← Alle Blogposts Know-how 3 Min. Lesezeit
RSS

Warum du bei uns von grundlegend sicheren Servern ausgehen kannst

Warum du bei uns von grundlegend sicheren Servern ausgehen kannst
Geschrieben von
Philipp Zeder
Veröffentlicht am
6. November 2025
Teilen

In der digitalen Welt ist Serversicherheit kein «Nice-to-have», sondern einer der Grundpfeiler für einen reibungslosen Betrieb. Als Kund*in eines Managed-Service-Providers vertraust du darauf, dass deine Infrastruktur robust und geschützt ist. Doch was bedeutet «sicher» in der Praxis?

Vielleicht hast du selbst schon einmal einen Security-Scan über deine Anwendung laufen lassen und einen Bericht mit einer Liste potenzieller Schwachstellen erhalten. Diese Berichte sind wertvoll, können aber ohne den richtigen Kontext auch zu Verunsicherung führen.

Wir möchten dir heute zeigen, welche grundlegenden Massnahmen wir ergreifen, um die Sicherheit deiner Server zu gewährleisten, und warum viele automatisierte Warnungen oft falsch positiv sind.

Das Herzstück der Sicherheit: Eine durchdachte Patching-Philosophie

Der vielleicht wichtigste Aspekt, warum du von einer generellen Sicherheit ausgehen kannst, ist unser Umgang mit Software-Updates. Wir setzen beim Betriebssystem deiner Server auf Ubuntu-LTS-Versionen, die im Abstand von 2 Jahren veröffentlicht werden. Der Zusatz LTS im Namen verrät: Es handelt sich dabei um Versionen mit Long-Term-Support. Anstatt bei jeder Sicherheitslücke sofort auf die nächsthöhere Version einer Software (wie z. B. OpenSSH) zu springen, portiert Canonical, der Hersteller von Ubuntu, die notwendigen Sicherheitspatches aktiv in die stabilen LTS-Versionen zurück («Backporting»). Das verhindert, dass Breaking Changes in die Software einfliessen, die den Produktivbetrieb beeinträchtigen. Leider sorgen einfach gestrickte Scans dann aber oft für unnötige Verunsicherung.

Was bedeutet das für dich?

Ein Sicherheitsscanner sieht möglicherweise eine Software-Version, die auf den ersten Blick veraltet erscheint (z.B. OpenSSH 8.2p1) und meldet diese als verwundbar. In Wirklichkeit ist diese Version jedoch durch die von uns eingespielten Backports vollständig gegen die gemeldeten Lücken abgesichert. Die Versionsnummer allein ist hier nicht aussagekräftig; der tatsächliche Patch-Level ist entscheidend.

Sichere Konfiguration ist Standard

Neben dem Patching ist die Konfiguration der Dienste entscheidend. Wir achten darauf, von vornherein eine sichere und sinnvolle Konfiguration bereitzustellen.

  • TLS/SSL-Verschlüsselung: Wir konfigurieren die Webserver so, dass sie eine breite Kompatibilität mit verschiedenen Clients (Browsern etc.) bieten, ohne dabei die Sicherheit zu vernachlässigen. Unsere Engineers orientieren sich hier an den Empfehlungen der Mozilla Foundation, die einen guten Kompromiss aus Sicherheit und Kompatibilität darstellen und zu guten Bewertungen in gängigen Tests wie dem Qualys SSL Check führen.

  • Umgang mit SSH: Der Dienst OpenSSH ist ein häufiges Ziel von Angriffen. Die Software gilt als extrem sicher und wird von uns entsprechend strikt verwaltet. Viele in Reports gemeldete CVEs (Sicherheitslücken) sind in der Praxis oft falsch positiv, da sie bereits behoben wurden, von den Entwickler*innen als umstrittener Fehler eingestuft werden oder Funktionen betreffen, die bei uns gar nicht zum Einsatz kommen (z.B. der FIDO Authentifikationsmechanismus). Der reine Check der SSH-Versionsnummer greift zu kurz.

Zur Erinnerung: Die im Verbindungsaufbau angezeigte Version lässt keinen Rückschluss auf das Patch-Level des Dienstes zu.

  • Sinnvolle Voreinstellungen (Default Vhost): Wir konfigurieren «Default Vhosts» (Standard-Websites). Diese verhindern, dass Suchmaschinen versehentlich Kundeninhalte unter der reinen IP-Adresse des Servers indizieren. Auch der Einsatz von selbstsignierten Zertifikaten für diese Default-Vhosts ist eine bewusste technische Entscheidung, um Fehlermeldungen zu vermeiden, wenn noch kein Kundenzertifikat installiert ist – auch wenn Scanner dies manchmal als «Problem» melden.

Immer gilt: Wir können auf deine individuellen Wünsche eingehen und Konfigurationen in Bezug auf grössere Kompatibilität oder grössere Sicherheit berücksichtigen.

Beratung statt nur Verwaltung

Eine solide Beratung ist uns wichtig. Gerne unterstützen wir dich bei Fragen zur Sicherheit unserer Infrastruktur. In unserer Dokumentation findest du ausserdem einen praktischen Leitfaden dazu, wie du mit Resultaten eines Security-Scans umgehen kannst: «Interpretation eines Sicherheitsreports für deinen Server» .

Mehrschichtigkeit für grundlegend sichere Server

Die Sicherheit deiner Server hier bei uns beruht auf einem mehrschichtigen Ansatz: einer robusten Patching-Strategie, die über reine Versionsnummern hinausgeht, einer sicheren Grundkonfiguration essenzieller Dienste und einer transparenten Beratung, die dich dabei unterstützt, unsichere Protokolle zu meiden.

Wenn du also das nächste Mal einen Sicherheitsreport analysierst, kannst du beruhigt sein: Viele der gemeldeten Punkte sind mit hoher Wahrscheinlichkeit bereits durch unsere tiefgreifenden Management-Prozesse berücksichtigt oder als falsch positiv zu bewerten.

Möchtest du auf dem Laufenden bleiben?

Abonniere unseren YouTube-Kanal und besuche den Blog unserer Website.

Ähnliche Artikel