Artikel mit Tag Administration

Wenn die Festplatte ihren Abgang ankündigt

Vorgestern Abend meldete einer "meiner" Server brav per SMS einen Fehler im RAID. Eine der Festplatten hatte einen "PFA-Fehler". Das kannte ich tatsächlich noch nicht und musste mal googeln. "Predictive Failure Analysis®" nennt sich das Ganze und der Hersteller verspricht, dass eine Festplatte mit dieser Technologie bis zu 48 Stunden vor ihrem digitalen Tod denselben ankündigen kann. Die betroffene Platte lief also noch, sagte aber mit diesem Fehler ihr baldiges Ableben voraus.

Eine gute Sache, denn auch bei einem RAID 5 mit Hotspare-Platte ist der Ausfall einer Platte im laufenden Betrieb immer mit Risiken verbunden. So konnte ich relativ gelassen am nächsten Morgen über unseren Servicedienstleister eine neue Platte anfordern und die betroffene Platte kontrolliert aus dem RAID-Verbund rausnehmen.

Wieviel Smartphones braucht der Admin

Ich mag ja den Winter, weil ich dann eine Jacke anhabe, die genug Taschen für alle Handys hat, die ich so mitnehmen muss/will. ;-)

Aber Spass beiseite, als (angestellter) Administrator hat man ja meist ein Firmenhandy oder -smartphone, über das man bei Notfällen erreichbar ist oder dass idealerweise auch an das Firmen-Mailsystem angebunden ist, um auch unterwegs E-Mails und Kalender zur Verfügung zu haben. Da unsere Berufsgruppe naturgemäss auch recht technikaffin ist, hat man natürlich auch Privat ein Smartphone, über dass man private Mails, soziale Netze usw. im Auge behält. Das hantieren mit unterschiedlichen Geräten und das oben erwähnte Transportproblem drängen die Frage auf, ob man nicht ein Gerät für berufliche und private Zwecke nutzen könnte oder sollte.

Eins für dienstliche und eins für private Zwecke?

Für angestellte Admins gibt es verschiedene Faktoren und Abhängigkeiten vom Arbeitgeber, wie eine solche Nutzung aussehen kann.

Nutzung von zwei unterschiedlichen Geräten für Beruf und Privat

Vorteile:

  • Klare Trennung von beruflichen und privaten Daten.
  • Private Daten bleiben immer in meinem Herrschaftsbereich.
  • Hohe Datensicherheit, da striktere Policies auf dem dienstlichen Gerät durchgesetzt werden können.
  • Ich kann das Diensthandy auch mal liegen lassen und "nur Privat" sein.

Nachteile:

  • Ich muss mehrere Geräte mit herumtragen.
  • Daten, die ich benötige sind an unterschiedlichen Stellen (Kalender, Kontakte usw).

Die Firma erlaubt die Nutzung des Firmengerätes auch für private Zwecke.

Vorteile:

  • Nur ein Gerät für alle Daten.
  • Eventuell Kostenvorteile, da ich eine Kostenteilung zwischen Arbeitgeber und mir vereinbaren kann.

Nachteile:

  • Durch Sicherheits-Policies kann ich eventuell nicht alle Features des Smartphones im privaten Bereich nutzen.
  • Meine privaten Daten sind auf einem Gerät, das faktisch meinem Arbeitgeber gehört und dass er mir jederzeit "wegnehmen" kann.
  • Ich bin für den Arbeitgeber ständig erreichbar.

Die Firma erlaubt die Nutzung eines privaten Gerätes für die dienstliche Nutzung (Stichwort: Bring your own device)

Vorteile:

  • Nur ein Gerät für alle Daten.
  • Die privaten Daten bleiben in meinem Herrschaftsbereich.
  • Ich kann mir in gewissen Grenzen das Gerät, das ich nutzen möchte, selbst aussuchen.

Nachteile:

  • Sicherheit, die Nutzung des Features des Handys kann durch Sicherheits-Policies eingeschränkt sein, für deren Einhaltung ich eventuell selbst sorgen muss.
  • Auch hier bin ich für den Arbeitgeber ständig erreichbar.
  • Eventuell muss ich Kosten, die für dienstliche Angelegenheiten entstehen, zum Teil selbst tragen.

Diese Betrachtungen beleuchten natürliche nur die Aspekte für mich persönlich und noch nicht die Fragen, die sich ein Arbeitgeber stellen muss, wenn er zwischen diesen Modellen entscheiden muss. Wir Administratoren sind hier in einer Zwickmühle, da wir ja häufig auch für die Erstellung und Einhaltung der IT-Sicherheits-Policies mit verantwortlich sind.

