Der Thread liegt zwar schon zwei Tage brach, aber ich möchte dem doch noch etwas hinzufügen:
Stichwort "Zumutbarkeit" und "Verantwortungsbereich"...
Bei einem Webhosting Angebot mietet man quasi SaaS, nicht den Root und hat auch keinen Root-Zugriff. Damit ist man mal von Betriebsystemupdates und Updates anderer Binaries entbunden. Sollte sich herausstellen, dass der Hacker auf den Server konnte (und dafür brauchts ggf. ein Gutachten), weil der User eine uralte Version irgendeiner Software-> Scripte (CMS?) aufgespielt hat, wird er mit großer Wahrscheinlichkeit zur Verantwortung gezogen werden, aber vermutlich in einem geringen Umfang. Sollte der User es versäumt haben die Default-Passwörter zu verändern, wird er voraussichtlich auch zur Verantwortung gezogen werden. Da könnte man schon mit Fahrlässigkeit argumentieren... Nichtsdestotrotz haben so gut wie alle professionellen Hoster auch Überwachungsalgorithmen zur Aufrechterhaltung der Service-Qualität. Abnormales Verhalten scheint da idR sofort irgendwo auf. Hoster wie funpic wäre ohne sowas längst weg vom Fenster. Den Hoster wird daher vorausichtlich eine gewisse (geringe) Mitschuld treffen, da nicht reagiert wurde.
(IdR schaltet aber der Hoster deine Seite in so einem Fall frühzeitig ab...)
Ich hab selber einen Server am Netz (Housing). Diesen habe ich so eingerichtet, dass schon basierend auf diesem Setup nur wenige Software wirklich upgedated werden muss um eine akzepable Sicherheit zu gewährleisten.
Beispielsweise ist der ESXi Host nicht direkt erreichbar. Der eingehende Netzwerktraffic wird erstmal an eine VM weitergeleitet. Diese VM ist eine Vyatta Router, der per Port-Forwarding die Pakete an die dahinterliegenden VMs weiterleitet. Damit müssen im Wesentlichen nur Sicherheitslücken in Vyatta bzw. den per Portforwarding zugänglichen Applikationen gepatcht werden um ein ausreichendes Maß an Sicherheit zu gewährleisten -und auch das muss nicht unmittelbar nach Release der Updates erfolgen. Das ist schlichtweg nicht zumutbar -genausowenig wie es nicht zumutbar wäre -um dem Auto-Beispiel oben zu folgen- sein Auto nur in abgesperrte, alarmgesicherte Garagen zu parken. Das Abschließen und schließen aller Fenster/Türen ist das, was man dem Benutzer zumuten kann. Wenn diese Pflichten erfüllt sind, ist der Besitzer nicht weiter haftbar. Das Nachrüsten einer Alarmanlage oder dergleichen ist auch nicht erfoderlich.
Das Problem an der Sache ist, dass es bezüglich IT noch recht wenig gesetzliche Grundlagen gibt und in den meisten Fällen was Internet betrifft noch am ehesten case law angewandt wird, da es schlichtweg an Gesetzen mangelt. Daher kommt es auch sehr drauf an, wie is in deinem speziellen Fall aussieht -und ggf. "präsentiert" und argumentiert wird.
Aber um konkret auf's Untervermieten einzugehen:
Schlechte Idee! Bei Webspace kann viel Schindluder getrieben werden und wenn Du selbst das nicht zumindest in irgendeiner Art und Weise überwachen kannst (logs, Graphen,...) würde ich es schonmal bleiben lassen. Außerdem kannst Du deinen Untermieter ohne irgendeine Unterschrift oder rechtlich verwertbaren Schriftverkehr nur schwer zur Verantwortung ziehen. Die meisten Firmen haben ein Legal Department oder dgl. Die kratzt das nicht, wenn da irgendwas reinkommt, was von einem Anwalt bearbeitet werden muss. Wenn Du solch ein Briefchen bekommst ist das direkt verbunden mit Kosten, die für Dich verhältnismäßig hoch sind.
Darum: Lass das mit dem Untervermieten bleiben. Es zahlt sich nicht aus. Es gibt genug günstige Angebote am Markt, dass sich derjenige nicht selber einen Webspace zulegen könnte.
MfG, Thomas
PS: Auch das ist natürlich keine Rechtsauskunft... Wenn Du etwas "verbindliches" willst, geh zu einem Anwalt... (Wobei Dir auch der mangels hieb und stichfester Rechtsgrundlagen wahrscheinlich nix wirklich "verbindlich" bestätigen wird, sondern eher Ratschläge geben wird). Da diese Kosten aber bereits unwirtschaftlich für Dich sein werden: lass es einfach gleich beiben mit dem Untervermieten! ;-)
vertan ... Asche auf mein Haupt ...
) - aber wir kommen vom Thema ab:
