Wer gestern, am 06.10.2025, unsere Seiten besuchen wollte, wurde von dieser beängstigenden Warnmeldung davon abgehalten.
Angeblich handele es sich bei unserer Homepage um eine gefährliche Phishing-Seite, von der man als Internetnutzer dringlichst Abstand nehmen sollte. Betroffen waren auch alle Subdomains, darunter status.server.camp und support.server.camp. Webservices unserer Kunden waren glücklicherweise nicht betroffen.
Um Verwirrung zu vermeiden und das Vertrauen unserer Nutzer wiederherzustellen ist es uns wichtig, Klarheit zu schaffen, was es hiermit auf sich hatte. Eins vorweg: server.camp ist zu 100 % sicher und unsere Seiten werden für keinerlei bösartige Aktivität genutzt!.
Zum Hintergrund
Google betreibt mit der Safe Browsing API einen Service, dessen Ziel es ist, mehr Sicherheit im Internet zu schaffen und Nutzer:innen von bösartigen Seiten fernzuhalten. Grundsätzlich ist das sehr sinnvoll und wichtig. Google indexiert dabei Seiten, die als verdächtig eingestuft werden – z.B. weil sie Phishing-Links (SOCIAL_ENGINEERING) oder Malware (MALWARE) enthalten oder anderweitig eine Gefahr darstellen (POTENTIALLY_HARMFUL_APPLICATION).
Diese Daten können dann kostenlos von jedermann über die API abgefragt werden. Als Betreiber eines URL Shortener könnte man beispielsweise für jeden neuen Link zunächst die besagt API anfragen, um die "Rechtmäßigkeit" dieses Links zu verifizieren. Auch alle großen Browser – darunter Chrome, Firefox und Safari, nicht aber das unabhängig Chromium Projekt – integrieren Google Safe Browsing. Sobald ein Nutzer oder eine Nutzerin versucht, im Browser eine als nicht-sicher klassifizierte Seite aufzurufen, erscheint die oben gezeigte Meldung.
Leider war das – zum Leid unserer Besucher:innen – fälschlicherweise gestern auch für unsere Seiten der Fall.
Hinzu kommt noch: offenbar konsumiert auch LinkedIn die Safe Browsing API, sodass auch die server.camp LinkedIn Page zwischenzeitlich offline war und all unsere Beiträge automatisiert gelöscht wurden.
Die Problemsuche
Nachdem wir (Ferdi, Fiete und Tobi) den ersten Schock überwunden hatten, begann gestern schnell die Suche nach der Ursache des Fehlers. Bald wurde klar, dass ein Zusammenhang zu unserer mailcow besteht. Dabei handelt es sich, vereinfacht gesagt, um ein open-source E-Mail Server Setup, das wir intern verwenden. Im Issue Tracker und im Community Forum von mailcow stießen wir auf aktuelle Berichte vieler anderer Nutzer:innen, die dem gleichen Problem gegenüberstanden – auch deren Websites wurden fälschlicherweise als "deceptive site" deklariert. Offenbar hält Google's Klassifizierungsalgorithmus mailcow – aus unersichtlichen Gründen – für eine Phishing-Seite.
- Google Safe Browsing flags mailcow pages as dangerous (#6747)
- Google Safe Browsing meldet mailcow Seiten als gefährlich
Wir waren also nicht allein! Uns wurde klar: die Schuld liegt nicht bei uns. Es handelt sich um ein "strukturelles" Problem bei Google. Ein Fehler, aufgrunddessen harmlose Websites als false-positive in deren Index landen.
Die Problembehebung
Sofort machten wir uns daran, die im Forum und auf GitHub vorgeschlagenen Maßnahmen und Änderungen umzusetzen und meldeten die Fehlerklassifizierung bei Google. Danach konnten wir nur warten. Erfahrungsberichten zufolge kann es bis zu mehreren Tagen dauern, bis eine solche Meldung bearbeitet wird und sich die Änderung dann über's Internet hinweg vollständig propagiert.
Der "Workaround" scheint funktioniert zu haben. Das grundlegende Problem besteht bei Google aber nach wie vor, sodass auch weiterhin für "unschuldige" Webseitenbetreiber:innen das Risiko besteht, Leidtragende der fehlerhaften Klassifizierungsalgorithmik zu werden.
Seit den frühen Morgenstunden des 07.10. sind wir wieder online. Das verlorene Vertrauen unserer Nutzer:innen können wir jedoch leider nicht mit ein paar Klicks und etwas goodwill von Google wiederherstellen ... 😔.
Fazit
Durch diesen Vorfall haben wir sozusagen "am eigenen Leib" erfahren, wie groß die Verantwortung, aber auch die Macht von Google ist. Aufgrund der enormen Reichtweite hat eine simple, automatisiert erfolgte Fehlklassifizierung das Potenzial, kleine Unternehmen und Startups "aus Versehen" innerhalb kurzer Zeit zu ruiinieren. Einmal mehr wurde uns klar, dass das Internet heute weniger dezentral und unabhängig von "single points of failure" ist, als man denken würde (und als es eigentlich sein sollte).
Wir möchten uns eindringlich bei all unseren Nutzer:innen für die Unannehmlichkeiten entschuldigen und versichern, dass server.camp keinerlei bösartige Absicht o.ä. verfolgt – niemals! 🙏