Ich nutze momentan noch die erste Variante, habe also ein dienstliches und ein privates Smartphone. In einem folgenden Artikel werde ich beschreiben, wie ich diese Konstellation in der Praxis nutze.

Wie sieht es mit der beruflichen / privaten Smartphonenutzung bei euch aus?

Admins Albtraum: Bring your own device

Seit Jahrzehnten ist es in diversen Benutzerrichtlinien, Sicherheitsleitlinien oder wie es auch immer heißt, verankert:

  • Schließe keine Firmenhardware an private Geräte oder Datennetze an.
  • Nutze keine private Software und Datenträger in der Firma.
  • Schließe keine private Hardware an Firmennetze oder Geräte an.

Damit sind wir Admins immer gut gefahren. Unsere Hardware ist nach unseren Vorstellungen konfiguriert und abgesichert, der User darf nur das tun, was wir ihm erlauben. Wechselmedien dürfen nur sehr restriktiv und von wenigen Benutzern an die Firmen-PCs angeschlossen werden. All das erhöht die Sicherheit und Integrität der firmeneigenen Daten und hilft uns Administratoren, der Herr im eigenen IT-System zu bleiben.

Irgendwann wurde der Ruf nach mobilem Zugriff auf E-Mail, Kalender und andere Daten laut. Mit einem Blackberry Enterprise Server hatte man auch jetzt als Admin die bestmögliche Kontrolle über die (immer noch firmeneigenen) mobilen Geräte, der Admin bestimmte, was auf den Geräten möglich war und was nicht.

Das Private für die Firma

Inzwischen gehört das private Smartphone bei vielen Mitarbeitern zum Alltag und es geistert ein neues Schlagwort durchs Internet und die Führungsetagen: "Bring your own device". Wenn die Mitarbeiter doch sowieso ein Smartphone nutzen, warum sollen sie dann nicht auch noch berufliche E-Mails und andere Daten auf dem Smartphone empfangen und so auch in Ihrer Freizeit für Firmenangelegenheiten erreichbar sein?

Für den Administrator ist das eine große Herausforderung in zweierlei Hinsicht. Zunächst müssen die verschiedenen Geräte technisch in die Firmen-IT eingebunden werden. Bei der Vielfalt der Geräte und Betriebssysteme keine einfache Aufgabe. Dann bleibt noch die Frage nach der Sicherheit. Der Admin hat keinen Einfluss mehr darauf, was der Mitarbeiter mit seinem Smartphone sonst noch anstellt. Das setzt eine gute Planung, Richtlinien und oftmals auch Kompromisse voraus. Eine gute Übersicht gibt der Artikel auf Heise-Mobil: Strategien für den sicheren Firmenzugang mit privaten Handys.

Bedeutung für die Work-Life-Balance

Diese neue Entwicklung hat meiner Meinung nach auch Auswirkungen auf die Art und Weise, wie wir Arbeit und Privates trennen und im Gleichgewicht halten. Wenn ich mit dem privaten Smartphone auch berufliche Aufgaben erledige, wird die Abgrenzung zwischen privatem und dienstlichem immer schwerer. Das ist für manchen vielleicht sogar erstrebenswert und hilft bei der Umsetzung von neuen Arbeits(zeit)modellen. Es kann aber auch dazu führen, dass das Privatleben zu kurz kommt. Ich bin zumindest froh, dass ich mein dienstliches Blackberry auch mal beiseite legen kann und bei manchen privaten Aktivitäten keine Störung durch dienstliche E-Mails habe.

Wie steht ihr zu dieser Entwicklung? Mich interessieren eure Meinungen, ob ihr nun durch die Administrator- oder die Userbrille schaut, ab damit in die Kommentare.

Eigeninitiative

Heute war ich am Rechner eines Users, bei dem ein Programm Probleme mit der Verbindung zu einer DB/2-Datenbank hatte.

Bei meiner Ankunft teilte mir der User mit:

"Ich habe den Fehler schon mal gegoogelt, der kommt öfter vor."

Stimmt.


Vergessene Daten

Von gebraucht erstandenen USB-Sticks oder Festplatten, auf denen man noch vergessene Daten des Vorbesitzers findet, hat man ja schon öfters gehört oder gelesen.

Heute hatte ich mal eine andere Variante. Beim Konfigurieren eines gebrauchten Multifunktionsdruckers, der zuvor schon einige Zeit bei einem anderen Kunden des Händlers testweise im Einsatz war, fand ich auf der Seite für die Fax/Scan-to-Mail-Konfiguration die Mail-Zugangsdaten des Vorbesitzers. Die Konfiguration war so eingestellt, dass die Faxe oder Scan-Dokumente (natürlich unverschlüsselt) über den GMX-Account des Besitzers versandt wurden.

