Kategorie: Sicherheit

19. März 202119. März 2021

Wie sicher sind meine Daten bei Variomedia?

Der Brand eines Rechenzentrums unseres Mitbewerbers OVH und die damit verbundenen Datenverluste haben bei einigen unserer Kunden Fragen zur Sicherheit ihrer Daten bei Variomedia aufgeworfen. Wir nutzen diesen Anlass, um hier unsere Backup-Strategien zu beschreiben und die Brandschutzmaßnahmen im Rechenzentrum zu erläutern.

Was wird gesichert?

Wir führen tägliche (bzw. nächtliche) Sicherungen aller Webspace-Inhalte, MySQL-Datenbanken und E-Mail-Postfächer durch. Gesichert werden zudem alle Informationen, die in speziellen Datenbanken vorliegen, z.B. DNS-Einträge, Kalender und Kontakte in Open-Xchange und Webmail-Profile.

Eine besondere Maßnahme gibt es im besonders ausfallkritischen Bereich des E-Mail-Hostings: Alle Inhalte von Postfächern werden in Echtzeit auf einen zweiten Server synchronisiert. Dieser dient als “Hot Standby”. Fällt ein E-Mail-Backend aus, kann der zweite Server die Arbeit sofort übernehmen und es gehen keine E-Mails verloren.

Wie lange werden die Backups gespeichert?

Alle täglichen Backups stehen 30 Tage lang zur Verfügung. Zusätzlich bewahren wir ein Backup von jedem Sonntag für 6 Monate auf. Monatliche Backups von jedem ersten Sonntag im Monat halten wir für weitere 5 Monate vor. Insgesamt ist das älteste Backup daher in der Regel etwa ein Jahr alt.

Wie lassen sich Daten aus einem Backup wiederherstellen?

Auf Webspace- und MySQL-Backups können Sie selbst zugreifen. Eine Anleitung dazu finden Sie im FAQ-Artikel “Wie spiele ich ein Backup auf dem Server ein?”. Die Wiederherstellung ist auch durch uns möglich (kostenpflichtig).

Postfach-Inhalte können nur durch unsere Systemadministratoren wiederhergestellt werden. Nähere Informationen dazu finden Sie im FAQ-Artikel “Gibt es Backups meiner E-Mail-Postfächer?”.

Wohin wird gesichert?

Die täglichen Backups werden auf Servern gesichert, die im gleichen Rechenzentrum stehen, wie die Quellserver, von denen gesichert wird. Diese Backups helfen also nur bei Hardware-Fehlern oder bei selbst verursachten Datenverlusten, würden bei einem Brand im Rechenzentrum aber nichts nützen.

Aus diesem Grund betreiben wir in einem zweiten Rechenzentrum (ebenfalls in Berlin, aber geografisch getrennt) weitere Server, die als “Off-Site-Backup” dienen. Sobald die regulären, täglichen Backups erledigt sind, werden diese vom lokalen Backup-Server zum Off-Site-Backup-Server übertragen und dort für 30 Tage aufbewahrt.

Falls es also einen Brand in unserem primären Rechenzentrum geben sollte, stehen alle Daten vom Vortag im zweiten Rechenzentrum zur Verfügung und könnten von dort auf produktiv genutzte Server übertragen werden. Dieses Off-Site-Backup findet bei uns für alle auf unseren Servern gehosteten Daten statt und muss nicht kostenpflichtig gebucht werden.

Welche Brandschutzmaßnahmen werden im Rechenzentrum getroffen?

Die Server für unsere Webhosting-, Datenbanken- und E-Mail-Dienste sind in einem Rechenzentrum in Berlin untergebracht. Da es sich um ein sehr großes Rechenzentrum handelt, ist es in mehrere Gebäudebrandabschnitte mit hoher Feuerwiderstandsklasse (F 90 A) unterteilt. Die einzelnen Serverräume innerhalb des Rechenzentrums sind ebenso als Brandbekämpfungsabschnitte (F 90 A) ausgeführt. Dadurch wird verhindert, dass sich ein Brand innerhalb eines Serverraums innerhalb kurzer Zeit auf weitere Serverräume ausbreiten kann.

