Infos & Service

Zusammenfassung zu der im Juli 2018 entdeckten Datenpanne


Veröffentlicht am 17.11.2018 von DomainFactory

12. Oktober 2018 - Am 3. Juli 2018 behauptete ein Nutzer im DomainFactory Forum, Zugang zu Kundendaten der DomainFactory zu haben. Wir haben daraufhin Untersuchungen eingeleitet, unsere Kunden, die Datenschutzbehörde, das Bundeskriminalamt sowie das Bundesamt für Sicherheit in der Informationstechnik benachrichtigt und diverse Sicherheitsvorkehrungen getroffen. In diesem Beitrag möchten wir Ihnen nun abschließend alle Informationen dazu zur Verfügung stellen.

Was genau ist passiert?

Am 3. Juli 2018 behauptete ein Nutzer im DomainFactory Forum, Zugang zu Kundendaten zu haben und veröffentlichte als Beweis einige Datensätze. Wir haben umgehend alle verantwortlichen Teams alarmiert und Untersuchungen gestartet.

Dabei mussten wir feststellen, dass wir einer Straftat zum Opfer gefallen sind: Der Angreifer ist unbefugt in unser System eingedrungen. Sofort eingeleitete polizeiliche Ermittlungen laufen derzeit noch.

Erste Ergebnisse zeigten, dass durch eine Systemumstellung Ende Januar 2018 unbeabsichtigt bestimmte Kundeninformationen für außenstehende Dritte über einen Datenfeed zugänglich waren. Dieser Datenfeed wurde ausgelöst, wenn Kunden an ihren DomainFactory-Accounts Änderungen vorgenommen hatten, die beim Speichern zu Systemfehlern führten. Die Informationen in dem Datenfeed umfassten folgende personenbezogene Informationen:

  • Kundenname
  • Firmenname
  • Kundennummer
  • Stammdaten-E-Mail-Adresse
  • Anschrift
  • Telefonnummer
  • DomainFactory Telefon-Passwort
  • Bankname und Kontonummer (z.B. BIC oder IBAN)
  • Schufa-Score

Weitere Zahlungsdaten z.B. zu Rechnungen waren im Datenfeed nicht enthalten.

Bei den fortlaufenden Untersuchungen mussten wir feststellen, dass derselbe Angreifer auf weitere Systeme zugegriffen hat. Wir bitten um Verständnis, dass wir Ihnen auf Grund laufender Ermittlungen keine weiteren Details dazu nennen können.

Was hat DomainFactory zur Absicherung der Systeme unternommen?

Nachdem wir die Zugriffsmöglichkeiten ausfindig gemacht hatten, haben wir sofort entsprechende Gegenmaßnahmen ergriffen, um weiterem Missbrauch entgegenzuwirken.

Die Zugangsmöglichkeiten wurden gesperrt, verdächtige Systeme unschädlich gemacht und sämtliche Logindaten unserer Mitarbeiter geändert.

Zudem haben wir eine externe Sicherheitsfirma beauftragt, uns bei der forensischen Untersuchung unserer Systemumgebung zu unterstützen und die Datenschutzbehörde und das Bundesamt für Sicherheit in der Informationstechnik sowie alle unsere Kunden über die Datenpanne informiert.

Es ließen sich keine Hinweise finden, dass weitere Personen Zugriff auf unsere Systeme hatten; die Zugangsmöglichkeiten sind nunmehr geschlossen.

Für eine höhere Sicherheit unserer Systeme setzen wir nun eine Web Application Firewall (WAF) von Cloudflare für den Bestellprozess und das Kundenmenü ein. Sie arbeitet als Filter zwischen unseren Servern und potenziell bösartigem Datenverkehr aus dem Internet und schützt vor betrügerischen Aktivitäten wie SQL-Injections und Cross-Site-Scripting.

Da der Angreifer die Telefonpasswörter unserer Kunden auslesen konnte, haben wir außerdem die Authentifizierung bei telefonischen Anfragen angepasst: Das Telefonpasswort wurde durch den Support-Token abgelöst, der Ihnen in Ihrem Kundenmenü im Header angezeigt wird und sich automatisch in regelmäßigen Abständen aktualisiert.

Außerdem haben wir alle Kunden aufgefordert, ihre Kundenpasswörter zu ändern. Für alle Kunden, die ihr Kundenpasswort nicht zeitnah geändert haben, wurde es nach vorangehender Benachrichtigung via E-Mail einzig aus Vorsichtsgründen automatisch zurückgesetzt.

Wie wurden die Kunden informiert?

Wir haben alle Kunden per E-Mail über die Datenpanne informiert und zusätzlich regelmäßig Updates geschickt.

Dabei haben wir alle Kunden gebeten, ihre Bankkontoauszüge zu überwachen und bei verdächtigen Kontobewegungen auch zu erwägen, die Polizei zu verständigen. Tatsächlich sind uns jedoch keine Fälle bekannt, bei denen Auffälligkeiten festgestellt werden konnten.

Als Hilfestellung zur Änderung der Passwörter haben wir einen Blogartikel mit Anleitungen zur Änderung der Passwörter bereitgestellt.

Kunden, bei deren Accounts gesonderte Sicherheitsmaßnahmen notwendig waren, wurden in einem separaten Mailing angeschrieben.

Parallel zu den E-Mails haben wir auf unserer Statusseite, auf der Sie jederzeit relevante Meldungen zu unseren Systemen nachlesen können, seit dem 6. Juli 2018 über die Datenpanne informiert.

Durch das überdurchschnittliche Volumen an Rückfragen rund um die Datenpanne kam es leider in den Wochen danach zu erhöhten Antwortzeiten in unserem Kundenservice. Auch das hatten wir auf unserer Statusseite vermerkt. An dieser Stelle möchten wir uns nochmal dafür entschuldigen und uns für Ihre Geduld bedanken. Wir haben in zusätzliche Ressourcen im Kundenservice investiert und stehen hinsichtlich der Abarbeitung der Rückstände mit der Datenschutzbehörde weiter in Kontakt.

Wir waren auch zu jedem Zeitpunkt in den sozialen Netzwerken da und haben die gesamte Interaktion mitverfolgt. Dabei haben wir sehr wohl mitbekommen, dass einige von Ihnen sich gewünscht hätten, dass wir uns (insbesondere auf Twitter) zu dem Vorfall äußern. Eine direkte Kommunikation zu unseren Kunden via E-Mail, und zusätzlich ein ausführlicher Hinweis auf unserer Statusseite – also über die Kommunikationsmedien, die wir im Falle wichtiger Ankündigungen auch sonst wählen – erschien uns deutlich übersichtlicher, als in eine verzweigte Diskussion in den sozialen Netzwerken einzusteigen.

Sie haben zwischenzeitig sämtliche uns zur Verfügung stehenden Informationen erhalten, die wir Ihnen trotz laufender Ermittlungen mitteilen durften. Jeder Kunde wurde per E-Mail über die Datenpanne informiert. Seien Sie versichert, dass wir keine für Sie relevanten Ergebnisse oder Informationen zurückgehalten haben.

Was passiert mit dem Forum?

Unser DomainFactory Kundenforum hat Raum für Diskussion, aber auch für den Wissensaustausch zwischen den Nutzern geboten. Neue Mitglieder wurden immer herzlich begrüßt und Fragen konnten meist mit ausführlichen Lösungsvorschlägen diskutiert und geklärt werden. Im Laufe der Jahre ist so eine umfangreiche Wissensdatenbank entstanden und die Community ist ein wichtiger Teil von DomainFactory geworden. Daher ist uns der Entschluss am 4. Juli 2018, das Forum offline zu nehmen, nicht leichtgefallen. Die Deaktivierung war jedoch zum Schutz der Daten unserer Nutzer erforderlich.

Wir möchten Ihnen versichern, dass wir kein Interesse daran haben, auf unser Forum zu verzichten.

Jedoch haben wir nach dem Angriff alle Systeme genau überprüft und mussten feststellen, dass das Forum, wie es bisher zur Verfügung stand, nicht mehr unseren Sicherheitsanforderungen entspricht.

Wir haben uns in den vergangenen Wochen ausführlich Gedanken darüber gemacht, wie wir es in einer aktualisierten Variante zur Verfügung stellen werden: Es soll allen Ansprüchen der Nutzer und Mitarbeiter in einem modernen System gerecht werden, gleichzeitig möchten wir das bislang gesammelte wertvolle Wissen wieder zugänglich machen.

Daher setzen wir ein komplett neues System auf. Wir sehen uns dabei genau an, welche Themenbereiche des alten Forums gern genutzt wurden und welche eher nicht mehr, und leiten daraus eine neue, übersichtlichere Struktur ab.

Reseller können wieder wie gewohnt in einem eigenen geschützten Bereich diskutieren.

Eine Schnittstelle zum Kundenmenü in der Weise des alten Forums jedoch wird es nicht mehr geben, die Freischaltung für den internen Reseller-Bereich erfolgt manuell.

