Hallo an alle...

Habe da mal ein paar Fragen, die mich zwar nicht selber betreffen, aber für einen guten Bekannten wichtig wären.

Ausgangslage: Er hat(te) bei 1&1 einen Server angemietet, auf dem neben seiner privaten und geschäftlichen HP auch ein paar Sachen unserer kleinen Spielergemeinschaft waren.

Nun kam es dazu, dass über die verwendete Forensoftware auf dem Server ein Hack auf eben diesen durchgeführt wurde. Das war dem Angreifer allerdings nicht genug, nein, er musste umbedingt von diesem Server DoS-Attacken starten.
1&1 hat den Server daraufhin vom Netz genommen.

So weit, so gut.

Jetzt die Probleme:

1) 1&1 will von ihm eine unterschriebene Unterlassungserklärung haben, dass so etwas nicht wieder vorkommt. Ansonsten wäre eine Strafgebühr i.H.v. 5000 EUR fällig. Ist sowas in Ordnung? Garantieren könnte selbst 1&1 sowas nicht (bei ihren Servern)...

2) Die privaten Sachen sind nicht so tragisch, die Geschäfts-HP wäre allerdings wichtig, da die Kunden die HP erreichen können müssen. Der Server ist allerdings derzeit komplett vom Netz. Lösungsvorschäge, wie er an die Daten kommt und diese am sinnvollsten woandershin überträgt?!

Natürlich ist das rechtens und sollte auch in den AGBs stehen.
Wer einen Rootserver mietet ist für die Sicherheit verantwortlich.
Wer sich darüber nicht im klaren ist sollte einen Managed Server nehmen.
Dadurch das der Server für DoS Attacken benutzt wurde, wurde auch der Betrieb von 1&1 gestört.

Alles klar, das wollte ich wissen.

Habe mir aus Zeitgründen die AGB nicht angesehen (ist ja nicht mein Server), aber ich wusste ja, dass hier Leute sind, sich mit sowas auskennen.

Aber dennoch ne Frage: 100% Sicherheit geht nicht. In dem vorliegenden Fall ist die Attacke durch irgendeine Sicherheitslücke in einem CMS gekommen. Würde er seiner Pflicht nachkommen, wenn er sich darum kümmert, die Software immer auf dem aktuellen Stand zu halten?

Irgendwo muss ja eine Grenze gezogen werden. Ich selber bin zwar fit in IT-Security (technisch etc.), aber die rechtliche Seite ist mir eher neu.

Wie gesagt steht das in den AGBs.

4. Pflichten des Kunden
4.1

Ein Server mit Administrations-Rechten (nur bei Root- und Windows-Servern) erfordert fundierte Vorkenntnisse zur Administration von Serversystemen. Als Server-Administrator ist der Kunde allein verantwortlich für die Sicherheit des Servers vor ungewollten Zugriffen und Manipulationen durch Dritte über das Internet. 1&1 hat keine reguläre Möglichkeit, den Inhalt des Servers zu bestimmen, insbesondere keinen administrativen Zugang. Die Server-Angebote enthalten keine Sicherung durch externe Schutzsoftware. 1&1 empfiehlt den Kunden dringend, dass der Kunde selbst zuverlässige Schutzsoftware (z.B. eine Firewall oder Virenschutzprogramme) installiert und ständig aktualisiert. Nicht oder nicht ausreichend gesicherte "offene" Server sind eine Einladung zur missbräuchlichen Nutzung durch Hacker!
4.2

Der Betrieb offener Mail-Relays oder ähnlichen Systemen, über die z.B. SPAM-Mails verbreitet werden können, berechtigt 1&1, den Server sofort vom Netz zu trennen. Der Kunde wird 1&1 unverzüglich informieren, sobald er Anhaltspunkte dafür hat, dass Dritte unbefugt seinen Server nutzen. Im Übrigen verbleibt es bei der Regelung der Haftung gemäß Ziffer 8 der Allgemeinen Geschäftsbedingungen.
4.3

Es obliegt allein dem Kunden, die auf dem Server installierte Betriebs- und Anwendungssoftware zu aktualisieren. Der Kunde muss sich daher selbstständig über die Verfügbarkeit von Updates und neuen Versionen informieren und entsprechende Aktualisierungen ebenso selbständig sowie auf eigene Kosten und Gefahr durchführen.
Quelle: http://www.1und1.info/xml/order/TcRootserver;jsessionid=A2606CD3942A75224ADD41A49A274BC2.TC33a?__frame=_top&__lf=Static

Wenn also alte oder ungepatchte Software benutzt wird verstößt man gegen die AGBs.
Über die Unterlassungserklärung habe ich zwar jetzt nichts gefunden.
Es kann aber sein das dazu etwas in den Unterlagen von 1&1 steht.