Um die Ausbreitung eines Brandes innerhalb der Serverräume zu erschweren, wurden für den Innenausbau ausschließlich spezielle, nicht-brennbare oder schwer entflammbare Materialien verwendet.

Die Serverräume sind mit Brandmeldern und einer automatischen Gaslöschanlage ausgerüstet: Im Falle eines Brandes wird der betroffene Serverraum automatisch mit einem speziellen Löschgas geflutet, das den Brand erstickt. Durch das Löschgas entstehen keine zusätzlichen Schäden an den Servern, wie sie etwa beim Löschen mit Wasser entstehen würden.

Zusätzlich zu konventionellen Brandmeldern sind die Serverräume mit einem Brandfrüherkennungssystem ausgestattet: Werden erste Anzeichen eines möglichen Brandes erkannt, so erfolgt eine umgehende Kontrolle durch Mitarbeiter des Rechenzentrums, die permanent vor Ort sind.

Durch diese Maßnahmen ist ein Brand des Rechenzentrums mit totalem Datenverlust sehr unwahrscheinlich.

16. März 20214. Januar 2022

Eigene Passwörter unter my.variomedia.de/mail

Passwörter für E-Mail-Postfächer bei uns lassen sich über drei verschiedene Wege setzen:

für Vertragsinhaber:innen unter Mein Variomedia
für den Postfach-Nutzer:innen unter E-Mail-Einstellungen
für Entwickler:innen mit unserer API

Bisher war es nur für Vertragsinhaber:innen und unter Verwendung der API möglich, ein Passwort frei zu wählen. Für Postfachnutzer:innen hingegen gab es nur die Möglichkeit, automatisch generierte Passwörter zu verwenden. Dies hat sich nun geändert.

Ab sofort ist es auch in den E-Mail-Einstellungen (my.variomedia.de/mail), eigene Passwörter zu wählen. Es gelten dabei strenge Richtlinien, die zu einfache Passwörter verhindern sollen. Ein gutes Passwort ist eher länger als kürzer und wird ausschließlich für einen einzigen Dienst verwendet. Wir empfehlen dringend die Nutzung eines Passwortmanagers.

Passwort-Regeln — Regeln zum Setzen eines Passworts unter https://my.variomedia.de/mail

Im Kundenmenü und per API ist es auch möglich, so genannte “Application Passwords” anzulegen. Hier handelt es sich um automatisch generierte Passwörter, die sich zusätzlich zum Haupt-Passwort eines Postfachs nutzen lassen und einer bestimmten Anwendung (z.B. Outlook oder Thunderbird) auf einem bestimmten Gerät (z.B. “Mein PC”) zugeordnet sind.

16. Januar 202017. Januar 2020

Auslaufen der Unterstützung von TLS 1.0 und TLS 1.1

Seit Anfang dieses Jahres haben die bekannten Web-Browser Chrome , Firefox, Safari, Internet Explorer und Edge begonnen, die Unterstützung der mittlerweile veralteten TLS-Versionen 1.0 und 1.1 einzustellen. Das TLS-Protokoll (früher SSL) wird zum verschlüsselten Webseitenabruf (HTTPS) und für den verschlüsselten Versand und Abruf von E-Mails genutzt.

Die TLS-Versionen 1.0 und 1.1 weisen diverse Sicherheitsprobleme auf und sollten nicht mehr genutzt werden. Wir werden daher die Unterstützung dieser TLS-Versionen auf unseren Webservern zum 15. Februar 2020 einstellen. Ab diesem Zeitpunkt werden für HTTPS-Verbindungen zu unseren Webservern nur noch die aktuellen und sicheren TLS-Versionen 1.2 und 1.3 unterstützt. Für E-Mail-Dienste (SMTP, POP3, IMAP) werden wir die veralteten TLS-Versionen zu einem späteren Zeitpunkt deaktivieren, da die Sicherheitsprobleme hauptsächlich HTTPS betreffen.

Mögliche Probleme

Alle modernen Web-Browser unterstützen die aktuelle TLS-Version 1.3. Die Vorgängerversion TLS 1.2 wurde bereits im Jahr 2008 vorgestellt, daher wird sie auch von etwas älteren Betriebssystemen und Web-Browsern unterstützt.