Parallel werden wir Ihnen die Inhalte des alten Forums übergangsweise in einer aktualisierten read-only Version zur Verfügung stellen. Sie können dort also keine neuen Diskussionen starten oder alte Beiträge kommentieren, jedoch haben Sie die Möglichkeit, lesend auf die Inhalte zuzugreifen. Da kein Login mehr in das alte System möglich ist, werden nur noch die öffentlichen Bereiche zugänglich sein.

Wir bitten an dieser Stelle um Ihr Verständnis, dass wir das alte Forum, wie Sie es kannten, aus Sicherheitsgründen nicht wieder online stellen können. Diese Entscheidung ist zum Schutz der Daten unserer User getroffen worden. Wir hoffen auf Ihr Verständnis dafür, und dass Sie auch in unserem neuen Forum vorbeischauen werden!

Häufig gestellte Fragen

Hier haben wir die häufigsten Fragen zur Datenpanne für Sie zusammengestellt.

Warum hattet Ihr den Schufa-Score gespeichert?

Wir haben im Zeitraum vom 14. Dezember 2004 und 12. Februar 2007 auf Grundlage unserer Datenschutzerklärung bei Neukunden eine Schufa-Prüfung vorgenommen. Danach haben wir diese Praxis eingestellt und die Schufa-Daten zwischenzeitig gelöscht.

Entspricht die Datenexportfunktion dem Artikel. 15 Datenschutz-Grundverordnung ("Auskunftsrecht der betroffenen Person")?

Die Datenexportfunktion entspricht Artikel 20 Datenschutz-Grundverordnung "Recht auf Datenübertragbarkeit". Ihren Auskunftsantrag nach Artikel 15 Datenschutz-Grundverordnung richten Sie bitte an datenschutz@df.eu. Wir senden Ihnen dann ein Formular an Ihre in den Stammdaten hinterlegte E-Mailadresse bei DomainFactory, um Sie gesetzeskonform identifizieren zu können. Füllen Sie dieses Formular bitte aus und senden es anschließend an sar@df.eu.

Wurden die Bankdaten verschlüsselt oder im Klartext gespeichert?

Wir haben Kontonummer, Bankleitzahl und BIC (Bank Identifier Code) im Klartext gespeichert. Der IBAN (International Bank Account Number) erscheint nur in den ersten sechs und den letzten vier Ziffern im Klartext, ist sonst aber verschlüsselt.

Das können Sie auch in Ihrem Kundenmenü unter „Stammdaten -> Zahlungsinformationen“ nachvollziehen.

Alle aktuellen Kreditkarteninformationen werden im Tokenization-Verfahren verschlüsselt.

Gibt es den Kunden nicht mitgeteilte weitere Sicherheitslücken?

Während unserer Untersuchung haben wir keine Anhaltspunkte für andere als in den Kundenmitteilungen vom 7. und 9. Juli 2018 genannten Sicherheitslücken gefunden.

Ich bin gar kein Domain Factory-Kunde mehr. Warum haben Sie meine Daten nicht gelöscht?

Wir sind aus steuerlichen und rechtlichen Gründen verpflichtet, Kundendaten für 10 Jahre aufzubewahren.

Konnte der Angreifer auch auf meine Postfächer zugreifen?

Wir haben keine Anhaltspunkte dafür gefunden, dass dem Angreifer ein Zugriff auf Postfächer möglich war.

 

Abschließend betonen wir nochmals, dass uns die Privatsphäre unserer Kunden sehr wichtig ist und wir die Datenpanne zutiefst bedauern. Sollten Sie weitere Unterstützung benötigen oder Fragen offen geblieben sein, senden Sie uns bitte eine E-Mail an support@df.eu oder nutzen Sie die Kommentarfunktion unter dem Beitrag.

Der Autor:


Als Qualitätsanbieter überzeugen wir mit HighEnd-Technologie und umfassenden Serviceleistungen. Mit mehr als 1,3 Millionen verwalteten Domainnamen gehören wir zu den größten Webhosting-Unternehmen im deutschsprachigen Raum.

Kommentare

Dateien hier ablegen
  • Dorothea

    Dorothea

    am 24.06.2019

    Datenschutz ist sehr wichtig. Die in diesem Artikel beschriebene Datenpanne ist noch eine klare Bestätigung dafür. Datenschutz ist sehr wichtig. Die in diesem Artikel beschriebene Datenpanne ist noch eine klare Bestätigung dafür.

    Dateien hier ablegen
  • Tim Klein

    Tim Klein

    am 04.02.2019

    Normalerweise kann man sich in vielerlei Hinsicht nicht 100% sicher sein, dass die eigenen Daten sicher sind. Heutzutage richten sich Hacker ja auch nicht nur an größere Ziele, wie facebook etc. [...] Normalerweise kann man sich in vielerlei Hinsicht nicht 100% sicher sein, dass die eigenen Daten sicher sind. Heutzutage richten sich Hacker ja auch nicht nur an größere Ziele, wie facebook etc. welche damit ja auch große Probleme haben. Selbst die kleinsten Seiten im Web werden heute schon angegriffen. Da bringt es schon viel, wenn man Sicherheitslücken früh entdeckt. Wenn ich eine neue Website aufbaue, kommt die Sicherheit als Erstes dran. Man kann seine Seite auch mal "probe Angreifen" lassen. Da gibt es verschiedene Freelancer, welche dies anbieten. Wir sammeln auch viele Daten über unsere <a href="https://ephesoft.com/de/loesungen/bpo-und-scan-dienstleister/"; rel="nofollow">BPO Software</a>. Es gibt da draußen einige zwielichtige Personen, welche sehr interessiert an solchen Daten sind. Das gilt vor allem auch für Websites und Domains. Dessen sollte man sich bewusst sein.

    • Tina

      Tina

      am 03.03.2019

      Was haben eigentlich kommerzielle Backlinks hier verloren!? Was haben eigentlich kommerzielle Backlinks hier verloren!?

    • Matthias

      Matthias

      am 17.03.2019

      Würde mich auch interessieren. Preis Deine Software woanders an! Würde mich auch interessieren. Preis Deine Software woanders an!

    Dateien hier ablegen
  • Wo steht das?

    Wo steht das?

    am 17.12.2018

    Ich würde das gerne genauer wissen: Welche Quelle belegt eigentlich die Datenverarbeitung in der Ukraine? Wo kann man das nachlesen? Ich würde das gerne genauer wissen: Welche Quelle belegt eigentlich die Datenverarbeitung in der Ukraine? Wo kann man das nachlesen?

    • da steht das:

      da steht das:

      am 17.12.2018

      df.eu/de/support/formulare/

      ich hoffe die Url wird nicht gefiltert. Formular Nummer 19 "Subunternehmer" df.eu/de/support/formulare/

      ich hoffe die Url wird nicht gefiltert. Formular Nummer 19 "Subunternehmer"

    • Aha!

      Aha!

      am 18.12.2018

      Danke für die Info! Danke für die Info!

    Dateien hier ablegen
  • Jörg

    Jörg

    am 04.12.2018

    Na denn: ciao!
    1. Domain gekündigt - alle anderen folgen.
    Wir waren echt happy mit df.
    Aber jetzt inzwischen ist df.eu ein STRATO|GODADDY|1UND1|USW-Verein. Hobby-Blog: OK. Business: Geht gar [...] Na denn: ciao!
    1. Domain gekündigt - alle anderen folgen.
    Wir waren echt happy mit df.
    Aber jetzt inzwischen ist df.eu ein STRATO|GODADDY|1UND1|USW-Verein. Hobby-Blog: OK. Business: Geht gar nicht.
    RIP. Wird nicht mehr lange dauern.

    • Don

      Don

      am 04.12.2018

      STRATO|GODADDY|1UND1|USW sind inzwischen wesentlich vertrauenswürdiger als df.
      In Sachen Kundendaten in der Ukraine werden die Kunden inzwischen nicht mal mehr verarscht sondern nur noch [...] STRATO|GODADDY|1UND1|USW sind inzwischen wesentlich vertrauenswürdiger als df.
      In Sachen Kundendaten in der Ukraine werden die Kunden inzwischen nicht mal mehr verarscht sondern nur noch angeschwiegen.
      Mehr Inkompetenz in Verbundung mit Arroganz geht nicht.

    Dateien hier ablegen
  • .

    .

    am 26.11.2018

    Oh - nun herrscht in der Ukraine sogar Kriegsrecht. Wie toll, dass sämtliche Daten aller DF-Kunden in diesem Land verarbeitet werden ... Oh - nun herrscht in der Ukraine sogar Kriegsrecht. Wie toll, dass sämtliche Daten aller DF-Kunden in diesem Land verarbeitet werden ...

    • Bernhard

      Bernhard

      am 27.11.2018

      JA, aber das ist dem Herrn Dr. C. B. vermutlich egal.
      Achja, das Forum ist immer noch offline.
      Achja, und es gibt immer noch keine News oder einen Abschluss. JA, aber das ist dem Herrn Dr. C. B. vermutlich egal.
      Achja, das Forum ist immer noch offline.
      Achja, und es gibt immer noch keine News oder einen Abschluss.

