Bei einem 0815 Hoster sicherlich nicht
Was steht im Vertrag? Wer ist für den einwandfreien Betrieb zuständig? Gibt es einen Servicevertrag o.a.; was steht da drin?

Hallo Christian, danke für die schnellen Hinweise!

Mein Webserver liegt bei domainfactory.

Für den Betrieb des VServers gibt es laut Rechnung AGBs und ein Servicelevel Agreement.

Finde diese Dokumente aber weder in meinen Unterlagen noch auf der Homepage. Ich habe sie gerade beim Anbieter angefordert.

Nun, warum sollte ich, wenn ich den Service für ein System durchführe, jemanden Zugriff darauf erlauben, der u.U. das System kompromitiert?
Da Domainfactory nach einem 0815-Hoster klingt, wird der dir weder externen Zugriff auf seine Datenbanken noch Zugriff über Software auf externe Datenbanken erlauben. Was dir unbenommen bleibt, ist das über ein Script zu machen, sofern der Zugriff auf das Ziel möglich ist

Christian meinte bei seiner Frage nach dem Vertrag eher(oder auch) den Anbieter deiner Branchensoftware. Wenn die Ihre Software als reine On-Premise Lösung verkaufen werden die den Betrieb der Software oder Teilen der Software in der Cloud explizit in ihrer AGB ausgeschlossen haben. Ob die Datenbank von denen als Teil der Software betrachtet wird sollte da auch geregelt sein. Das sollte rechtlich völlig in Ordnung sein. Übrigens wenn die die Datenbank nicht als Teil der Software betrachten und du damit die Datenbank auch in die Cloud legen dürftest sind die potentiellen Sicherheitsprobleme deine Probleme nicht die des Softwareanbieters und auch nicht die des Hosters. Wenn das System Daten und oder Authentifizierungen unverschlüsselt überträgt sind weder Softwareanbieter noch der Hoster in der Pflicht. Du musst dafür sorgen das das sicher geht oder mit eventuellen Konsequenzen leben.

@ Ralf und Christian: danke Euch sehr für die Hinweise!


Die Branchensoftware mit der dazugehörigen Datenbank läuft schon in der Cloud auf einem VServer.

Den VServer hat mein Anbieter gemietet und vermietet ihn an mich - zusammen mit der Software.

Wo dieser VServer mit der Datenbank liegt, weiß ich nicht. Ich erzeuge die Daten zum größten Teil selbst: Kundendaten, Leistungsdaten, Termine etc.

Die Software wird über die Remotedesktop-Verbindung zum VServer gestartet.

Die Software beinhaltet u.a. einen Terminplaner. Ich möchte gern diese Termindaten aus der MS-Datenbank auslesen und auf meiner Homepage verarbeiten (freie Termine zur Buchung anbieten).

Ich möchte die Datenbank nicht über Homepage beschreiben. Das Eintragen der Termine erfolgt weiter direkt nur über die Remotedesktopverbindung zum VServer.

Mein Anbieter schreibt: "..dass wir allein aus Sicherheitsgründen keine Ports für Dienste oder Verbindungen nach außen öffnen. Auch ist eine Vergabe von Administrationsrechten nicht möglich, da wir hierdurch den Betrieb des VServers zukünftig nicht mehr sicher stellen können."

Ist es tatsächlich so, dass das Auslesen von Datensätzen - wobei ich noch nicht weiß, wie man es technisch realisiert - , ein Sicherheitsrisiko für den VServer darstellt?

Das ist irrelevant.
Egal ob du der PHP,-SQL-Gott bist, solange jemand anders die Verantwortung hat, wird er sie verständlicherweise nicht teilen. Du kannst ihn nicht wirksam entlasten.

Ich würde mich als Anbieter einer Software auch sehr bedeckt halten, den Nutzern Zugriff zu gewähren außer über die dafür bestimmten Kanäle. Da hast Du schlechte Karten.

Letztlich ist es aber so, dass es Deine Daten sind und es irgendeine Möglichkeit geben sollte, diese Daten für Dich verwertbar bereitzustellen. Danach würde ich Deinen Anbieter fragen.

Hat die Branchensoftware nicht eine spezifizierte API an der sich andere SW-Lösungen andocken können?