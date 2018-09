Anbieter Justhost betreibt fragwürdige Sicherheitspraxis. Der Versuch, ein Statement zu bekommen, wurde zur Schnitzeljagd

Auch wenn Sicherheitsprobleme eine fast tägliche Beschäftigung für IT-Journalisten ist, gibt es hier immer noch Dinge, die verblüffen können. So entdeckt beim amerikanischen Webhosting-Anbieter Justhost. Was eine einfache Anfrage zu einem Downgrade des Webspace-Pakets werden sollte, wurde zu einem Einblick in einen höchst fragwürdigen Umgang mit der Sicherheit von Kundenkonten.

Weil auf der Website und im Kontrollzentrum für meinen Account nirgendwo die Möglichkeit eines Downgrades für das Hosting-Paket hinter einer Domain angegeben war, beschloss ich, den auf der Seite angebotenen Supportchat zu nutzen. Schnell meldete sich eine Betreuerin.

Unsichere Praxis

Nach einer kurzen Abklärung meines Anliegens ersuchte sie mich, obwohl eingeloggt, zur Authentifizierung. Dabei bat sie um die letzten vier Stellen meines Passworts. Eine Vorgangsweise, die Alarmglocken läuten lässt. Denn gemäß schon lange gängigen Sicherheitsstandards sollte es eigentlich niemals dazu kommen, dass der Mitarbeiter eines Dienstes Kunden nach dem Kennwort (oder Teilen davon) fragt.

Dass die Sicherheitscommunity derlei Praktiken nicht besonders gelassen aufnimmt, musste vor einigen Monaten T-Mobile Österreich erfahren. Auch dort fragte man Kunden nach dem Passwort, um ihre Identität zu bestätigen.

foto: derstandard.at/pichler Auszug aus dem ersten Chat mit dem Support.

Kein gutes Szenario

Dass dieser Abgleich einem Mitarbeiter überhaupt möglich ist, lässt mehrere Schlüsse zu, von denen keiner ein gutes Licht auf die Firma wirft. Es kann bedeuten, dass Passwörter der Kunden im Klartext hinterlegt werden. Ebenfalls ist möglich, dass es zwar eine Verschlüsselung gibt – wie später von einem anderen Support-Mitarbeiter behauptet -, doch diese wäre offensichtlich kompromittierbar, da andernfalls diese Verifikation nicht möglich wäre.

Im günstigsten Falle sind die Passwörter als Hash in der Datenbank und für die letzten vier Stellen noch einmal ein eigener Hash-Wert hinterlegt. Selbst dann ist es aber immer noch ein Problem, dass man einem Mitarbeiter von Justhost einen Teil des Passworts preisgeben muss, das man zum Login für die Verwaltung aller beim Anbieter gebuchten Services und Domains nutzt.

Diese Argumente wurden den Justhost-Chatbetreuern vorgetragen, stießen aber defacto auf kein Verständnis. Stattdessen gab es Standardantworten: "Ihr Passwort gehört nur ihnen, niemand kann es fälschen." Zum Glück unterstützt Justhost Zwei-Faktor-Authentifizierung, die aber nicht standardmäßig aktiviert ist. Supportmitarbeiter können auch Bestätigungscodes per E-Mail schicken, überraschenderweise scheint dies aber nicht die Standard-Vorgehensweise zu sein.

Schließlich wollte ich das Problem einer offiziellen Ansprechperson der Firma vortragen und ihr die Möglichkeit einer Stellungnahme zum Umgang mit Kundendaten geben. Die Kontaktaufnahme scheiterte, trotz viermaligen Anlaufs.

foto: derstandard.at/pichler Das Kontaktformular mit veraltetem reCAPTCHA.

Kontaktaufnahme praktisch unmöglich

Zuerst wurde Seitens des Supports eine E-Mail-Adresse genannt, die aber offenbar für allgemeines Feedback gedacht war. Eine dorthin versandte Nachricht wurde laut Auskunft des Servers bis heute noch nicht zugestellt. Wahrscheinlich ist die Mailbox überfüllt, was nicht für regelmäßige Betreuung der Adresse spricht. Auch auf Twitter reagierte Justhost nicht. Der dortige Supportaccount war zuletzt im Mai 2017 aktiv.

Ein weiterer Anlauf wurde über ein Formular im Support-Bereich auf der Homepage genommen. Es stellte sich aber heraus, dass sich dieses nicht abschicken ließ. Denn zur Spam-Vermeidung war dort Googles "reCAPTCHA"-Mechanismus in Version 1 eingepflegt. Diese hat Google jedoch im vergangenen April beerdigt, was bei Justhost offenbar niemanden gekümmert hat.

Im Chat war von einem weiteren Mitarbeiter schließlich eine andere E-Mail-Adresse zu verfahren, die aber ebenfalls keinen konkreten Ansprechpartner benannte, sondern für Fragen zu den Nutzungsbedingungen gedacht war. Eine Anfrage an diese Adresse wurde zwar zugestellt, eine Antwort steht jedoch seit Tagen aus.

Webhoster scheinbar in Schwierigkeiten

Die faktische Unerreichbarkeit zu dringlichen Sicherheitsfragen und Verwahrlosungsindizien hinsichtlich des restlichen Supports könnten dafür sprechen, dass es dem Dienstleister nicht besonders gut geht. Die Plattform Webhostinggeeks schildert aus, dass Justhost aktuell rund 230.000 Top Level Domains betreut. Das zeigt einen deutlichen Abwärtstrend, denn Anfang 2013 waren es laut diesen Zahlen noch gut 500.000. Nach eigenen Angaben hostet man eine Million Seiten. Justhost ist ein Tochterunternehmen der Endurance International Group, die zahlreiche Webhosting-Firmen unter ihrem Dach vereint.

Auch die letzten Kundenrezensionen zeichnen kein gutes Bild und beinhalten vor allem Beschwerden über mangelhaften Support. Der Wertungsschnitt liegt bei weniger als zwei von fünf Sternen. (Georg Pichler, 06.09.2018)