    Dateien hier ablegen
  • Hans

    Hans

    am 04.11.2018

    Da schaue ich Monate nach der Datenpanne hier mal rein und muss erschreckend feststellen,
    dass Kunden weiter auf DF rumhacken.
    Natürlich war sie Datenpanne sehr ärgerlich aber das was hier und auf [...] Da schaue ich Monate nach der Datenpanne hier mal rein und muss erschreckend feststellen,
    dass Kunden weiter auf DF rumhacken.
    Natürlich war sie Datenpanne sehr ärgerlich aber das was hier und auf anderen Plattformen abläuft
    ist wieder so typisch für Deutschland, es ist peinlich. Es wird nach Polizei, Anwälten, DSGVO gerufen
    wie nach der Mama oder damit gedroht!
    Ich unterstelle DF keine Absicht und möchte das geregelt haben aber ich habe nicht das Bedürfnis den
    Laden fertig zu machen oder zu schädigen. So verhalten sich hier allerdings einige!
    Nehmt euch mal alle nicht so wichtig im Schutz des Internets!
    Ich bin seit über 10 Jahren Kunde hier und das bleibt auch so!

    • Tanja

      Tanja

      am 05.11.2018

      Hallo Hans, vielleicht warst Du zu lange weg, um zu verstehen, dass die Datenpanne nebensächlich ist. Schon das Wort "Datenpanne" ist übrigens Marketing.

      Wenn du dich bei den anderen Punkten wie [...] Hallo Hans, vielleicht warst Du zu lange weg, um zu verstehen, dass die Datenpanne nebensächlich ist. Schon das Wort "Datenpanne" ist übrigens Marketing.

      Wenn du dich bei den anderen Punkten wie dem geschlossenen Forum, der Administration in der Ukraine oder dem schlechten Krisen-Management nicht aufregst, dann ist das dein gutes Recht. Kannst ja in ein paar Monaten nochmal vorbei schauen. Wenn es DF dann noch gibt.

      Letztendlich geht es um Vertrauen und um den Anspruch, ein Premiumhoster zu sein. Dafür zahlt man. Und um eine bestimmte Art von Wirtschaft, die GoDaddy verkörpert.

    • Ich

      Ich

      am 05.11.2018

      @Hans

      Wenn man nur "Kunde" ist und an Datenschutz, Technik keine Anforderung stellt, kann man auch weiter bei DF bleiben.
      Wenn man allerdings Reseller ist und eigene Kunden hat, geht das, was hier [...] @Hans

      Wenn man nur "Kunde" ist und an Datenschutz, Technik keine Anforderung stellt, kann man auch weiter bei DF bleiben.
      Wenn man allerdings Reseller ist und eigene Kunden hat, geht das, was hier in den letzten Jahren abläuft, gar nicht mehr.
      Auch ich bin schon sehr lange hier und kenne die guten, alten Zeiten, wo DF wirklich nur Klasse war.

      Aber jetzt, kein Kommentar mehr dazu.

    • Martin

      Martin

      am 16.11.2018

      @Hans

      Sie haben ja nicht die geringste Ahnung, was das Ganze für Auswirkungen für Reseller und Agenturen hat. Hauptsache man selbst hat keine Probleme, dann passt ja alles, nicht wahr? @Hans

      Sie haben ja nicht die geringste Ahnung, was das Ganze für Auswirkungen für Reseller und Agenturen hat. Hauptsache man selbst hat keine Probleme, dann passt ja alles, nicht wahr?

    Dateien hier ablegen
  • Senf

    Senf

    am 04.11.2018

    Ich habe mich die letzte Stunde hier mal ein stückweit in die Kommentare reingelesen. Kundendaten werden in der Ukraine verarbeitet? Echt jetzt? Davon wusste ich noch gar nichts. Dann werde ich mal so [...] Ich habe mich die letzte Stunde hier mal ein stückweit in die Kommentare reingelesen. Kundendaten werden in der Ukraine verarbeitet? Echt jetzt? Davon wusste ich noch gar nichts. Dann werde ich mal so langsam die Zelte abbrechen und meinen Umzug vorbereiten. Schade eigentlich, df war für mich mal sehr innovativ, fortschrittlich und angenehm anders...

    Dateien hier ablegen
  • yourDaddy

    yourDaddy

    am 02.11.2018

    Wann ist das Forum wie angekündigt verfügbar?
    Seit dem 4.Juli ist nun seeeehr viel Zeit vergangen.
    Wir haben jetzt November und auf https://www.df.eu/forum/ ist immer noch nichts zu finden.
     [...] Wann ist das Forum wie angekündigt verfügbar?
    Seit dem 4.Juli ist nun seeeehr viel Zeit vergangen.
    Wir haben jetzt November und auf https://www.df.eu/forum/ ist immer noch nichts zu finden.
    Eine read only Version sollte für einen großen Hoster doch wohl innerhalb von wenigen Tagen möglich sein.

    Dateien hier ablegen
  • (bald ex?)-dF-Kunde

    (bald ex?)-dF-Kunde

    am 21.10.2018

    Was ist eigentlich nun mit der Entschädigung für den Aufwand mit der Änderung der Paßwörter, Kommunikation mit der Kundschaft als Reseller und mit dF?

    Habe seit Wochen eine Anfrage an die [...] Was ist eigentlich nun mit der Entschädigung für den Aufwand mit der Änderung der Paßwörter, Kommunikation mit der Kundschaft als Reseller und mit dF?

    Habe seit Wochen eine Anfrage an die Geschäftsleitung am Laufen . Mir wurde im Telefonsupport die eMail-Adresse der Geschäftsleitung gegeben mit der Zusicherung, dass eine Entschädigung für den Aufwand erfolgen wird.

    Aber keinerlei Rückmeldung, auch auf erneute telefonische Anfrage und neue eMail nicht.

    So kann man nicht mit Kunden umgehen. Das ist doch kein ordentliches Geschäftsgebahren.

    • Ich

      Ich

      am 22.10.2018

      Das wäre schön, wenn das auch öffentlich mal gesagt wird, ob es eine Entschädigung gibt und in welcher Form.

      Bin auch sofort dabei. Das wäre schön, wenn das auch öffentlich mal gesagt wird, ob es eine Entschädigung gibt und in welcher Form.

      Bin auch sofort dabei.

    Dateien hier ablegen
  • Dirk

    Dirk

    am 19.10.2018

    Wann wird eigentlich mal die Startseite df.eu angepasst? Da steht immer noch *Von unseren Kunden mit „hervorragend“ bewertet.* obwohl seit einem Vierteljahr die Kundenbewertung bei trustpilot nur noch [...] Wann wird eigentlich mal die Startseite df.eu angepasst? Da steht immer noch *Von unseren Kunden mit „hervorragend“ bewertet.* obwohl seit einem Vierteljahr die Kundenbewertung bei trustpilot nur noch "gut" (4 von 5 Sternen) ist und nicht mehr hervorragend (5 von 5 Sternen).

    • Anna

      Anna

      am 22.10.2018

      Danke für den Hinweis, das haben wir weitergegeben. Danke für den Hinweis, das haben wir weitergegeben.

    Dateien hier ablegen
  • getCustomerSupportToken

    getCustomerSupportToken

    am 19.10.2018

    Entschuldigung, aber glauben Sie, dass die Fehlermeldung
    INIT: You don't have permission to access df.getCustomerSupportToken()
    sinnvoll ist, wenn man sich abmeldet bzw. abgemeldet wird [...] Entschuldigung, aber glauben Sie, dass die Fehlermeldung
    INIT: You don't have permission to access df.getCustomerSupportToken()
    sinnvoll ist, wenn man sich abmeldet bzw. abgemeldet wird (timeout)?

    Nicht, dass da wieder irgend ein "Datenfeed" defekt ist!!!

    Dateien hier ablegen
  • Herbert

    Herbert

    am 18.10.2018

    Ist Ihnen die sichere Verwahrungspflicht von Kundendaten, zu denen auch ehemalige Kunden zählen, ein Begriff? Warum externalisieren sie die Daten ehemaliger Kunden nicht? Ich habe selbst einen Betrieb [...] Ist Ihnen die sichere Verwahrungspflicht von Kundendaten, zu denen auch ehemalige Kunden zählen, ein Begriff? Warum externalisieren sie die Daten ehemaliger Kunden nicht? Ich habe selbst einen Betrieb und mir ist natürlich klar, dass Kundendaten wegen möglicher Behördenanfragen aber auch steuerlicher Nachforschungen 10 Jahre aufbewahrt werden müssen. Allerdings sollte man nicht so fahrlässig sein, diese Kundendaten via Schnittstellen zum WAN/Internet an bzw. abgreifbar zu machen. Diese Datensätze sollten unbedingt extrernalisiert werden, also in verschlüsselter Form auf externen Datenträgern ausgelagert und somit dem potentiellen Zugriff unbeteiligter Dritter entzogen sein! Je größer der Kundenkreis ist, umso wichtiger ist diese Maßnahme. Es ist absolut nicht einsehbar, warum dies zumind. bei jenen Kunden, mit denen seit Jahren keinerlei aktive Geschäftsbeziehung mehr besteht (ich bin ein solcher), nicht umgesetzt wurde.

