Tschüss DomainFactory

Im November 2014 bin ich mit meinem Webhosting von Strato zu DomainFactory (damals domainFACTORY) umgezogen. Dort habe ich mehr Leistung bekommen für einen vernünftigen Preis.

Juni 2015 habe ich dann den Tarif gewechselt, weil ich so viel Leistung gar nicht gebraucht hatte. Die Runterstufung kostete nochmal 10 EUR Einrichtungsgebühr, aber okay.

Im August 2015 war die inklusiv-Domain dann nicht mehr inklusive, 0,79 EUR/Monat sollte es jetzt kosten.

Dann kam im Oktober 2015 die Ankündigung, dass das Rechenzentrum in München geschlossen wird und mein Server daher im August 2016 ins »datadock« in Strasbourg umziehen wird. Mich hat das nicht so wirklich gestört, da das ja noch weiterhin in der EU ist. Andere, die personenbezogene Daten im Rahmen ihrer Webseiten verarbeitet haben, fanden das gar nicht lustig. Gegen einen Aufpreis konnte man seinen Server in Köln aufstellen lassen.

Im März 2016 kam dann die nächste Preisanpassung. Interessanterweise konnte ich durch einen Tarifwechsel die gleiche Leistung für weniger Geld bekommen.

Dann fing es an mit der Sicherheit seltsam zu werden. So bekam ich im Juni 2016 eine E-Mail, dass jetzt die Passwörter nicht mehr im Klartext gespeichert werden:

mit dieser E-Mail möchten wir Sie darüber informieren, wie wir unser System auch künftig auf höchstmöglichem Sicherheitsniveau und nach modernen Standards für Sie gestalten werden.

Dazu werden wir die Sicherheitsstufe bei der Speicherung von Passwörtern verbessern. Das betrifft die Zugangsdaten Ihrer E-Mailpostfächer und FTP-sowie SSH-Accounts.

Für Sie bedeutet das, dass Sie Ihre Passwörter im Kundenmenü künftig nicht mehr einsehen, bei Bedarf aber jederzeit neu setzen können. Zusätzlich wird es eine Funktion zur Überprüfung des Passworts geben: Möchten Sie verifizieren, ob das Ihnen vorliegende Passwort noch gültig ist, können Sie es dort eintragen; es wird dann mit dem gesetzten Passwort verglichen und als richtig oder falsch zurückgegeben.

Die Änderung erfolgt zum 20. Juli 2016.

Diese Maßnahme führen wir durch, um Ihnen auch künftig ein zuverlässiges und sichereres System zur Verfügung zu stellen und bitten um Ihr Verständnis.

Ich war schockiert zu erfahren, dass das bisher nicht der Fall gewesen ist. Wirklich dass sie Hashes nutzen, stand auch nicht in der E-Mail drin, daher hatte ich nochmal über den Service nachgefragt. Die Antwort war ernüchternd:

Es findet nun ein Passwort Hashing statt, zu dem wir aus Sicherheitsgründen keine weiterführenden Informationen anbieten können.

Da man, wenn man Kryptographie richtig macht, seine Verfahren nicht geheim halten muss, habe ich nochmal genau nachgefragt. Und darauf verwiesen, dass das Verfahren nicht wirklich gut sein kann, wenn sie dem nicht so trauen. Aber wieder ernüchternde Antwort:

Wie geschildert bitten wir um Verständnis, dass wir Ihnen hierzu leider keine weiteren Informationen erteilen können

An dieser Stelle habe ich dann aufgegeben und es einfach hingenommen.

Im Dezember 2016 wurde Host Europe (UK), die Elternfirma von DomainFactory dann von GoDaddy (USA) aufgekauft. Damit also noch weniger nur Deutschland.

In der Zwischenzeit wurde Let's Encrypt etabliert, DomainFactory hat aber nichts dazu im Angebot. Ich meine, dass ich mal per E-Mail was angefragt hatte, aber da wurde ich nur auf die kostenpflichtigen Zertifikate verwiesen. Februar 2017 wurde dann groß angekündigt, dass man jetzt ein kostenloses SSL-Zertifikat bekommen kann. Aber nur für eine Subdomain, und man muss es jedes Jahr neu beantragen.

Im März 2017 ist mir aufgefallen, dass die angegebenen Hashes der SSH-Schlüssel des Servers in MD5 angegeben waren. Das hatte ich dann per E-Mail moniert, wurde auch intern dann aufgenommen. Fand ich aber eher schwach, SSH zeigt bei mir auf dem Rechner die in SHA-256 an.

Besonders wenig vertrauenserweckend war dann der Newsletter im August 2017:

Sehr geehrter Herr Ueding,

ein plötzlich blockierter Web-Auftritt kann schnell wirtschaftlich spürbare Folgen haben. Ebenso schädlich ist es, wenn Google mögliche Neukunden vor dem Besuch Ihrer Webseite warnt. Die Ursache für solche Vorkommnisse sind meist hinterhältige Malware-Attacken, die leider immer wieder auftreten.

Schützen Sie Ihre Webseite vor Online-Gefahren -- bewahren Sie Ihr Online-Geschäft vor Google-Blacklisting und Seitensperrung! Mit Sitelock Repair von DomainFactory gehen Sie ab sofort auf Nummer sicher: Ein proaktiver Scan durchsucht Ihre Webseite täglich nach Malware -- und entfernt sie automatisch, sobald er sie aufspürt. Sicherheitslücken werden erkannt und repariert.

