Bulldog-sicheres Hosting in Deutschland

Bitte beachten! Unsere Angebote richten sich ausschließlich an gewerbliche Kunden. Alle Preise verstehen sich daher zuz. ges. MwSt.

Bulldog
Paket 1
Bulldog
Paket 2
Bulldog
Paket 3
Bulldog
Paket 4
SSL 1 1 1 1
Extended Validation SSL 1 1
RZ 100 % Ökostrom, 0% CO2-Emmission
Webspace 4 GB 20 GB 100 GB 500 GB
Datenbank auf SSD
MySQL-Datenbanken 1 2
CGI
PHP-Versionen wählbar 2 2 2 2
Perl
Ruby
Python
Eigene Fehlerseiten
Versionierte Backups3
Wildcard Subdomain
Anzahl Domains verwaltbar 1 2 10 25
Anzahl Subdomains 2 5 10
Anzahl an FTP-Benutzer 2 5 20
Anzahl an Shell-Benutzer 2 5 10
E-Mail-Server verfügbar 4 3
Verschlüsselter E-Mail-Abruf
E-Mail-Abruf per Webmail
Max. Anzahl E-Mail-Domains 1 3
Max. Anzahl E-Mail-Konten 15 100
Max. Anzahl Mailinglisten 3 10
Max. Anzahl E-Mail Weiterleitungen 20 100
Max. Anzahl E-Mail-Catchall-Konten 0 1
E-Mail-Konto Beschränkung 500 MB 5 GB
Max. Anzahl an Cronjobs 0 1 10
Erlaubte Cronjob Typen URL Chrooted Chrooted
Preis pro
Monat
ab 9,99 €5,6,7 ab 29,99 €5,6,8 99,99 €5,6,9,10 249,99 €5,9,10
Bestellen Bestellen Bestellen Bestellen
  1. Das erste Zertifikat ist im Preis inbegriffen, folgende Zertifikate werden separat berechnet, Zertifikatseinbau und Schlüsselpaarerzeugung in den Paketen 3 + 4 enthalten
  2. Aus jeder aktuell unterstützten Major-Version mindestens eine Version frei wählbar; automatisierte Versionshebung einstellbar
  3. Backups werden auf Servern in Rechenzentren unterschiedlicher Standorte gespeichert und sind versioniert nach Anzahl Tagen
  4. Individuelle Konfiguration
  5. Zuz. ges. MwSt., unsere Angebote richten sich ausschließlich an gewerbliche Kunden
  6. Vertragslaufzeit mind. ein Jahr
  7. Preis pro Monat bei jährlicher Zahlungsweise – Gesamtpreis pro Jahr 119,88 € zuz. ges. MwSt.; 12,99 € bei monatlicher Zahlungsweise – Gesamtpreis pro Jahr 155,88 € zuz. ges. MwSt.
  8. Preis pro Monat bei jährlicher Zahlungsweise – Gesamtpreis pro Jahr 359,88 € zuz. ges. MwSt.; 34,99 € bei quartalsweiser Zahlungsweise – Gesamtpreis pro Quartal 104,97 € zuz. ges. MwSt. – Gesamtpreis pro Jahr 419,88 € zuz. ges. MwSt.; 39,99 € bei monatlicher Zahlungsweise – Gesamtpreis pro Jahr 479,88 € zuz. ges. MwSt.
  9. Preis pro Monat bei monatlicher Zahlungsweise – bei Vorauszahlung für ein Jahr 3 % Skonto
  10. Kein Weiterverkauf, nur innerhalb eines Unternehmens für eigene Zwecke

Unser Angebot „Sicheres Hosting“

Unser Angebot „Sicheres Hosting“ umfasst eine auf Sicherheit und Datenschutz optimierte, individuelle Art des Webhostings.

Sie konzentrieren sich auf Ihr Geschäft. Und wir kümmern uns darum, dass das eine sichere Basis hat. Die genannten Pakete sind als Basisinformation zu sehen. Sie können exakt so gebucht werden, sind aber auch individuell anpassbar. Das Angebot „Sicheres Hosting“ beinhaltet im Einzelnen:

  • SSL/TLS-Verschlüsselung der gesamten Internetpräsenz
  • Extended Validation Zertifikat (die Firma des Internetseiten-Betreibers erscheint im Adressfenster des Browsers) in den Paketen 3 und 4
  • Datenaustausch mittels Server- und Client-Software (zum Beispiel FileZilla) ausschließlich über sicheres FTPS
  • Ausschließliche Verwendung zertifikatsbasierter Verschlüsselung (anstelle von Passwörtern) zum Hochladen von Änderungen an der Internetseite (zum Beispiel zum Ändern von Texten, Artikeln usw.; gilt nicht für CMS-Systeme)
  • Validierung sicherer Zugangsdaten (Benutzernamen/Passwörter)
  • Piwik als datenschutzkonformes Analytics-Tool
  • Hochsichere Backup-Strategie inkl. Versionierung (Bereitstellung unterschiedlicher zeitlicher Versionen, die gesamte Internetpräsenz wird auf zwei getrennten Servern, die in räumlich getrennten Rechenzentren stehen, gesichert)
  • E-Mail-Server (für Pakete 3 und 4 individuell konfiguriert)
  • Optimale Serverausstattung- und konfiguration zum schnellen Laden von Internetseiten
  • 24/7-Serverüberwachung mittels automatisierter Prozesse
  • Telefonischer Support
  • E-Mail-Ticketsystem
  • Gewährleistung einer Sicherheits-Beurteilung der Internetpräsenz auf der Prüfseite www.ssllabs.com mit A

Optional (gegen Aufpreis)

  • Katastrophenhilfe 24/7
  • Umfassende datenschutzrechtliche Analyse von Inhalt und Aufbau der Internetseite
  • Erstellung eines Datenschutz-Konzeptes für die Internetpräsenz
  • Stellung eines Datenschutzbeauftragten für das Unternehmen
  • Schulung von MitarbeiterInnen zu Fragen von Datenschutz und Datensicherheit
  • Aufbau und Implementierung einer Datenschutz und/oder Datensicherheits-Kultur
  • Einbau und Betreuung eines sicheren Datenübertragungs-Tools
  • Technische SEO (Suchmaschinenoptimierung in Hinsicht auf die technischen Aspekte und in Ergänzung zur von uns nicht angebotenen klassischen SEO, sprich: Texte optimieren, Social-Media-Optimierung, Linkaufbau u. ä.)
Bildausschnitt mit der Bwertung A+ für sicheres Hosting von Bulldog-Hosting
So sieht es aus, wenn sicheres Hosting Erfolg hat

Sicheres Hosting

„Never change a running system“ hat sich als beliebter Spruch in der IT festgesetzt. Leider ist er so eingängig wie falsch. Für die Sicherheit von Websites gilt er definitiv nicht. Wahrhaft sicheres Hosting lässt sich nur in ständigem Diskurs und steter Anpassung der Systeme zwischen Rechenzentrumsanbieter, Websitebetreiber und Hoster herstellen. Und genau das bietet Bulldog-Hosting.

Sicheres Hosting beinhaltet eine Reihe von Faktoren. Wir von skriptura befassen uns seit vielen Jahren mit den Themen Datenschutz und Datensicherheit. Zunächst allein im eigenen Interesse, dann für das Thema Datenschutz auch für unsere Kunden. Das Thema Datensicherheit gehört zunehmend untrennbar zum Datenschutz. Mit unserem aus eigener Erfahrung entstandenem know how in Fragen von Datenschutz, Datensicherheit und cloud computing beraten wir Sie kompetent und umfassend. Sicheres Hosting bedeutet bei uns, dass wir uns um alle Aspekte der Sicherheit Ihrer Websites kümmern. Wir zeigen Ihnen eventuelle Schwachstellen auf und präsentieren Ihnen die passenden Lösungen. Ein Beispiel für ständige Anpassungen ist das erst kürzlich eingeführte „Public key pinning“, bei dem der aufrufenden Web-Browser (Internet Explorer bzw. der Nachfolger Edge, Google Chrome, Mozilla Firefox und Co.) einen Pin empfängt, indem so genannte Hashes von kryptographischen Schlüsseln hinterlegt sind. Der Browser wird fortan nur noch Aufrufe dieser Website vornehmen, wenn die entsprechenden Schlüssel mitgeliefert werden. Damit werden wirksam so genannte Man-in-the-middle-Angriffe verhindert. Eine genaue Erklärung der HPKP genannten Sicherheitsmethode finden Sie auf https://dirkwolf.de.

Was macht sicheres Hosting aus?