    • Herbert

      Herbert

      am 18.10.2018

      Nachtrag:
      Sollte sich herausstellen, dass nach Beendigung der Geschäftsbeziehung mit Domainfactory meine Daten bzw. die meiner Firma in gleich welcher Form in der Ukraine verfügbar gemacht bzw. [...] Nachtrag:
      Sollte sich herausstellen, dass nach Beendigung der Geschäftsbeziehung mit Domainfactory meine Daten bzw. die meiner Firma in gleich welcher Form in der Ukraine verfügbar gemacht bzw. verarbeitet wurden, obwohl ich dazu niemals - weder während aufrechter Geschäftsbeziehung geschweige denn nach Beendigung dieser - mein Einverständnis erklärte hatte, sehe ich mich leider dazu veranlasst. meinen Anwalt damit zu befassen.

    • Jörg Becker

      Jörg Becker

      am 18.10.2018

      Verstehe ich das richtig? Obwohl ich für die Option "Server in Deutschland" bezahlt habe, wurden diese von außerhalb Deutschlands aus administriert (hier Ukraine)?

      Verstehe ich das ebenfalls [...] Verstehe ich das richtig? Obwohl ich für die Option "Server in Deutschland" bezahlt habe, wurden diese von außerhalb Deutschlands aus administriert (hier Ukraine)?

      Verstehe ich das ebenfalls richtig, das ich zu dieser Form der Administration hätte a) aufgeklärt werden müssen und b) um mein Einverständnis gebeten werden müssen?

      Drittens und letztens - war eine Administration außerhalb der EU überhaupt rechtmäßig?

    • Herbert

      Herbert

      am 18.10.2018

      @ Jörg Becker:
      Exakt um diese Punkte dreht es sich! Das möchte ich eben gerne von einem Anwalt abgeklärt wissen. Die Verträge von damals mit DF hab ich ja alle noch u. werde diese dem Anwalt [...] @ Jörg Becker:
      Exakt um diese Punkte dreht es sich! Das möchte ich eben gerne von einem Anwalt abgeklärt wissen. Die Verträge von damals mit DF hab ich ja alle noch u. werde diese dem Anwalt vorlegen. Ich habe heute meine Rechtsschutzversicherung diesbezüglich kontaktiert. Glücklicherweise ist das in meinem Rechtsschutzpaket abgedeckt.

    • Don

      Don

      am 01.11.2018

      Gut für df, dass es in Deutschland noch keine Sammelklage gibt. Gut für df, dass es in Deutschland noch keine Sammelklage gibt.

    Dateien hier ablegen
  • Matthias B

    Matthias B

    am 16.10.2018

    Mit der ganzen Informationspolitik von DF bin ich sehr unzufrieden.
    Auf die schon oft genannten Kritikpunkte wie: Administration in der Ukraine, AV-Verträge, offene Tickets gibt es aus meiner Sicht [...] Mit der ganzen Informationspolitik von DF bin ich sehr unzufrieden.
    Auf die schon oft genannten Kritikpunkte wie: Administration in der Ukraine, AV-Verträge, offene Tickets gibt es aus meiner Sicht nur unzureichende Ausssagen. Und die Geschäftleitung schweigt bzw schickt die Pressesprecherin/Communitybetreuerin vor.
    Gut jetzt kann man sagen das ist auch Ihre Aufgabe und dafür wird sie bezahlt. Aben in so einem schwerwiegenden Fall erwarte ich eine Stellungnahme der Geschäftsleitung und grundlegende Veränderungen damit das Vertrauen wieder aufgebaut wird!

    Am meisten stört mich der Punkt: Administration in der Ukraine - Ich zahle einen extra Betrag das meine Daten in Deutschland gehostet werden. Mein Verständnis war und ist, das auch die Administration der DE-Server von Admins in Deutschland gemacht wird.

    • Rainer.D

      Rainer.D

      am 16.10.2018

      Das sehe ich auch so, entweder man lässt die Deutschland-Gebühr fallen oder nimmt die entsprechenden Server aus dem Ukraine Zugriff heraus. Das sehe ich auch so, entweder man lässt die Deutschland-Gebühr fallen oder nimmt die entsprechenden Server aus dem Ukraine Zugriff heraus.

    • Nadine G.

      Nadine G.

      am 18.10.2018

      Die ganzen Versprechen hier werden wieso nicht eingehalten. Es ändert sich nichts, Server bleiben in Deutschland, etc. und jetzt, jetzt zahlt man noch dafür das die Server in Deutschland sind.

      Aber [...] Die ganzen Versprechen hier werden wieso nicht eingehalten. Es ändert sich nichts, Server bleiben in Deutschland, etc. und jetzt, jetzt zahlt man noch dafür das die Server in Deutschland sind.

      Aber auch der Zugang hier wird ja mittlerweile über die USA geleitet, wegen der WAF.

    • Peter

      Peter

      am 20.10.2018

      Exakt das ist der Punkt, der mich schockiert. Gebt doch mal endlich eine Stellungnahme hierzu und lenkt nicht ständig ab. Exakt das ist der Punkt, der mich schockiert. Gebt doch mal endlich eine Stellungnahme hierzu und lenkt nicht ständig ab.

    Dateien hier ablegen
  • Schufa Auskunft????

    Schufa Auskunft????

    am 16.10.2018

    Hi DF,

    ihr schreibt: "Wir haben im Zeitraum vom 14. Dezember 2004 und 12. Februar 2007 auf Grundlage unserer Datenschutzerklärung bei Neukunden eine Schufa-Prüfung vorgenommen".
    Online konnte ich [...] Hi DF,

    ihr schreibt: "Wir haben im Zeitraum vom 14. Dezember 2004 und 12. Februar 2007 auf Grundlage unserer Datenschutzerklärung bei Neukunden eine Schufa-Prüfung vorgenommen".
    Online konnte ich jedoch nun entdecken das ihr dieses Jahr im Mai versucht habt meine Bonitäts zu überprüfen.
    Wir könnt ihr das bitte erklären?

    • Anna

      Anna

      am 16.10.2018

      Wir haben die Prüfung nur im angegebenen Zeitraum durchgeführt. Würden Sie uns nähere Infos per Ticket zukommen lassen, damit wir das klären können? Wir haben die Prüfung nur im angegebenen Zeitraum durchgeführt. Würden Sie uns nähere Infos per Ticket zukommen lassen, damit wir das klären können?

    • baylda

      baylda

      am 16.10.2018

      Bitte direkt an das BayLDA melden. Ohne Zwang wird nur vertuscht und abgewiegelt. Bitte direkt an das BayLDA melden. Ohne Zwang wird nur vertuscht und abgewiegelt.

    • Balou

      Balou

      am 16.10.2018

      Anna,

      Wenn die Prüfung (Schufa und Score Speicherung) nur im angegeben Zeitraum durchgeführt wurde wie kann der Score im Daten Feed auftauchen?
      Daten waren doch gelöscht bzw von 2007 und früher. Anna,

      Wenn die Prüfung (Schufa und Score Speicherung) nur im angegeben Zeitraum durchgeführt wurde wie kann der Score im Daten Feed auftauchen?
      Daten waren doch gelöscht bzw von 2007 und früher.

    Dateien hier ablegen
  • Alex

    Alex

    am 16.10.2018

    ich habe auch keinerlei Antworten bekommen ( ich habe auch keinerlei Antworten bekommen (

    • Thomas

      Thomas

      am 16.10.2018

      Bei mir gab es noch nicht mal Ticket IDs auf die E-Mails an die "Service" E-Mail Adresse. Erst, als die gleichen E-Mails noch mal übers KM rausgingen, gab es die.
      Also da stimmte einiges nicht.

       [...] Bei mir gab es noch nicht mal Ticket IDs auf die E-Mails an die "Service" E-Mail Adresse. Erst, als die gleichen E-Mails noch mal übers KM rausgingen, gab es die.
      Also da stimmte einiges nicht.

      Und auch ich bin mit der Komunikation seitens dF in diesem Fall absolut nicht zufrieden. Ja, da wurde eine Straftat begangen. Doch wenn ich meine Tür sperrangelweit auflasse und dann nach dem Dienstahl bei der Versicherung sage: "hey, ich wurde Opfer einer Straftat.", sagt diese zu Recht: sie haben Mitverantwortung, weil die Tür offen war.

    • service

      service

      am 16.10.2018

      Auf serviceinfo@df.eu wurden uns nie Eingangsbestätigungen zugesandt. Auf serviceinfo@df.eu wurden uns nie Eingangsbestätigungen zugesandt.

    Dateien hier ablegen
  • Rainer.D

    Rainer.D

    am 16.10.2018

    Meine gestrigen (sachlichen) Bemerkungen zur "Zusammenfassung" möchten Sie leider nicht veröffentlichen. Ich bitte aber darum nach den "laufenden Ermittlungen" auf die Punkte die bisher in der [...] Meine gestrigen (sachlichen) Bemerkungen zur "Zusammenfassung" möchten Sie leider nicht veröffentlichen. Ich bitte aber darum nach den "laufenden Ermittlungen" auf die Punkte die bisher in der "Zusammenfassung" nicht erwähnt werden umfassend einzugehen.