Für nur 4,99 €/Monat* können Sie sich auf diesen professionellen Schutz verlassen. Das anerkannte SiteLock Vertrauenssiegel auf Ihrer Webseite zeigt jedem Besucher, dass Ihnen die Sicherheit Ihrer Kunden am Herzen liegt.

Ich bin ja durchaus glücklich mit meiner statisch generierten Webseite, da kann man nicht durch PHP irgendwie neue Inhalte hochladen. Von daher glaube ich nicht, dass ich so einen Scan irgendwie gebrauchen kann. Und die Frage wäre hier auch, ob das Teil automatisch Sicherheitslücken in CMS-Systemen behebt, wenn diese nicht mehr aktuell sind? Denn alte Versionen von diesen Dingen sind natürlich anfällig.

Im Dezember 2017 kam dann nochmal eine Preiserhöhung für die Domain, kostet jetzt 0,99 EUR/Monat.

Und im Juli 2018 kam dann die große Datenpanne. Jemand hatte wohl Zugriff auf die Stammdaten der Kunden bekommen. Davon erfahren habe ich als Kunde über soziale Netzwerke, nicht von DomainFactory selbst. Nach über 72 Stunden, der Frist die die DSGVO setzt, kam noch immer nichts. Nach knapp vier Tagen kam dann endlich mal ein Newsletter herum.

Die Aufräumarbeiten bei denen zogen sich dann eine Weile hin, ich hatte schon zwei Tage vor dem Newsletter alle Passwörter geändert. Gerade über mein E-Mail-Konto kann man ja diverse andere Passwörter zurücksetzen.

Beim Lesen diverser Foreneinträge bei Heise zum Thema, habe ich auch noch erfahren, dass die Administratoren der Server jetzt in der Ukraine eingekauft werden.

An dieser Stelle war mein Vertrauen an einem Minimum angekommen, aber ich war noch etwas zu faul den Hoster zu wechseln. Das Faß zum Überlaufen war dann der Newsletter von Ende Juli:

derzeit ergreifen wir diverse Sicherheitsmaßnahmen zur Absicherung unserer Infrastruktur. In Zuge dessen haben wir Sie in der vergangenen Woche über das neue Support-Token für telefonische Anfragen und über die Rücksetzung der Kundenpasswörter informiert.

Wenn Sie das Passwort für Ihr Kundenmenü seit dem 7. Juli 2018 nicht geändert haben, haben wir es aus Sicherheitsgründen für Sie zurückgesetzt. Eine Anleitung dazu, wie Sie ein neues Passwort festlegen, finden Sie unter blog.df.eu/pw.

Zudem arbeiten wir künftig mit Cloudflare zusammen, um eine Web Application Firewall (WAF) auf unserer Webseite und im Kundenmenü einzusetzen. Diese dient als Filter zwischen unseren Servern und potenziell bösartigem Datenverkehr aus dem Internet. Sie schützt vor betrügerischen Aktivitäten wie SQL-Injections und Cross-Site-Scripting und wird in den nächsten Tagen aktiv.

So schaffen wir eine neue Stufe der Systemsicherheit bei DomainFactory. Sie werden dadurch beim Besuch unserer Webseite und in Ihrem Kundenmenü keinerlei Beeinträchtigung feststellen -- weder in der Nutzung, noch in Bezug auf die Ladezeiten.

Weitere bestehende Zugänge wie z.B. zum ResellerProfessional bleiben hiervon unberührt.

Cloudflare arbeitet als Dienstleister zur Datenverarbeitung bestimmter personenbezogener Daten innerhalb und außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums in Übereinstimmung mit den geltenden Gesetzen. Wir haben eine entsprechende Datenverarbeitungsvereinbarung (DPA) unterzeichnet; und die Nutzung der Cloudflare-Dienste wurde in einem Datenschutzaudit als DSGVO-konform eingestuft.

Man denke nur an die vollmundige E-Mail von 2016:

mit dieser E-Mail möchten wir Sie darüber informieren, wie wir unser System auch künftig auf höchstmöglichem Sicherheitsniveau und nach modernen Standards für Sie gestalten werden.

Es ist mir unbegreiflich, wie Cloudflare sicher gegen SQL-Injections und XSS schützen soll. Natürlich können die versuchen zu erkennen, ob jemand HTML-Code über ein Formularfeld schickt, dessen Namen nicht nach HTML klingt (z.B. username). Und ein ; DROP TABLE ist sicher auch etwas, was man herausfiltern kann. Außer man arbeitet gerade mit phpMyAdmin an der Datenbank, dann kann es wieder legitim sein.

Dabei habe ich dann auch die Befürchtung, dass man sich dort jetzt in Sicherheit wähnt und nicht mehr wirklich auf die Sicherheit achtet. Außerdem erscheint es mir sehr fragwürdig bezüglich der eingesetzten Software wenn man einen Filter davor schalten muss.


Wenn man es alles zusammen nimmt, dann ist Domain Factory anscheinend eine Firma, die einem UK-Konzern gehört, der einem US-Konzern gehört. Die Webserver stehen in Frankreich, die E-Mail- und DNS-Server in Deutschland. Die Admins sitzen in der Ukraine. Habe ich noch ein Land vergessen?

Mir hat es damit dann gereicht, ich bin jetzt gewechselt. Ich bekomme jetzt für 2,50 EUR/Monat mehr als bei DomainFactory für 4 EUR/Monat. Der Service scheint besser zu sein. Bin ich mal gespannt!