Also ich denke, man bräuchte zumindest ein einfaches Verifikationsverfahren, um die Einhaltung der Versprechen zu überprüfen. Ansonsten macht ein solches Siegel keinen Sinn. Vorschlag:

1) Der Webseitenbetreiber muss bei der Erstprüfung und danach auf Verlangen der Prüfer (Stichprobentests) einen per GNU-Screen-Sitzung überwachten SSH-Login auf dem Server gewähren. Dabei sollte der jeweilige Prüfer root-Zugriff auf den Server erhalten, indem der Seitenbetreiber sich während der Screen-Sitzung als root einloggt.

2) Der Prüfer kann dann die üblichen verdächtigen Dateien (Server-Logfiles, CMS-Logfiles, Datenbankeinträge) nach IP-Adressen abscannen. Dies sollte nach keinem streng festgelegtes Verfahren ablaufen, da der Webseitenbetreiber sonst leicht entsprechende fake-Dateien aufsetzen kann.

3) Der Prüfer kann außerdem Modifikationen an der Webseite vornehmen, um live zu testen, ob er wirklich auf dem richtigen Server arbeitet.

4) Der updatedb/locate-Befehl sollte jeweils zur Verfügung stehen, um Dateien auf dem Server leichter finden zu können.

Zum Einen erschwert diese Vorgehensweise Täuschungsmaneuver enorm (man müsste schon einen virtuellen Server laufen lassen, und dann auch noch dafür sorgen, dass Änderungen am virtuellen Server sich auf den echten auswirken). Zum anderen entdeckt der Prüfer so eventuell Logeinträge, die der Webseitenbetreiber vergessen hat zu berücksichtigen.

Leider ist diese Methode nur bei virtuellen Servern bzw. root-Servern anwendbar. Da der Webseitenbetreiber aber nur bei diesen wirklichen Einfluss auf das Logging hat, sollten meiner Meinung nach auch nur diese das Siegel - nach erfolgreicher Prüfung - tragen dürfen.

Übrigens bleibt noch eine Unsicherheit - der Webseitenbetreiber könnte sich die Logs auf einen fremden Server schreiben lassen. Sofern Standardsoftware verwendet wird, kann man das wohl in den Konfigurationsoptionen überprüfen. Klar ist aber, dass man diese auch umkompilieren kann. Auch die Netstat-Ausgabe sollte also genauestens überprüft werden. Zumindest bleibt bei der beschriebenen Prüfung aber immer der Nutzen, dass ein externer Prüfer auf vergessene Logdaten hinweisen kann.

Voraussetzung für das Verfahren sind mehrere technisch versierte Prüfer. Ich denke auch, dass der jeweilige Prüfer durchaus eine einmalige Gebühr vom Webseitenbetreiber verlangen kann. Vertretbar wären etwa 30 Euro. Sollten bei späteren Überprüfungen Logdaten gefunden werden, so wäre diese Gebühr nochmals fällig.