    • Anonymous

      Anonymous

      am 16.10.2018

      @Rainer.D: Was hast du geschrieben damit die das nicht veröffentlichen? @Rainer.D: Was hast du geschrieben damit die das nicht veröffentlichen?

    • Rainer.D

      Rainer.D

      am 16.10.2018

      dev-db, Gentoo-Patches, PHP-Version von Kunden-Menü und RP2, usw. usw. dev-db, Gentoo-Patches, PHP-Version von Kunden-Menü und RP2, usw. usw.

    • Anna

      Anna

      am 16.10.2018

      Ihr Beitrag wurde leider automatisch als Spam erkannt, wir haben ihn nun freigegeben. Danke für den Hinweis! Ihr Beitrag wurde leider automatisch als Spam erkannt, wir haben ihn nun freigegeben. Danke für den Hinweis!

    • hhhh

      hhhh

      am 16.10.2018

      Ja. DF erwähnt das überhaupt nicht und tut so, als wenn nur wenige Kunden betroffen sind. Man hat das Gefühl, dass hier nur vertuscht wird ... Ja. DF erwähnt das überhaupt nicht und tut so, als wenn nur wenige Kunden betroffen sind. Man hat das Gefühl, dass hier nur vertuscht wird ...

    Dateien hier ablegen
  • -prh

    -prh

    am 15.10.2018

    @Anna
    Bitte nicht missverstehen, aber Sie tun mir leid, wenn ich mir vorstelle, was Sie hier an vorderster "Front" auszuhalten haben.

    »Gute Kommunikation« heißt eben nicht, irgendwelche [...] @Anna
    Bitte nicht missverstehen, aber Sie tun mir leid, wenn ich mir vorstelle, was Sie hier an vorderster "Front" auszuhalten haben.

    »Gute Kommunikation« heißt eben nicht, irgendwelche Subalternen (sorry, sorry, sorry) nach vorn zu schieben, sondern sich selbst mit den Fragen und Problemen der Kunden auseinanderzusetzen. Und damit ist die DF-Führungsriege gemeint.

    Ansonsten: Auch ich (mit meinem kleinen ManagedServer XL7) habe Abschied von DF genommen. Es fiel mir schwer, aber angesichts der Entwicklungen hier musste es sein.

    BTW: Gibt es denn Nils Dornblut, den ich persönlich seit vielen Jahren als DF-Kunde sehr schätze, noch in Ihrem Haus? Es würde mich doch sehr interessieren, ob es hierzu eine klare DF-Antwort gibt.

    -prh

    • Kay

      Kay

      am 15.10.2018

      Auch ich muss mich verabschieden, 10 Jahre DF, nur knapp über 100 Domänen, ein Server, zwei Exchange Postfächer, ein kleiner Fisch halt, wurde aber am Anfang meiner Zeit wie ein guter Kunde behandelt, [...] Auch ich muss mich verabschieden, 10 Jahre DF, nur knapp über 100 Domänen, ein Server, zwei Exchange Postfächer, ein kleiner Fisch halt, wurde aber am Anfang meiner Zeit wie ein guter Kunde behandelt, in den letzten Jahren wurde es aber richtig schlimm.

      Auch noch Tickets offen, keine Antworten. Forum geschlossen, keine Alternative.

      Habe schon fast alles umgezogen zu anderen freundlichen Provider. Da kam doch tatsächlich ein Anruf von DF und wollten mir einen neuen Server/Produkte verkaufen :-) Als ich sagte, das alle Domänen schon gekündigt sind, wurde nur gesagt, achso, dann brauchen Sie ja nichts mehr. Keine Nachfrage, warum.

      Schade um die guten "alten" Leute bei DF, falls diese überhaupt noch da arbeiten.

    • Nils Dornblut

      Nils Dornblut

      am 16.10.2018

      -prh: Klar, ich bin natürlich noch da und die letzten Monate mehr im Hintergrund aktiv! Das wird sich aber bald wieder ändern :-) -prh: Klar, ich bin natürlich noch da und die letzten Monate mehr im Hintergrund aktiv! Das wird sich aber bald wieder ändern :-)

    • Herbert

      Herbert

      am 18.10.2018

      @ Nils Dornblut:
      Bin sehr erfreut, ein Lebenszeichen von Ihnen zu sehen :-)
      An dieser Stelle nochmals meinen herzlichen Dank für Ihre tolle Betreuung, die ich über mehr als 10 Jahre Anfangs bei [...] @ Nils Dornblut:
      Bin sehr erfreut, ein Lebenszeichen von Ihnen zu sehen :-)
      An dieser Stelle nochmals meinen herzlichen Dank für Ihre tolle Betreuung, die ich über mehr als 10 Jahre Anfangs bei domaingo u. später bei DF im Kundenforum erleben durfte!

    • -prh

      -prh

      am 21.10.2018

      @ Nils Dornblut @Herbert

      Ja, ich fand Ihren Support immer sehr kompetent und meistens hilfreich; die Ihnen zugemutete »Puffer-Funktion« hatte aber leider Ihrer Glaubwürdigkeit nicht immer [...] @ Nils Dornblut @Herbert

      Ja, ich fand Ihren Support immer sehr kompetent und meistens hilfreich; die Ihnen zugemutete »Puffer-Funktion« hatte aber leider Ihrer Glaubwürdigkeit nicht immer gutgetan.

      Dennoch wäre es schön gewesen, wenn Sie sich in der jetzt seit Monaten zugespitzenden Krisensituation auch wieder erkennbar zu Wort gemeldet hätten.

      Aber inzwischen ist Vieles zu Bruch gegangen; ich selbst habe unseren seit 2001/2002 bestehenden Auftrag von DF abgezogen - was mir nicht leichtfiel. Aber die vielen Unklarheiten, die nicht beantworteten Anfragen bei der Geschäftsleitung und dem damit einhergehenden rapiden Vertrauensverlust ließen mir keine andere Wahl.

      Ihnen persönlich und dem Support-Team wünsche ich eine bessere Zukunft.

    Dateien hier ablegen
  • Rainer.D

    Rainer.D

    am 15.10.2018

    Mich wundert es etwas dass man immer nur den Datenfeed erwähnt, während aber offenbar der Hauptschaden die geklaute "dev-db" ist, welche eine nahezu 1:1 Kopie sämtlicher Kundendaten enthält. Das kann [...] Mich wundert es etwas dass man immer nur den Datenfeed erwähnt, während aber offenbar der Hauptschaden die geklaute "dev-db" ist, welche eine nahezu 1:1 Kopie sämtlicher Kundendaten enthält. Das kann man doch so zugeben, hier sollte kein Rosinenpicken stattfinden, so nach dem Motto "den Datenfeed geben wir zu, da waren ja nur einige wenige Daten drin", alles was noch schlimmer ist läuft under "diverses" und wird nicht näher erläutert. Auch steht noch die Stellungnahme dazu aus warum man wichtige Sicherheits-Patches der Systeme (Gentoo) unterlassen hat, dies hat den eigentlichen Zugriff des Hackers überhaupt erst ermöglicht. Bereits längere Zeit vor dem Vorfall gab es wiederholt die Kritik dass sowohl das Kundenmenü als auch das Reseller-System auf veralteten PHP-Versionen läuft, welche nicht mehr supportet werden und zahlreiche Sicherheitslücken aufweisen. Hier möchte ich gerne eine Stellungnahme wann man die Anwendungen weiter entwickelt und diese dann auf dem aktuellen Stand hält. Das ist mit der WAF nicht überflüssig geworden. Das Resellersystem hat ja keine WAF bekommen!

    • Anguel

      Anguel

      am 30.10.2018

      Mich würde wirklich interessieren, ob es überhaupt sowas wie einen "Zukunftsplan" für DF gibt. Geschäftsführer kommen und gehen. Seit Jahren gibt es keine echten Neuerungen und Weiterentwicklungen. [...] Mich würde wirklich interessieren, ob es überhaupt sowas wie einen "Zukunftsplan" für DF gibt. Geschäftsführer kommen und gehen. Seit Jahren gibt es keine echten Neuerungen und Weiterentwicklungen. Man versucht stattdessen zu verwalten und outzusourcen, der Support wird immer schlechter. Diese "Datenpanne" passt da gut ins Bild.
      Gibt es überhaupt noch Admins in Deutschland, die sich um den Laden kümmern? Wahrscheinlich hofft man nun, dass die IT-Freelancer aus der Ukraine alles irgendwie hinbiegen und die externe WAF weitere Datenpannen verhindert. Wartet man auf eine Fusion? Auf eine Insolvenz? Oder bis auch der letze Kunde weg ist?

