Moin!

Das geht wohl, wenn eine sichere Authentifizierung gewährleistet ist und wenn die Programmierer/Admins wissen was sie tun und nicht einfach (oder gar wild) unverstandene Programme oder Bibliotheken Dritter verbauen und so gewaltige Löcher in die Systemarchitektur reissen wie es z.B. Anwender von Wordpress/Joomla/sonstwas-Plugis oft so unwissend wie unfreiwillig tun.

Ausschließlich verschlüsselte Übertragung wäre z.B. erste Bürgerpflicht. Den Grund nennt Dedlfix:

Ja. Aber wenn du einen ganzen Server selbst betreibst und ins Internet stellst, dann kannst du dich darauf gefasst machen, dass der noch und nöcher angegriffen wird.

Es kommt auch auf die Daten an ... Wenn die Existenz des Unternehmens davon abhängt, dann sollte man sehr genau untersuchen, was davon wie abgesichert sein muss oder es überhaupt aus dem Internet abrufbar sein sollte.

Ein Xampp unter Windows, sagst du? Wenn da nichts spezielles drin ist, würde ich lieber einen Hoster nehmen, der Webspace mit PHP und Datenbank anbietet.

Dedlfix hat ultimativ Recht. Xampp unter Windows aus dem Internet erreichbar geht gar nicht. Soweit ich das noch weiss, haben die "Entwickler" (eigentlich eher was wie Paketpacker) von Xampp nur den Anspruch, ein Testsystem für Entwickler bereit zu stellen. Sicherheit steht da nicht im Vordergrund.

Das Aktuellhalten des grundlegenden Systems ist dann zumindest schon mal nicht mehr deine Aufgabe.

Hier muss man trennen:

A) Massenhosting auf virtuellen Hosts (nicht: "Servern"):

Aktualisierungen sind Job des Hosters. Das Modell ist aber nicht zu empfehlen, weil zahlreiche (tausende!) Dritte legal Zugang zu Server haben (z.B. auch via ssh) und eine Rechteausweitung infolge irgendwelcher Kernel- oder Treiberfehler eine Gefahr darstellt. Weiter besteht die Gefahr, dass einer der tausenden Dritten Mist baut und Vierten (Angreifern) die Tore öffnet, die dann eine Rechteausweitung anstreben. Der Rest steht unter B.2. und dann unter B.3.

B) Eigener Server (virtuell oder eigenes "Blech")

B.1.) Eigener Server selbst gemanagt:

Der Hoster macht gar nichts. Der Betreiber ist für Überwachung und Updates verantwortlich. Also sollte man sich die personellen Ressourcen ins Unternehmen holen. Und nicht glauben, dass ein Personaldienstleister diese entsenden kann. Die denken immer, die können einen "Mindestlöhner" entsenden - hier wird aber jemand mit Verstand gebraucht, der auch ein eigenes Interesse am Fortbestand der Firma hat und also loyal ist. Konflikte mit den Budgetverantwortlichen (oft Leute ohne technischen Sachverstand, die zwar notwendige Budgets nicht bereit stellen, als Hasardeure an den "Einsparungen" selbst partizipieren aber für die Folgen nicht verantwortlich sein wollen) sind vorprogrammiert.

B.2.) "Managed Server":

Der Hoster ist für Überwachung und Updates verantwortlich. allerdings betrifft das nicht Software, welche der Betreiber ausgesucht, installiert und/oder konfiguriert hat. Also sind auch hier loyale personelle Ressourcen nötig.

B.3.) "Voll-Service" des Software-Anbieters

Ein Anbieter hostet den Server und die Software und managt diese diese auch. Der Anbieter stellt die Ressourcen. Nur muss man dennoch jemand haben, der den Anbieter aussuchen und prüfen/überwachen kann. Der Anbieter hat dann nämlich den vollen Zugriff und kann sich (regelmäßig) jederzeit in den Besitz der Daten bringen. Auch dessen Mitarbeiter, wie Schweizer Banken und sogar die NSA erfahren mussten...

Allen Möglichkeiten ist eines gemein:

Niemand wird den vollen Schaden ersetzen, wenn es zum Einbruch oder Crash kommt.

Jörg Reinholz