Nur bei sehr alten Browsern und Betriebssystemen (z.B. Windows XP, Android 4.3, iOS 4, OS X Yosemite) kann es durch die Deaktivierung von TLS 1.0 und 1.1 zu Problemen bei HTTPS-Verbindungen kommen.

Sie können bei ssllabs.com prüfen, ob Ihr Browser eine aktuelle TLS-Version unterstützt.

Kunden mit eigenem Webserver (Reseller.Dedicated bzw. Pro.Hosting-Paket ab Pro.B), sowie Nutzer unserer Legacy-Server für alte PHP-Versionen können auf Wunsch weiterhin TLS 1.0 und 1.1 für HTTPS nutzen, falls dies für die Kompatibilität mit älteren Browsern erforderlich sein sollte. Bitte wenden Sie sich dazu an unsere Kundenbetreuung.

5. Juni 20195. Juni 2019

Einstellung der Unterstützung für SSH DSA Schlüssel

Mit dem anstehenden Update unserer Webserver-Plattform auf Ubuntu 18.04 geht ein Wechsel auf eine aktuellere Version der SSH Server-Software OpenSSH einher. Dadurch können jedoch keine SSH DSA-Schlüssel mehr genutzt werden, weil diese als nicht ausreichend sicher angesehen werden, und daher von aktuellen OpenSSH-Versionen nicht mehr unterstützt werden.

Falls Sie DSA-Schlüssel auf unseren Webservern für SSH oder SFTP nutzen, sollten Sie diese durch moderne Verfahren ersetzen. Sie können diese veralteten Schlüssel am Dateinamen id_dsa bzw. id_dsa.pub oder am Präfix ssh-dss in der authorized_keys-Datei erkennen.

Wir empfehlen die Nutzung von Ed25519- oder RSA-Schlüsseln, ECDSA-Schlüssel werden ebenfalls weiter unterstützt.

25. März 20195. Juni 2019

Application Passwords – mehrere Passwörter für ein E-Mail-Konto

Ab sofort lassen sich im Kundenmenü mehrere Passwörter für ein E-Mail-Konto einrichten. Dies ermöglicht zum Beispiel eine Zuordnung verschiedener Benutzer und / oder verschiedener Clients, die auf ein E-Mail-Konto zugreifen können.

Ansicht von Application Passwords im Kundenmenü

Der Grundgedanke ist, dass ein Passwort niemals mehrfach verwendet werden sollte – nicht bei verschiedenen Diensten, nicht auf mehreren Geräten und nicht von mehreren Benutzern.

So können Sie bei der Einrichtung eines neuen Smartphones für genau dieses Gerät ein Passwort für das gewünschte E-Mail-Konto anlegen. Wenn jedes Gerät ein eigenes Kennwort nutzt (und speichert), müssen Sie dieses Kennwort auch nicht kennen oder selbst notieren; es kann besonders lang und damit sicher sein. Stellt sich heraus, dass sich zum Beispiel auf Ihrem Desktop-PC ein Trojaner befindet, der das im E-Mail-Programm gespeicherte Kennwort ausgelesen hat, müssen Sie nur dieses Kennwort entfernen – alle anderen Geräte oder Programme können weiterhin ihr eigenes Kennwort benutzen.

Es gibt auch weiterhin ein Hauptkennwort für ein E-Mail-Postfach. Sie können dieses Kennwort neu setzen und selbst bestimmen. Das Hauptkennwort wird zum Beispiel benötigt, um in unserem Menü für E-Mail-Einstellungen automatische Abwesenheitsmeldungen, Spam-Filter-Optionen oder zusätzliche Weiterleitungsziele einzustellen.

Anzeige des Passworts nach der Einrichtung

Application Passwords werden automatisch erstellt sind nicht änderbar. Wir möchten damit sicherstellen, dass sie individuell und sicher sind. Die Passwörter sind explizit dafür gedacht, in Geräten oder Programmen gespeichert zu werden – Sie müssen sie sich also nicht merken. Im Kundenmenü wird zudem angezeigt, wann und von wem ein Application Password erstellt oder gelöscht wurde. Auf diese Weise können Sie zum Beispiel auch einem Administrator zur Lösung eines Problems ein vorrübergehendes Kennwort einrichten, das Sie nach dem Ende der Arbeit wieder entfernen können – ohne dass Sie ein Kennwort auf verschiedenen Geräten ändern müssten.