    Dateien hier ablegen
  • Balou

    Balou

    am 14.10.2018

    Hallo,

    Solange diese Aussage "Bei den fortlaufenden Untersuchungen mussten wir feststellen, dass derselbe Angreifer auf weitere Systeme zugegriffen hat. Wir bitten um Verständnis, dass wir Ihnen [...] Hallo,

    Solange diese Aussage "Bei den fortlaufenden Untersuchungen mussten wir feststellen, dass derselbe Angreifer auf weitere Systeme zugegriffen hat. Wir bitten um Verständnis, dass wir Ihnen auf Grund laufender Ermittlungen keine weiteren Details dazu nennen können." steht habe ich als Kunde kein Vertrauen. Seit Anfang July wird man im unklaren gelassen was genau passiert ist.
    Soll ich davon ausgehen das nicht mehr Daten als die die durch den Datenfeed möglich waren von mir abgeflossen sind?
    Als Kunde bin ich über die aus meiner SIcht mangelnde Infos entäuscht. Vertrauen weg.

    "In diesem Beitrag möchten wir Ihnen nun abschließend alle Informationen dazu zur Verfügung stellen."
    Solange der/die Täter(in) nicht gefaßt worden ist(sind), genau geklärt ist was passiert ist ist das nicht abschließend geklärt.
    Soll ich jetzt davon ausgehen das es keine weiteren Information dazu von DF gibt?

    Jedenfalls ist für mich das Kapitel DF erledigt. Alles von DF ist gekündigt und zu anderen Hostern gewandert.
    Ich habe noch zwei Anfrage bei euch laufen und warte auf eine Antwort.

    Balou

    Dateien hier ablegen
  • tn

    tn

    am 14.10.2018

    Ich war viele Jahre gerne Kunde bei Domainfactory. Sie haben mir ein Produkt angeboten, dass meinen Anforderungen gut entsprochen hat und es lief fast immer zuverlässig.
    Fehler können passieren und [...] Ich war viele Jahre gerne Kunde bei Domainfactory. Sie haben mir ein Produkt angeboten, dass meinen Anforderungen gut entsprochen hat und es lief fast immer zuverlässig.
    Fehler können passieren und sind verzeihlich, solange sie ordentlich aufgearbeitet werden. Ihr mangelhaftes Kommunikationsverhalten und offensichtlich fehlendes Interesse zügig zur Aufklärung der berechtigten Fragen von uns Kunden beizutragen hat mich nun allerdings dazu bewogen, trotz des damit verbundenen Aufwandes einen neuen Anbieter zu suchen und meine Aufträge bei DF zu kündigen.
    Folgende Punkte haben mich besonders verärgert:
    - Information der Kunden nur sehr verzögert (Erstinformation erst drei Tage nach dem Hack, "abschließend" erst jetzt nach drei Monaten). FunFact: Der Hacker hat es geschafft, meine Anfrage innerhalb von wenigen Minuten zu beantworten.
    - Aufforderung die Passwörter zu ändern, aber keine genaue Angabe, welche Passwörter genau geändert werden sollen
    - kaum/keine Selbstkritik
    - nach drei Monaten noch immer keine Information zur mutmaßlich rechtswidrigen Datenverarbeitung in der Ukraine
    - monatelange Abschaltung des Kundenforums. Es ist bedenklich dass es ein Hoster innerhalb von drei Monaten nicht schafft, ein Forum abzusichern. Ich glaube aber eher, dass hier Kommunikation der Kunden verhindert werden sollte, als an technische Gründe.
    - laut vielen Berichten kein angemessener Umgang mit Anfragen (totes Postfach, offene Tickets, etc)
    - keinerlei Entschädigung in irgendeiner Form. Aufgrund Ihres Fehlers hatten wir Kunden ordentlich zusätzlichen Zeitaufwand (Passwörter ändern im System und in Email-Clients, Lesen der Informationen über den Hack)

    • Peter

      Peter

      am 14.10.2018

      Nicht zu vergessen die sich restlich angehäuften (Klein-) Katastrophen, der dadurch offengelegte Umfang an frei galoppierender Inkompetenz, nicht nur die gewohnte Transparenz und Kommunikation [...] Nicht zu vergessen die sich restlich angehäuften (Klein-) Katastrophen, der dadurch offengelegte Umfang an frei galoppierender Inkompetenz, nicht nur die gewohnte Transparenz und Kommunikation betreffend, und der Abkehr von, ich nenne es mal polemisch der geliebten "Ehrlichkeit", seit dem Zeitpunkt des Verschacherns an die HEG und des weiteren freien Falls zu GoDaddy.

    • kein name

      kein name

      am 15.10.2018

      Ich schließe mich den Postings von tn und Peter vollumfänglich an, möchte aber noch ergänzen, dass ich es auch nicht für angemessen halte, das Thema durch einen Blogeintrag abschließen zu wollen. Da [...] Ich schließe mich den Postings von tn und Peter vollumfänglich an, möchte aber noch ergänzen, dass ich es auch nicht für angemessen halte, das Thema durch einen Blogeintrag abschließen zu wollen. Da gehört mindestens jeder Kunde einzeln per Mail informiert!
      Schade um das, was df einmal war!

    Dateien hier ablegen
  • Somebody

    Somebody

    am 13.10.2018

    Nun ja, wenn ein Hosting Provider (!) Cloudflare benötigt um sich gegen Webattacken zu schützen, sagt das einiges aus.

    Gibt es einen Grund, weshalb Sie nicht selbst eine Web Application Firewall [...] Nun ja, wenn ein Hosting Provider (!) Cloudflare benötigt um sich gegen Webattacken zu schützen, sagt das einiges aus.

    Gibt es einen Grund, weshalb Sie nicht selbst eine Web Application Firewall betreiben? Dafür gibt es doch ausreichend Software (und entsprechende Hardware, wenn man es sich leisten möchte) mit gut gepflegten Regelsätzen, welche mindestens so gut arbeiten wie die Cloudflare WAF.

    Die Vorteile einer eigenen WAF liegen auf der Hand - beispielsweise die volle Kontrolle und Log-Einsicht.
    Abgesehen davon muss man beachten, dass Cloudflare seine Regeln sehr allgemein gestaltet, damit die WAF mit sämtlichen Applikationen problemlos arbeitet.

    Als sicherheitsbewusster Provider sollte man Traffic von sensiblen Daten nicht über Cloudflare laufen lassen. Habt ihr wirklich so wenig vertrauen in die eigene Technik? Wenn es nebenbei um die CDN Funktionalität geht, würde sich bestimmt eine bessere Lösung finden lassen als diese hier - wenn man es will und kann. Aber es geht euch rein um die WAF, wenn man sich die Quelle der JS und CSS Dateien so ansieht.

    Dateien hier ablegen
  • Schnittstelle

    Schnittstelle

    am 13.10.2018

    &gt; Eine Schnittstelle zum Kundenmenü in der Weise des alten Forums jedoch wird
    &gt; es nicht mehr geben, die Freischaltung für den internen Reseller-Bereich erfolgt manuell.

    also für die [...] &gt; Eine Schnittstelle zum Kundenmenü in der Weise des alten Forums jedoch wird
    &gt; es nicht mehr geben, die Freischaltung für den internen Reseller-Bereich erfolgt manuell.

    also für die Minimalfunktion "Prüfung der Kundennummer" wäre es doch einfach, eine minimale (und sichere) Schnittstelle in Form einer Middleware zu entwickeln.

    &gt; Da kein Login mehr in das alte System möglich ist, werden nur noch die öffentlichen Bereiche zugänglich sein.

    wie praktisch. Damit bleiben auch die internen Diskussionen zur Vertragsverletzung durch die DF und die fragliche DSGVO-Konformität verschwunden.

    • Anna

      Anna

      am 15.10.2018

      <blockquote>wie praktisch. Damit bleiben auch die internen Diskussionen zur Vertragsverletzung durch die DF und die fragliche DSGVO-Konformität verschwunden.</blockquote>
      Dass dazu noch Fragen im [...] <blockquote>wie praktisch. Damit bleiben auch die internen Diskussionen zur Vertragsverletzung durch die DF und die fragliche DSGVO-Konformität verschwunden.</blockquote>
      Dass dazu noch Fragen im Forum offen geblieben sind ist uns bewusst, wie oben schon geschrieben gehen wir auf das Thema nochmal gesondert ein.

    • ??

      ??

      am 16.10.2018

      Im forum haben sie die Beantwortung weiterer fragen doch abgelehnt und auf ihren Datenschutzbeauftragten verwiesen. Blöd nur, wenn dieser auch nicht antwortet.

      Bekennen sie lieber klar Farbe. [...] Im forum haben sie die Beantwortung weiterer fragen doch abgelehnt und auf ihren Datenschutzbeauftragten verwiesen. Blöd nur, wenn dieser auch nicht antwortet.

      Bekennen sie lieber klar Farbe. Beantwortet wird da nix mehr - esseidenn df wird dazu rechtlich gezwungen. Davor tut sich garnix.

    Dateien hier ablegen
  • serviceinfo

    serviceinfo

    am 13.10.2018

    Und da wäre noch die "serviceinfo@df.eu", welche in allen Rundmails als die Adresse genannt wurde, an welche man sich bei Fragen wenden soll.

