Teils ITEG, teils der Webhosting-Kunde selbst.
ITEG spielt regelmäßig sowie bei Bekanntwerden von kritischen Zero-Day-Lücken flächendeckend die von Debian zur Verfügung gestellten Sicherheitsupdates ein. Das betrifft Betriebssystem, Apache/NGinx, MySQL/MariaDB/PostgreSQL-Server, OpenSSL, SSH-Daemon, PHP-Engine, u.ä.
Allerdings werden für viele Web-Frameworks (WordPress, Typo3, ColdFusion/Lucee, u.v.a.) immer wieder Sicherheitslücken bekannt die dann auch aktiv angegriffen werden. Ebenso enthalten Hand-geschnitzte Webauftritte oft Sicherheitsprobleme. In beiden Fällen ist der Webhosting-Kunde selbst für umgehende Updates bzw. für die Folgen vom Nicht-Stopfen von solchen Lücken zuständig. Wir empfehlen dringend diese Aufgabe per Wartungsvertrag an die Entwickler Ihrer Webauftritte zu delegieren.
Wir behalten uns vor Kundensysteme mit gravierenden Sicherheitsmängeln vom Netz zu nehmen, im Notfall sogar ohne Rücksprache.
Achtung langfristiges: Jede Betriebssystem-Generation wird nur für ca. 5 Jahre mit Sicherheits-Updates versorgt. Daher gehören Webhosting-Auftritte (Shared Hosting) bzw. Root-Server mindestens alle 4 Jahre auf die jeweils aktuelle Generation migriert. Neben dem fixen Aufwand seitens ITEG kann dies auch Wartungsarbeiten seitens der Webentwickler des Kunden führen, z.B. Anpassung an die neueren Versionen von PHP, Java, Datenbank.