DDoS und Versuche, Server als Bots zu übernehmen sind keine selten beobachteten Hackingversuche mehr, sondern Geschäftsmodelle. Wer einen eigenen Server betreibt, sollte sich sehr zeitnah um Updates und Patches zeitnah kümmern.
Es gibt gute Gründe, auf einen eigenen Server zu setzen, statt auf ein Webhosting-Paket: Man muss die wertvollen RAM- und CPU-Ressourcen nicht mit anderen Webseitenbetreibern teilen. Niemand mag langsame Webseiten, weder Google noch die User. Ein eigenes Serversystem aufzubauen, könnte eine Alternative sein, erfordert aber Investitionen und entsprechendes Know How. Cloud-Services versprechen Abhilfe und sind recht einfach zugänglich geworden. Doch hier ergibt sich die Gefahr, in eine Sackgasse zu geraten.
Der Einstieg in die Welt der dedizierten Server ist eigentlich nicht kompliziert. So kommen viele Anwender, die nicht aus der Admin-Ecke kommen, sondern eher die Geschäftsidee im Auge haben, auf die Idee, sich einen Server zu mieten. Ein nichtkommerzielles Beispiel für eine Application Stack Sammlung ist Turnkey Linux. Oft jedoch unterschätzt man, wie wichtig das Wissen über Serveradministration und Serversicherheit ist.
Nicht selten stellen Anbieter ein laufendes Grundsystem bereit. Ähnliches gilt für virtuelle Server in einer Public Cloud. Der fertige Stapel aus Betriebssystem und diversen Modulen für Skriptsprachen ist schnell aufgesetzt und das Erfolgserlebnis kommt schnell. Je nach Stack ist auch schon eine Anwendung integriert, sei es ein CMS, Kolaborationssoftware, Ticketsystem. Doch wer kümmert sich von nun an um die Updates und Aktualisierungen?
Die Probleme beginnen dann, wenn Sicherheitslücken geschlossen werden müssen. In letzter Zeit sind beispielsweise immer wieder Probleme mit SSL-Komponenten aufgefallen. Wir erinnern uns noch schmerzlich an den Heartbleed-Bug. Kürzlich erst hat man eine weitere SSL-Lücke entdeckt, die als „DROWN“ durch die einschlägige Presse gegangen ist. Mit vertretbarem Rechenaufwand ließ sich die Verschlüsselung brechen.
Im Falle von DROWN ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf den Plan getreten und hat eine Liste mit unsicheren Servern erstellt. Über die Hoster wurden die Serverbetreiber davon in Kenntnis gesetzt.
Natürlich beschäftigen sich auch die Suchmaschinen mit solchen Problematiken. Wie intensiv Google das zum Beispiel tut, davon vermittelt der Abschnitt „Sicherheit und Datenschutz“ im Transparenzbericht einen Eindruck. Dabei behält Google nicht nur ein Auge auf einzelnen Domains, sondern auf das sogenannte Autonome System, also auf den Anbieter, der die Server bereitstellt. Daten über Malwarefunde kann man über das „Malware Dashboard“ einsehen. Ist eine Website als schädlich markiert, kann man den Suchtraffic vergessen. Auch Facebook zickt übrigens gerne herum, wenn eine URL, die geteilt werden soll, potentiell schadhafte Elemente enthält.
Wer als Nicht-Experte einen eigenen Server nutzen will, ist mit einem Managed Server oft besser beraten. Hier übernimmt der Serververmieter, also der Hoster, die Pflege des Grundsystems und spielt bei Bedarf Patches ein. Zudem ist früher oder später auch ein Update des Betriebssystems fällig. Oder die Implementierung einer neuer neuen PHP-Version steht an, wie letztens beim Sprung auf PHP 7.0. Wer im Umgang damit nicht geübt ist, verliert Geld, weil externe Hilfe geholt werden muss oder Zeit, die man lieber zum Geldverdienen verwenden möchte.
Der Nutzer kümmert sich nach wie vor um die Anwendung. Erfreulicherweise sind die populären Webapplikationen wie WordPress oder Joomla inzwischen viel Update-freundlicher, weisen auf Updates hin und spielen diese zum Teil automatisch ein. Serverbetriebssysteme tun dies in der Regel nicht – da muss der Administrator ran.