Mit der Einführung von Application Passwords bieten wir ein Feature an, das es sonst nur bei sehr spezialisierten E-Mail-Hostern gibt. Wir würden uns über eine intensive Nutzung der Application Passwords freuen – sie tragen ganz erheblich zu mehr Sicherheit für das eigene E-Mail-Konto bei.

22. März 201926. März 2019

Deaktivierung von PHP 5.2, 5.3 und 5.5

Im April 2019 werden wir beginnen, unsere Webserver auf eine neue Linux-Distribution zu aktualisieren, um auch weiterhin den höchsten Sicherheitsstandards und Performance-Ansprüchen genügen zu können. Aufgrund von Inkompatibilitäten zwischen älteren PHP-Versionen und den von der Distribution bereitgestellten aktuellen Versionen von Standard-Softwarebibliotheken wie OpenSSL können wir auf der neuen Webserver-Plattform nur PHP-Versionen ab 5.6 anbieten.

Wir werden PHP 5.2 zum 15.04.2019, sowie PHP 5.3 und PHP 5.5 zum 15.05.2019 auf allen Webservern abschalten. Alle Kunden, die diese PHP-Versionen noch verwenden, erhalten von uns in den nächsten Tagen eine entsprechende Mitteilung mit konkreten Hinweisen, wo und wie diese Versionen noch verwendet werden.

Die Pflege der PHP-Versionen 5.2, 5.3 und 5.5 wurde durch das PHP-Entwicklerteam bereits 2012, 2014 bzw. 2016 eingestellt. Wir haben diese Versionen auf unseren Webservern nur aus Kompatibilitätsgründen mit älteren Web-Anwendungen weiterhin bereitgestellt. Dies ist nun auf der neuen Webserver-Plattform nicht mehr möglich.

Uns ist bewusst, dass es Skripte, Content-Management-Systeme und Shops gibt, die seit langer Zeit nicht aktualisiert wurden und nur mit PHP 5.2, 5.3 oder 5.5 funktionieren. Nicht immer ist eine Aktualisierung oder Anpassung mit wenig Aufwand möglich. Wir werden daher Kunden, die diese PHP-Versionen auch nach der Abschaltung benutzen müssen, einen speziell konfigurierten Webserver zur Verfügung stellen.

Da der Betrieb dieses Servers hohe Kosten verursacht, die sich auf wenige Kunden verteilen, werden wir nach einer kostenlosen Übergangsphase bis zum 15.07.2019 (PHP 5.2) bzw. 15.08.2019 (PHP 5.3/5.5) für die Nutzung einen monatlichen Aufpreis berechnen. Die Höhe des Aufpreises hängt von der Zahl der Kunden ab, die den “Legacy-Server” nach Ende der Übergangsphase noch benötigen. Wir rechnen zurzeit mit einem Preis von etwa 10,- Euro pro Monat pro Benutzeraccount.

Sollten Sie bei der Umstellung auf eine neuere Version Hilfe benötigen, lassen Sie es uns bitte wissen. Wenn sich herausstellt, dass Sie für eine bestimmte Webseite oder Anwendung zwingend weiterhin PHP 5.2, PHP 5.3 bzw. 5.5 benötigen, kontaktieren Sie uns bitte nach dem Erhalt unserer E-Mail, um die Migration auf den Legacy-Server zu koordinieren.

In unseren FAQ finden Sie einige häufige Fragen zur geplanten Abschaltung der älteren PHP-Versionen.

11. Januar 2019

Hinweise zu den unterstützten PHP-Versionen

Mit Beginn des Jahres 2019 wurde die Unterstützung der PHP-Versionen 5.6 und 7.0 durch die PHP-Entwickler eingestellt (End Of Life). Damit wird nun auch die letzte Version aus dem PHP 5 Release-Zweig nicht mehr weiter gepflegt, und mögliche sicherheitskritische Probleme werden nicht mehr behoben. Alle PHP-Version vor PHP 7.1 sind nun veraltet und sollten nicht mehr genutzt werden.