Zur Sicherheit im Internet – wir reden hier speziell über Webhosting – gibt es eine Reihe von Schutzzielen, die allgemein anerkannt sind:

  • Vertraulichkeit: Bezieht sich auf die Nutzer von Internetseiten. Nur berechtigte Nutzer dürfen auf Daten zugreifen. Das gilt sowohl beim Zugriff auf wie auch bei der Übertragung von Daten.
  • Integrität: Daten dürfen nicht ohne Eingriff oder Erlaubnis desjenigen, der sie zur Verfügung stellt, verändert werden können. Zudem müssen Änderungen nachvollziehbar sein.
  • Authentizität: Es muss gewährleistet sein, dass die Daten echt sind, dass ihre Echtheit überprüfbar ist und dass sie vertrauenswürdig sind.
  • Verfügbarkeit: Dieses Schutzziel bezieht sich auf die Gewährleistung der Systemverfügbarkeit. Der Zugriff auf die bereitgestellten Daten muss im zugesagten Zeitrahmen gewährleistet sein.
  • Zurechenbarkeit: Es muss gewährleistet sein, dass die durchgeführten Handlungen einem Kommunikationspartner unabstreitbar zugerechnet werden können.

Wir kümmern uns darum, diese Schutzziele mit Ihnen gemeinsam für Ihre Website zu erreichen. Sicheres Hosting eben! Mehr zum Thema Datenschutz und Datensicherheit finden Sie auf der Website von Dirk Wolf.

Es kommt niemand darum herum, sich selbst um die Sicherheit seiner Website zu kümmern

Die Sicherheit einer Website ist elementare Aufgabe jeden Website-Betreibers. Seit dem 25.07.2015 steht das auch explizit im „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz).

Für Betreiber von Webservern wie zum Beispiel Online-Shops gelten damit ab sofort erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme. Telekommunikationsunternehmen sind verpflichtet, ihre Kunden zu warnen, wenn ihnen auffällt, dass der Anschluss des Kunden - etwa als Teil eines Bot-Netzes - für IT-Angriffe missbraucht wird. Gleichzeitig sollen sie ihre Kunden auf mögliche Wege zur Beseitigung der Störung hinweisen. Im Gesetz wird der Begriff „Stand der Technik“ genutzt, um konkrete Vorgaben zu vermeiden und einer kontinuierlichen Fortentwicklung Rechnung zu tragen. Interpretiert werden kann dies mit der Einhaltung von nationalen oder internationalen Standards oder erprobter Vorbilder im jeweiligen Bereich.[1]

[1] Quelle: IHK Hannover-Hildesheim (http://www.hannover.ihk.de/ihk-themen/wirtschaftsschutz/aktuell-wirtschaftsschutz/it-sicherheitsgesetz.html)

Konkret müssen Betreiber von Websites also „geeignete technische und organisatorische Maßnahmen ergreifen, um unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern“. Ein Website-Betreiber ist dafür verantwortlich, dass diese Daten so geschützt sind, dass kein anderer sie sich unerlaubt zueignen kann. Wohl gemerkt: das bezieht sich nicht nur auf „kritische Bereiche“, wie die Atomindustrie oder Ähnliche, sondern auf jeden Betreiber einer Website, sofern sie „technische Einrichtungen“ zur Verfügung stellen, also praktisch auf jeden. Schon ein einfaches Formular, das Daten abfragt, bspw.  für eine Katalog-Bestellung, muss durch technische Maßnahmen vor dem Abgreifen der Daten gesichert sein. Eine sichere Übertragung der Daten vom Browser des Nutzers auf den Webserver des Anbieters ist nur möglich mit dem Einbinden eines SSL/TLS-Zertifikats, das diese Verbindung verschlüsselt.

Eine Website sicher zu machen ist eine Aufgabe, die der Website-Betreiber in aller Regel nicht allein erledigen kann, es sei denn, er betreibt auch den Webserver selbst. Das wird in vielen Fällen nicht so sein. Für diese Fälle ist unser Service gedacht. Website-Betreiber, die sich um den Aspekt Sicherheit Gedanken machen und die ihre Website sicher machen und – vor allem – sicher halten wollen, werden von unserem Angebot angesprochen. Welche Leistungen dabei von uns erbracht werden, ist in jedem Einzelfall zu besprechen. Das kann vom reinen Hosting bis zur Stellung eines Datenschutzbeauftragten im Haus des Website-Betreibers gehen. Sicherheit ist jedenfalls nur herzustellen in ständigem Diskurs zwischen Hoster und Website-Betreiber.

Es braucht eine Vielzahl von Maßnahmen, Websites sicher zu machen. Diese Maßnahmen sind technischer wie organisatorischer und verhaltensbezogener Art.

