühmen, mit einer Inkompetenz die seines Gleichen sucht. Da wir dem Kunden schon mal eben empfohlen, „ach schalten Sie doch SSL ab, dann geht das auch“. Ich will nun nicht erst mit dem IT-Sicherheitsgesetz wedeln, das vermutlich ein Papiertieger ohne Zähne ist und kaum zum Einsatz kommt, aber soetwas sollte man mindestens abstrafen, wenn nicht sogar veröffentlichen.
Das eigentlich Schlimme daran ist nur, dass es niemanden stört. Derartige O-Töne werden direkt weiter geleitet und der Kunde steht mit forderndem Blick im Ticketsystem und erwartet, dass man als Provider mal eben alle Sicherheitsmaßnahmen über Bord wirft, nur damit die Schrottsoftware funktioniert. Ich frage mich ernsthaft, warum man immer auf die Idee kommt den Server an die Software anzupassen, anstatt den alten Ranzcode endlich mal aufzuräumen und dafür zu sorgen, dass er dem aktuellen Standard entspricht. Nur das ist vermutlich in den klammen Kassen gar nicht mehr drin: Der Code wurde vor gefühlten 100 Jahren von einem unterbezahlten Studenten im Keller zusammengeschustert und wird jahrelang nur durch Leichenfledderei und wildem Rumgepatche am Leben erhalten.
Am Ende des Tages kündigt der Kunde dann mit der Begründung, dass die Server des Providers zu sicher(!) sind und deswegen die Software, die man doch so dringend braucht, nicht funktioniert. Beim Null-Ahnung-Hoster um die Ecke, der natürlich von Sicherheit nichts gehört hat, funktioniert doch alles.
Ich habe mir es nicht nehmen lassen, zu verifizieren wie der Ist-Stand ist. Nachfolgend die Ergebnisse erst von unserem Server und dann vom dem Server auf den der Kunde nun umzieht.
Unser Hosting Server:
Server des „neuen“ Anbieters:
Das Beste an der Geschichte: Wir bieten den Kunden für solche Problemfälle sogar einen Ausweg, in dem man einen virtuellen MX buchen kann. Dabei handelt es sich um einen vServer der individuell für den Kunden zusammen gestellt und dann konfiguriert wird. So kann der Kunde dort ensprechend „unsicher“ einliefern, wir verschlechtern jedoch nicht die Sicherheit unserer Hosting Server. Leider ist es jedoch so, dass wir eher technisch und objektiv argumentieren, anstatt dem Kunden das Blaue vom Himmel vorzulügen, nur damit wir einen Kunden bekommen. Aber scheinbar legt heute keiner mehr Wert auf technischen Sachverstand und Qualität, Hauptsache die Software läuft irgendwie. Zum Glück gibt es noch 80 Mio andere Kunden.
Leider kann ich die Namen der Anbieter hier nicht veröffentlichen auch wenn es mir sehr schwer fällt. Es ist aber ein Schlag ins Gesicht all derer, die sich darum kümmern, dass Server sicher sind und die Kunden, wie es das IT Sicherheitsgesetz fordert, diese sicheren Verbindungen auch nutzen.
Es ist ein Armutszeugnis, dass es dafür ein Gesetz braucht und noch viel schlimmer ist, dass das Gesetz vermutlich kaum zur Anwendung kommt. Ich freue mich auf all jene die der Meinung sind, dass Sicherheit vernachlässigbar ist, wenn sie selbst irgendwann genau dafür am Pranger stehen.
PS: Es geht aber noch besser. Ein kleinerer mittelständischer Hoster schafft sogar die Note F