Umstellung auf aktuelle PHP-Versionen

Falls Sie eine Webseite bereits vor mehreren Jahren auf unseren Servern installiert haben, nutzen Sie wahrscheinlich eine veraltete PHP-Version, die nicht mehr gepflegt wird.

Wir können bestehende Webseiten, die ältere PHP-Versionen nutzen, leider nicht einfach auf eine aktuelle PHP-Version Umstellen, da es dabei häufig zu Kompatibilitätsproblemen kommt. Sie müssen daher selbst prüfen, ob Sie eine veraltete PHP-Version nutzen, und dann Testen, mit welcher aktuellen PHP-Version Ihre Webseite funktioniert.

Sofern Sie die PHP-Version nicht per .htacces-Konfigurationsdatei auf dem Webserver umgestellt haben, können Sie die aktuell genutzte PHP-Version direkt im Kundenmenü einsehen und bei Bedarf verändern. Eine Anleitung hierzu finden sie im zugehörigen FAQ-Artikel.

Vor einer Umstellung der PHP-Version sollten Sie Ihre Web-Anwendungen auf mögliche Updates prüfen, um Kompatibilitätsprobleme mit neueren PHP-Versionen zu vermeiden.

Empfohlene PHP-Version

Wir empfehlen die Nutzung von PHP Version 7.2, da PHP 7.3 erst seit wenigen Wochen verfügbar ist, und daher noch Probleme mit einigen Web-Anwendungen auftreten.

Abschaltung veralteter PHP-Versionen

Die veralteten PHP-Versionen 5.2, 5.3, 5.5, 5.6 und 7.0 bleiben zunächst auch weiter auf unseren Webservern verfügbar, sollten jedoch nach Möglichkeit nicht mehr genutzt werden.

Wir werden unsere Ubuntu Linux basierten Webserver im Laufe dieses Jahres auf Ubuntu 18.10 (Bionic) umstellen, und planen im Rahmen dieser Umstellung eine Reduzierung der von uns unterstützen PHP-Versionen auf PHP 5.6 und neuer. Ältere PHP-Versionen lassen sich unter Bionic nur mit hohem Aufwand nutzen, da sie nicht mit aktuellen Versionen von Standardsoftwarebibliotheken wie OpenSSL kompatibel sind.

Webseiten, die auf ältere PHP-Versionen angewiesen sind, werden auf eigene Server umgezogen. Die Nutzung dieser Server wird aufgrund des hohen Wartungsaufwands zu einem späteren Zeitpunkt kostenpflichtig. Wir werden betroffene Kunden darüber rechtzeitig per E-Mail informieren.

6. Dezember 201828. Januar 2019

PHP 7.3 verfügbar

Auf unseren Webservern steht ab sofort die heute neu erschienene PHP-Version 7.3 zur Verfügung.

Wir haben die seit Mitte September erschienenen Release-Candidate-Versionen bereits zu Testzwecken auf allen Webservern installiert, nun ist die finale Version 7.3.0 verfügbar und kann für den Produktivbetrieb genutzt werden.

Änderungen zur Vorgängerversion PHP 7.2

Grundsätzlich fallen die Änderungen im Vergleich zur Vorgängerversion PHP 7.2 eher geringfügig aus, so dass viele Web-Anwendungen bereits mit PHP 7.3 kompatibel sind, oder nur kleinere Anpassungen erfordern. Eine Übersicht über alle Änderungen finden Sie hier.

Nutzer des beliebtesten Content-Management-Systems WordPress sollten vor der Umstellung auf PHP 7.3 ein Update auf die ebenfalls heute erschienene WordPress-Version 5.0 vornehmen, die einige kleinere Kompatiblitätsprobleme mit PHP 7.3 behebt.

Verbesserungen in PHP 7.3

Für Endanwender besonders interessant sind mögliche Geschwindigkeitsvorteile bei der Ausführung von PHP-Scripts, wir konnten hier in unseren bisherigen Tests einen kleinen Vorteil von etwa 5% gegenüber der Vorgängerversion PHP 7.2 feststellen. Durch einen Umstieg auf PHP 7.3 lässt sich die Seitenladezeit also leicht reduzieren, was häufig zu einer besseren Seitenbewertung durch Suchmaschinen führt.