  • Technische Maßnahmen sind bspw. die Einbindung von Zertifikaten, die Einrichtung sicherer Übertragungswege, die Verschlüsselung von Zugängen oder die Einrichtung einer Backup-Umgebung zur Sicherung von Daten und Betriebssystemen. Bei uns gehört ein höchst ausgeklügeltes Feintuning an der Konfiguration der Webserver dazu.
  • Organisatorische Maßnahmen umfassen sowohl die Konzeption von Datenschutz und Datensicherheit im Unternehmen als auch für die Internetpräsenz.
  • Verhaltensbezogene Maßnahmen beziehen die Menschen ein, die die Systeme bedienen. Wenn Passwörter unter der Schreibtischunterlage aufbewahrt werden oder am Bildschirm kleben, nützen die schönsten Datenschutzkonzepte nichts. Eine umfassende Schulung, die die Praxis im Unternehmen berücksichtigt und Lösungen aufzeigt, die Datenschutz und Datensicherheit praktikabel machen, verhindert eine Kompromittierung der getroffenen Maßnahmen und der Systeme.

Die Aspekte der Sicherheit im Einzelnen:

Die Grundlage: Das Internet

„Das“ Internet als solches ist zunächst einmal wie ein offenes Buch, in das jeder nach Belieben hineinschauen und sogar die Inhalte ändern, verfälschen oder löschen kann. Erst der Einsatz von Verschlüsselungstechnologien macht die unterschiedlichen Zweige des Internets – FTP (File Transfer Protocol), WWW (World Wide Web), E-Mail usw. – sicher. Oberhalb dessen gibt es vier Ebenen, die alle mit der gleichen Sorgfalt gehegt und gepflegt werden müssen, um Sicherheit langfristig zu gewährleisten.

1. Rechenzentrum

Auf der untersten Ebene muss das Rechenzentrum sicher sein. Die Rechenzentren von Hetzner®, in denen unsere Server stehen, befinden sich ausnahmslos in Deutschland und unterliegen ausschließlich deutschem und europäischem Recht und sind damit der Grundstein für sicheres Hosting.

Hetzner® verfügt über zwei Datacenterparcs in Nürnberg und Falkenstein im Vogtland. Wir nutzen Server in beiden Parcs, um räumlich getrennt Anwendungen und deren Backups zu halten. Die Datacenterparcs verfügen über eine unterbrechungsfreie Stromversorgung bis zu 15 Minuten und werden anschließend über Notstromaggregate versorgt. Moderne Brandmelde-Frühesterkennungsanlagen sind direkt mit den Feuerwehren der Kommunen verbunden.

Vielfach redundante Anbindungen, darunter an den größten deutschen Austauschknoten DE-CIX, sorgen für einen reibungslosen Datenaustausch.

2. Webserver

Ist für ein sicheres Rechenzentrum gesorgt, wie wir es unserem Fall mit unserem Partner Hetzner® getan haben, muss der nächste Schritt für sicheres Hosting die Sicherheit der zweiten Ebene, nämlich des Webservers sein. Auch wenn Hetzner® ein sicheres Rechenzentrum zur Verfügung stellt, könnten die Kunden des Rechenzentrums ihre gemieteten Server so konfigurieren, dass sie nicht sicher sind. Unsere Webserver sind auf einer individuell, an vielen Stellschrauben, veränderten Ubuntu-Basis aufgesetzt. Reine Standard-Installationen von Ubuntu- oder auch Debian-Servern liefern schon deshalb weniger Sicherheit, weil, wenn es einen Fehler gibt, dieser an sehr vielen Standard-Installationen Schaden anrichten kann. Wir richten uns bei der Gestaltung von Sicherheit unter anderem an dem allgemein anerkannten SSL-Test der Website https://www.ssllabs.com/ssltest/ aus. Dort streben wir grundsätzlich die Bestnote A+ an. Was unter anderem dazu führt, dass Websites, die von uns gehostet sind, von Windows XP-Rechnern mit den Internet Explorern 6.x und 8.x nicht angezeigt werden. Ebenso Nutzer von Android 2.3.7 oder tiefer und von Nutzern von Java 6u45. Traurig für die Nutzer dieser Konfiguration. Aber unerlässlich für den Betrieb eines sicheren Servers. Die genannten Kombinationen erlauben einen Zugriff auf den Server, der diesen unsicher machen würde. Und nur wegen der Bequemlichkeit einiger unbelehrbarer Internet-Nutzer werden wir uns keine Unsicherheit erlauben. Konsequenz gegenüber der Nachlässigkeit unerfahrener oder leichtsinniger User ist ein Sicherheitsaspekt! Unser Versprechen: von uns gehostete Websites erhalten von ssllabs.com immer mindestens ein A, vorausgesetzt unsere Hinweise werden von den Website-Betreibern beachtet. Unsere eigenen Seiten haben übrigens meistens ein A+, die beste erreichbare Note. Die Einschränkung „meistens“ zeigt, dass sich niemand auf einmal Erreichtem ausruhen darf. Wird an einer Stelle ein Datenleck bekannt, muss es so schnell wie möglich geschlossen werden. Ansonsten droht die Abstufung. Zur Sicherung der Webserver zu jeder Zeit gehört daher die ständige Überwachung, die bei uns über zahlreiche eigene Cronjobs und selbst geschriebene Programme sichergestellt wird. Eigene Cronjobs und eigene Programme sind wichtig, weil ihre Funktionsweise in Hackerkreisen nicht bekannt sind und ein individuelles Hacken erfordern würden, was die meisten Hacker nicht beherrschen und was für die, die es können, meist einen zu großen Aufwand für zu wenig Ertrag bedeuten würde.

Machen wir damit einen Webserver unangreifbar? Nein. Einen absolut, gegen jedermann sicheren Webserver gibt es nicht. Denken Sie allein an die fast unbegrenzten Möglichkeiten US-Amerikanischer Geheimdienste.  Wir behaupten nicht, dass wir unbezwingbar sind. Aber wir machen es möglichen Angreifern so schwer wie möglich. Der Aufwand, eine Website, die bei uns gehostet ist, soll möglichst in die Höhe getrieben werden. Uns erfolgreich anzugreifen ist teuer. Sehr teuer.

Übrigens gibt ein erheblicher Teil der möglichen Angreifer sofort auf, wenn er sieht, dass bestimmte Vorsichtsmaßnahmen ergriffen wurden. Die einen, weil sie wissen, dass es zu teuer wird, die anderen durchaus auch aus Respekt vor Anbietern, die Sicherheit groß schreiben.

3. Website

Sicheres Hosting allein reicht nicht. Sind das Rechenzentrum und der Webserver sicher, ist es am Website-Betreiber, seinerseits mit einer sicheren Website die Sicherheit der dritten Ebene zu gewährleisten. Diese kann mit oder ohne unsere Unterstützung eingerichtet werden. In jedem Fall werden wir uns – das ist Grundvoraussetzung für einen Hostingvertrag mit uns – die Seite konstruktiv-kritisch ansehen. Ist die Website mit einem bekannten CMS in aktueller Version erstellt, wird in aller Regel das Core dieser Website nicht problematisch sein. Probleme bereiten oft allzu schnell installierte Plugins, Komponenten, Templates usw. Werden diese von unerfahrenen oder sorglosen Programmierern geschrieben, enthalten sie oft Sicherheitslücken, die ein Eindringen in Websites ermöglichen. Je nach Vertragsart werden wir mit dem Website-Betreiber gemeinsam nach Lösungen suchen, das gewünschte Ziel sicher zu erreichen. Wichtige Einstellungen werden in der Datei .htaccess getroffen. Unsere Webhosting-Kunden werden von uns eingehend beraten, wie unter vielem anderen, mit den richtigen Einstellungen in dieser Datei Sicherheit hergestellt werden kann.

4. Der Browser des Nutzers

Sicheres Hosting nützt wenig, wenn auf der obersten Ebene, der Browser des Nutzers nicht sicher ist. Das Wirksamste, was der Nutzer dazu beitragen kann, ist die angebotenen, meist kostenfreien Updates seines Browser-Herstellers (Microsoft Internet Explorer®, Mozilla Firefox®, Google Chrome® usw.) zu installieren. Ebenso muss das verwendete Betriebssystem (Microsoft Windows®, iOS®, Linux®, aber auch Android®, Windows Phone® usw.) aktuell gehalten werden. Allerdings sind die meisten Browser auch in etwas älteren Versionen sicher. Nur extrem alt sollten sie nicht sein. Wie schon oben beschrieben, sind bspw. die Kombination von Windows XP und Internet Explorer 6 oder älter nicht sicher. Nutzern dieser Kombination werden von uns gehostete Websites nicht angezeigt.

Sind alle vier Punkte gewissenhaft erledigt und befolgt, wird kein Angreifer eine Chance haben, in das System einzudringen und Schaden anzurichten. Allerdings ist das kein einmaliger Prozess. Hier gilt ein KVP „Kontinuierlicher Verbesserungs-Prozess“ als Pflichtprogramm. Und definitiv nicht „Never change a running system“.

Partner werden?