    Die Adresse läuft auf keinerlei Ticketsystem auf und [...] Und da wäre noch die "serviceinfo@df.eu", welche in allen Rundmails als die Adresse genannt wurde, an welche man sich bei Fragen wenden soll.

    Die Adresse läuft auf keinerlei Ticketsystem auf und sämtliche Nachrichten an diese wurden nicht beantwortet. Unter vorgehaltener Hand haben wir erfahren, dass es sich hierbei um ein totes Postfach handelt.

    Unglaublich - da richtet DF ein totes Postfach ein, nur damit DF eingehende Fragen nicht beantworten muss. Das ist an Dreistigkeit nicht zu überbieten. Eine bodenlose Unverschämtheit.

    • Anna

      Anna

      am 15.10.2018

      <blockquote>Unter vorgehaltener Hand haben wir erfahren, dass es sich hierbei um ein totes Postfach handelt.</blockquote>
      Das ist so definitiv nicht korrekt. Das Postfach existiert und eingehende [...] <blockquote>Unter vorgehaltener Hand haben wir erfahren, dass es sich hierbei um ein totes Postfach handelt.</blockquote>
      Das ist so definitiv nicht korrekt. Das Postfach existiert und eingehende Mails werden beantwortet. Um welche Ticket-IDs handelt es sich denn?

    • Jörg Becker

      Jörg Becker

      am 15.10.2018

      z.B. diese #7385295

      P.S.: Auch ich werde den Eindruck nicht los, das df nicht bereit ist öffentlich das eigene Versäumis als wesentlich für den Datenraub zu sehen.

      Die Türen standen wohl [...] z.B. diese #7385295

      P.S.: Auch ich werde den Eindruck nicht los, das df nicht bereit ist öffentlich das eigene Versäumis als wesentlich für den Datenraub zu sehen.

      Die Türen standen wohl ziemlich weit offen - und wer hat sie aufstehen lassen?

      Ex-Kunde
      JB

    • Kay

      Kay

      am 15.10.2018

      Da bin ich noch besser, noch eine ältere Anfrage: #7297237 Eingangsbestätigung vom 08.07.2018

      und natürlich keinerlei Antwort. Auch andere Anfragen wurden nicht beantwortet. Da bin ich noch besser, noch eine ältere Anfrage: #7297237 Eingangsbestätigung vom 08.07.2018

      und natürlich keinerlei Antwort. Auch andere Anfragen wurden nicht beantwortet.

    • Anna

      Anna

      am 16.10.2018

      Auf unbeantwortete Fragen in Tickets erhalten Sie noch Antworten. Wie im Text beschrieben ist die Abarbeitung der Rückstände noch nicht abgeschlossen und wir müssen Sie dabei noch um Geduld bitten. Auf unbeantwortete Fragen in Tickets erhalten Sie noch Antworten. Wie im Text beschrieben ist die Abarbeitung der Rückstände noch nicht abgeschlossen und wir müssen Sie dabei noch um Geduld bitten.

    • ddf

      ddf

      am 16.10.2018

      Ich habe nie ticketbenachrichtigungen erhalten und ich habe etliche Mails an serviceinfo geschickt.

      @anna: probieren Sie es doch einfach mal selbst aus. Wird bei ihnen ein ticket erzeugt? Ich habe nie ticketbenachrichtigungen erhalten und ich habe etliche Mails an serviceinfo geschickt.

      @anna: probieren Sie es doch einfach mal selbst aus. Wird bei ihnen ein ticket erzeugt?

    • /

      /

      am 18.10.2018

      Auch ich habe am 08.07. ein e-mail geschrieben. Weder habe ich dazu eine Ticketnummer erhalten noch eine Antwort :( Auch ich habe am 08.07. ein e-mail geschrieben. Weder habe ich dazu eine Ticketnummer erhalten noch eine Antwort :(

    • Viech

      Viech

      am 21.10.2018

      Bei mir wurden sämtliche Anfragen zur Zufriedenheitsgarantie ignoriert. Meine Datenauskunft gemäß Dsgvo zieht sich schon 2 Monate hin.

      1.Anfrage angeblich nicht bekommen.
      2. 2 Wochen warten
      3. [...] Bei mir wurden sämtliche Anfragen zur Zufriedenheitsgarantie ignoriert. Meine Datenauskunft gemäß Dsgvo zieht sich schon 2 Monate hin.

      1.Anfrage angeblich nicht bekommen.
      2. 2 Wochen warten
      3. Formular bekommen und zurück geschickt
      4. 2 Wochen warten
      5. Anruf von DF
      6. Lange, lange nix
      7. Datei bekommen
      8. Warten aufs Passwort
      ....

    • Patrick

      Patrick

      am 27.11.2018

      Wäre tatsächlich schön, wenn man auf einfache und klare Fragen die passenden Antworten bekommt. Ich bekomme immer die gleiche Antwort, die gar nicht auf meine Frage passt. Und wenn ich darauf [...] Wäre tatsächlich schön, wenn man auf einfache und klare Fragen die passenden Antworten bekommt. Ich bekomme immer die gleiche Antwort, die gar nicht auf meine Frage passt. Und wenn ich darauf hinweise, dass Frage und Antwort nicht zusammenpassen, erhalte ich die gleiche (ursprüngliche) Antwort wieder. Unglaublich...

    Dateien hier ablegen
  • John

    John

    am 13.10.2018

    Das Absichern von Online-Systemen muss man zu den Kernkompetenzen eines Hosting-Providers zählen. Etwas mehr Selbstreflektion und Selbstkritik wäre deshalb durchaus angebracht. So liest sich das [...] Das Absichern von Online-Systemen muss man zu den Kernkompetenzen eines Hosting-Providers zählen. Etwas mehr Selbstreflektion und Selbstkritik wäre deshalb durchaus angebracht. So liest sich das nämlich wie "Es tut uns leid, das wir mit heruntergelassenen Hosen erwischt wurden. Wir unternehmen alles, um den Fiesling zu erwischen, der uns bloßgestellt hat." Den drastischen Preiserhöhungen der letzten Jahren standen offenbar hauptsächlich Kostensenkungen gegenüber, während die Sicherheit vernachlässigt wurde. French system managed in Ukraine statt Hosting in Deutschland für Preissteigerungen weit jenseits der Inflation?

    • Don

      Don

      am 13.10.2018

      Besser kann man den Werdegang dieses Hosters nicht beschreiben.
      Die Chuzpe selbst hier auf der Seite noch "Als Qualitätsanbieter überzeugen wir..." darüber zu setzen, sagt alles über die [...] Besser kann man den Werdegang dieses Hosters nicht beschreiben.
      Die Chuzpe selbst hier auf der Seite noch "Als Qualitätsanbieter überzeugen wir..." darüber zu setzen, sagt alles über die Selbstwahrnehmung des Unternehmens. Welchen Geist muß man seinen Kunden unterstellen, um zu meinen, auf diese Weise was Gut machen zu können? Fehlende Stellungnahme über die immer wieder angesprochene Administration der Kundendaten in der Ukraine, stattdessen das redundande Hervorheben der eigenen Opferrolle lässt doch kein ehrliches Bedauern sondern nur gezielte Ablenkung vermuten . Ja, es kann immer und überall mal was schief gehen. Wenn man aber so damit umgeht, braucht man auch nicht unbedingt auf das Verständnis seiner Kunden zählen.

    • jep

      jep

      am 14.10.2018

      Exakt. DF bedauert das eigene Verhalten nicht einmal ... Exakt. DF bedauert das eigene Verhalten nicht einmal ...

    Dateien hier ablegen
  • Peter

    Peter

    am 12.10.2018

    "Dabei mussten wir feststellen, dass wir einer Straftat zum Opfer gefallen sind … " und gleich danach "dass durch eine Systemumstellung Ende Januar 2018 unbeabsichtigt bestimmte Kundeninformationen [...] "Dabei mussten wir feststellen, dass wir einer Straftat zum Opfer gefallen sind … " und gleich danach "dass durch eine Systemumstellung Ende Januar 2018 unbeabsichtigt bestimmte Kundeninformationen für außenstehende Dritte über einen Datenfeed zugänglich waren"

    Geht es hier um eine Straftat oder eure Schlamperei?
    Eure Schlamperei ist meines Erachtens eine Straftat!

    • Anna

      Anna

      am 12.10.2018

      Wir bedauern die Datenpanne wirklich sehr. Aber bitte lassen Sie uns doch sachlich bleiben, auch wenn Sie verärgert sind. Es ist in der Tat so, dass wir Opfer einer Straftat wurden und Ermittlungen [...] Wir bedauern die Datenpanne wirklich sehr. Aber bitte lassen Sie uns doch sachlich bleiben, auch wenn Sie verärgert sind. Es ist in der Tat so, dass wir Opfer einer Straftat wurden und Ermittlungen deswegen laufen.

    • -

      -

      am 12.10.2018

      Nach der Kommunikationskatastrophe der vergangenen Monate ist es denke ich wenig verwunderlich, dass sich viel Frust und Ärger aufgestaut hat. Denn die Kommunikation durch df und die Geschäftsleitung [...] Nach der Kommunikationskatastrophe der vergangenen Monate ist es denke ich wenig verwunderlich, dass sich viel Frust und Ärger aufgestaut hat. Denn die Kommunikation durch df und die Geschäftsleitung wäre der früheren df gänzlich unwürdig gewesen.

      Das richtet sich nicht gegen Sie, Anna. Sie dürfen nur das Missmanagement in schöne Worte hüllen, können aber selber überhaupt nichts für die Situation. Schade um die df.

    • Sepp

      Sepp

      am 12.10.2018

      Man sollte DF aber auch eine zweite Chance geben. Dass die Sache mit dem Hack sehr ärgerlich für alle war, bestreitet sicher niemand und DF hätte garantiert auch gerne darauf verzichtet. Wer noch nie [...] Man sollte DF aber auch eine zweite Chance geben. Dass die Sache mit dem Hack sehr ärgerlich für alle war, bestreitet sicher niemand und DF hätte garantiert auch gerne darauf verzichtet. Wer noch nie einen Fehler gemacht hat, werfe den ersten Stein.

    • -

      -

      am 12.10.2018

      @Sepp: Grundlegend ja. Wären da nicht noch:

      * Datenverarbeitung in der Ukraine ohne Genehmigung
      * Bruch der AV-Verträge
      * Keine Beantwortung der DSGVO-Selbstauskunftsanfragen
      * Ein [...] @Sepp: Grundlegend ja. Wären da nicht noch:

      * Datenverarbeitung in der Ukraine ohne Genehmigung
      * Bruch der AV-Verträge
      * Keine Beantwortung der DSGVO-Selbstauskunftsanfragen
      * Ein Datenschutzbeauftragter, welcher seiner Funktion in unseren Augen nur sehr widerwillig nachkommt
      * Eine Geschäftsleitung, welche auf Anfragen nicht mehr reagiert
      * Viele offene Tickets, auf welche wir gar keine Antwort mehr erhalten

      Es geht uns nicht nur um den Hack. Die df verbockt es auf ganzer Linie.

    • Anna

      Anna

      am 12.10.2018

      Vielen Dank für die freundlichen Worte, Sepp! :)
      An den anonymen Kommentar: Dazu werden wir uns noch gesondert äußern! Vielen Dank für die freundlichen Worte, Sepp! :)
      An den anonymen Kommentar: Dazu werden wir uns noch gesondert äußern!

    • am 12.10.2018

      &gt; An den anonymen Kommentar: Dazu werden wir uns noch gesondert äußern!

      wahrscheinlich dann nach Behördenanordnung. &gt; An den anonymen Kommentar: Dazu werden wir uns noch gesondert äußern!

      wahrscheinlich dann nach Behördenanordnung.

    • -

      -

      am 12.10.2018

      Ups. Vergessen meinen Namen "-" anzugeben. Ich bin nicht Anonymous von weiter oben ... Ups. Vergessen meinen Namen "-" anzugeben. Ich bin nicht Anonymous von weiter oben ...

    • Peter

      Peter

      am 12.10.2018

      Der einzig unsachliche Aspekt war, meine Meinung mit einem Ausrufezeichen zu versehen - ich gehe mit diesem Satzzeichen sonst sehr sensibel um. Hier habe ich es bewusst gesetzt.
      In eurer [...] Der einzig unsachliche Aspekt war, meine Meinung mit einem Ausrufezeichen zu versehen - ich gehe mit diesem Satzzeichen sonst sehr sensibel um. Hier habe ich es bewusst gesetzt.
      In eurer "Zusammenfassung" fasst doch der Verfasser doch tatsächlich eine Straftat und die eigene Unzulänglichkeit so lange zusammen bis sich am Ende alles in sachlich-sauberer politisch korrekter Form so darstellt, als wäre nur derjenige in der Verantwortung, der über eurer Sicherheitslücke gestolpert ist. Den macht man zur Mutter der Probleme - das macht mich fassungs- aber nicht sprachlos.
      Eure Probleme und eure Verantwortung liegen dort, wo Sepp sie hier am 12. Oktober 2018 um 14:13 Uhr beschreibt. Ihr kennt diese Kritikpunkte sehr genau und ich erkenne von eurer Seite keinerlei Einsehen in die eigene Schuld, sondern nur Abwehrmechanismen. Ihr fordert es doch geradezu heraus, das auch herausgestellt wird, dass von Seiten der df sehr viele Dinge in Graubereichen betrieben werden, von denen die Kunden im Traum nicht daran dachten.

      Was bringt's? Ihr ändert euch nicht mehr zur alten Form, nein, ihr geht ja nicht mal einen Schritt in diese Richtung - das ist heute so klar wie nie zuvor.

    Dateien hier ablegen
  • Oje

    Oje

    am 12.10.2018

    &gt; Wir sind aus steuerlichen und rechtlichen Gründen verpflichtet, Kundendaten für 10 Jahre aufzubewahren.

    Sie hatten auch Daten noch älterer Kunden gespeichert. Aber das verschweigen Sie hier [...] &gt; Wir sind aus steuerlichen und rechtlichen Gründen verpflichtet, Kundendaten für 10 Jahre aufzubewahren.

    Sie hatten auch Daten noch älterer Kunden gespeichert. Aber das verschweigen Sie hier ...

    • Anna

      Anna

      am 12.10.2018

      Trifft das auf Sie zu? Denn wir bieten die Löschung der Daten gemäß DSGVO direkt online über das DomainFactory Kundenmenü an. Gehen Sie dazu bitte wie folgt vor:

      - Sollten Sie Ihr Passwort nicht [...] Trifft das auf Sie zu? Denn wir bieten die Löschung der Daten gemäß DSGVO direkt online über das DomainFactory Kundenmenü an. Gehen Sie dazu bitte wie folgt vor:

      - Sollten Sie Ihr Passwort nicht mehr kennen, setzen Sie es bitte über https://admin.df.eu/public/index.php5?module=passwordreset" target="_blank" rel="nofollow">https://admin.df.eu/public/index.php5?module=passwordreset zurück.
      - Loggen Sie sich unter https://admin.df.eu in das DomainFactory Kundenmenü ein.
      - Klicken Sie auf „Stammdaten“, dort können Sie die bei „Persönliche Daten löschen“ die Löschung beauftragen.

    • Oje

      Oje

      am 12.10.2018

      Das war nicht die Frage. Sie hatten scheinbar Kunden generell nie gelöscht. Die Frage nach der nicht-erfolgten Löschung damit zu beantworten, dass Sie Daten für 10 Jahre aufbewahren müssen ist nur [...] Das war nicht die Frage. Sie hatten scheinbar Kunden generell nie gelöscht. Die Frage nach der nicht-erfolgten Löschung damit zu beantworten, dass Sie Daten für 10 Jahre aufbewahren müssen ist nur eine Teilbeantwortung. Darüber hinaus müssen Sie sicherlich keine Bankverbindungsdaten, Schufa-Score oder Kennwörter für 10 Jahre aufbewahren und hätten diese problemlos löschen können.

    • Oje

      Oje

      am 12.10.2018

      &gt; Denn wir bieten die Löschung der Daten gemäß DSGVO direkt online
      &gt; über das DomainFactory Kundenmenü an. Gehen Sie dazu bitte wie folgt vor:

      wenn das so gut klappt wie die [...] &gt; Denn wir bieten die Löschung der Daten gemäß DSGVO direkt online
      &gt; über das DomainFactory Kundenmenü an. Gehen Sie dazu bitte wie folgt vor:

      wenn das so gut klappt wie die dsgvo-selbstauskunft sehe ich schwarz.

    Dateien hier ablegen
  • Na klar

    Na klar

    am 12.10.2018

    &gt; Zudem haben wir [..] das Bundesamt für Sicherheit in der Informationstechnik [..] über die Datenpanne informiert.

    Das ist einfach nicht wahr. ICH habe das BSI informiert und diese hatten bis [...] &gt; Zudem haben wir [..] das Bundesamt für Sicherheit in der Informationstechnik [..] über die Datenpanne informiert.

    Das ist einfach nicht wahr. ICH habe das BSI informiert und diese hatten bis dato keinerlei Kenntnis von dem Vorfall. Das BSI hat Sie anschließend kontaktiert.

    Also bitte bei der Wahrheit bleiben.

    • Anna

      Anna

      am 12.10.2018

      Unsere Aussage ist korrekt so, wir haben das BSI proaktiv informiert. Unsere Aussage ist korrekt so, wir haben das BSI proaktiv informiert.

    • Na klar

      Na klar

      am 12.10.2018

      Wir haben vom BSI eine andere Auskunft erhalten. Wir haben vom BSI eine andere Auskunft erhalten.

    • Anonymous

      Anonymous

      am 12.10.2018

      Ich muss Na klar recht geben auch wir haben hier vom BSI eine anderer schriftliche Aussage erhalten. Ich muss Na klar recht geben auch wir haben hier vom BSI eine anderer schriftliche Aussage erhalten.

    Dateien hier ablegen