PHP 7.3 aktivieren

Sie können PHP 7.3 für Ihre Webseiten wie üblich über unser Kundenmenü oder per .htaccess-Datei mittels folgender Direktive aktivieren:

AddHandler application/x-httpd-php73 .php

Kunden, die PHP-FPM nutzen, können eine Umstellung auf PHP 7.3 formlos per E-Mail beauftragen.

Hinweise zu den unterstützten PHP-Versionen

Die PHP-Versionen 5.2, 5.3 und 5.5 sind seit mehreren Jahren veraltet und sollten nicht mehr genutzt werden. Für die PHP-Versionen 5.6 und 7.0 sind heute die voraussichtlich letzten Updates erschienen, die Pflege dieser Versionen wird von den PHP-Entwicklern zum Jahresende eingestellt.

Diese älteren PHP-Versionen stehen auch weiterhin auf unseren Webservern zur Verfügung, sie können jedoch kritische Sicherheitslücken aufweisen, die nicht mehr im Rahmen regelmäßiger Updates behoben werden. Sie sollten für Ihre Webseiten daher nach Möglichkeit die aktuell unterstützten PHP-Versionen 7.1, 7.2 oder 7.3 verwenden.

Beachten Sie bitte, dass wir die für bestehende Webseiten genutzte PHP-Version unsererseits nicht ändern, da es zu Kompatibilitätsproblemen mit älteren Web-Anwendungen kommen kann. Falls Sie bereits seit mehreren Jahren bei uns Kunde sind, nutzen Ihre Webseiten wahrscheinlich eine mittlerweile veraltete PHP-Version und Sie sollten nach Möglichkeit eine aktuellere PHP-Version auswählen (wir empfehlen PHP 7.2). Eine Anleitung zur Änderung der PHP-Version finden Sie in unseren FAQ.

4. September 2018

Kritische Sicherheitslücken in GhostScript

Am 21.08. wurden diverse kritische Sicherheitslücken im PostScript-Interpreter GhostScript bekannt. GhostScript wird auf Unix-Systemen zur Verarbeitung von PDF-Dateien genutzt, unter anderem auch vom PHP-Modul ImageMagick, daher sind auch unsere Webserver von diesem Problem betroffen.

Da ImageMagick den Dateityp anhand des Inhaltes erkennt, und auch in andere Dateitypen eingebettete PostScript/PDF-Daten unterstützt, lässt sich diese Sicherheitslücke auch bei der Verarbeitung von Bilddateien wie JPG oder PNG ausnutzen. Damit sind auch alle PHP-Anwendungen betroffen, bei denen Benutzer Bilder hochladen können, die dann mittels ImageMagick weiter verarbeitet werden.

Da momentan noch keine Sicherheitsupdates verfügbar sind, haben wir die Verarbeitung von PostScript- und PDF-Dateien in ImageMagick temporär deaktiviert, bis die entsprechenden Updates auf unseren Webservern installiert wurden.

28. Mai 201828. Mai 2018

Privat: Automatische HTTPS-Weiterleitung im Kundenmenü konfigurierbar

Falls Sie für Ihre Webseite ein SSL-Zertifikat (Let’s Encrypt, Comodo) gebucht haben, können Sie eine automatische Weiterleitung von unverschlüsselten HTTP- auf verschlüsselte HTTPS-Aufrufe nun auch einfach im Kundenmenü konfigurieren.

Öffnen Sie dazu im Kundenmenü die Seite “Hosting & Weiterleitungen” und klicken dann auf die gewünschte Domain, dort finden Sie unter “SSL” die neue Option “Umleitung auf HTTPS”. Alternativ können Sie eine solche Weiterleitung auch wie bisher per .htaccess-Konfigurationsdatei einrichten.

Diese Funktion steht für Domains mit Webspace sowie Frame-Weiterleitungen zur Verfügung. Bitte achten Sie im Falle von Frame-Weiterleitungen darauf, dass auch die eingebettete Webseite per HTTPS aufgerufen wird.