Das Zugangspasswort für den Mailaccount war zwar  "ausgepunktet" und der Programmierer des Interfaces hatte auch die Cut-and-Paste-Funktion des Formularfeldes deaktiviert, allerdings lieferte ein Blick in den Quelltext des HTML-Formulars das Passwort auf dem Silbertablett im Klartext.

Dieses Beispiel zeigt deutlich, dass man auch bei der Weitergabe oder dem Verkauf von scheinbar so harmlosen Geräten wie Scannern und Druckern daran denken muss, eventuell vorhandene Daten zu löschen. Die meisten Geräte haben ja dafür eine Funktion zum Rücksetzen auf Werkseinstellung. Aber auch danach sollte man alles nochmal genau durchsehen, um nicht sensible Daten versehentlich weiter zu geben.

Sichtweisen

Im "Club der toten Dichter" lässt Lehrer John Keating seine Schüler auf die Tische steigen. Auf die Frage, was das soll, erklärt Keating, man müsse die Dinge manchmal einfach von einem anderen Standpunkt aus sehen.

Was hat das mit mir als Admin zu tun? Nun, vor kurzem musste ich nach dem folgenden Supportfall an diese Szene denken.

Unser Erfassungssystem für EDV-Probleme (nein, ich nenne es mal nicht Ticketsystem) erlaubt die Priorisierung der Dokumente durch den Einsteller. Standardmäßig steht das bei der Erstellung auf "Mittel", und eigentlich ändert das auch kaum jemand. Aus meiner Sicht kann ein Ticket mit der Priorität "Hoch" eigentlich nur mindestens eine mittlere Katastrofe bedeuten, bei der sofort gehandelt werden muss, die Priorität "Niedrig" würde ich mir bei manchen, doch eher "kosmetischen" Problemen manchmal wünschen, aber gut. Wie gesagt, eigentlich ändert fast keiner unserer Benutzer die Priorität ab, und so stehen die Anfragen schön chronologisch geordnet in der Datenbank und können abgearbeitet werden.

Nicht so neulich morgen. Auf einmal sehe ich ganz oben in der Liste eine Anfrage, die auch noch vorne mit einem roten Ausrufezeichen markiert war. Dann noch eine. Alles vom selben User. Es ging um die Änderung einer Dokumentenvorlage und in der anderen Anfrage darum, dass beim Ausdruck eines bestimmten Dokuments die Anwendung abstürzte.

Mein erster Gedanke: Frechheit. Wieso will sich dieser User mit seinen alltäglichen Problemen "vordrängeln"? Da ich an diesem Morgen sowieso nicht allerbester Laune war, griff ich zum Telefon, um den User zur Rede zu stellen. (Das Gespräch kann ich nicht mehr im genauen Wortlaut wiedergeben, nur sinngemäß).

Ich: "Warum schickst du eigentlich alle deine Anfragen mit Priorität "Hoch", dass muss doch nicht sein."

User: "Also, wenn ein Formular geändert werden muss, dass ich für meine Arbeit täglich brauche und wenn mein PC bei so einer Standardaufgabe wie dem Ausdrucken eines Dokumentes abstürzt, dann hat das für mich eine hohe Priorität."

Nach dem Gespräch war ich immer noch ein wenig verärgert (der User bestimmt auch), allerdings erinnerte ich mich dann an die oben erwähnte Filmszene und ich musste zugeben, dass der User doch eigentlich recht hatte. Es gibt bei uns keine Definition, wie die Priorität bei Anfragen zu vergeben ist und so hat der User die aus seiner Sicht richtige Priorität ausgewählt.

Also für das nächste mal merken: Bevor man einen "bösen" Anruf beim User tätigt, vielleicht vorher mal auf den Schreibtisch stellen, und das ganze von einem anderen Standpunkt betrachten.

Gefiltert

So ein zentraler Contentfilter nimmt dem Admin ja schon Arbeit ab. Mit vordefinierten Gruppenfiltern kann ich die Seitenkategorien, auf die die User nicht surfen sollen, bequem auswählen und filtern. Manchmal reagiert der Filter aber ein wenig über, so etwa heute:


Die angegebene URL enthält natürlich nur jugendfreien Inhalt, doch der Filter scheint bei bestimmten Wörtern in der URL rigoros durchzugreifen. Moment, ich sehe gerade, da steht doch tatsächlich "Sicherheit sex perten" im Text. Na dann. Und damit ich diesen Beitrag morgen auch vom Arbeitsrechner nicht mehr aufrufen kann, füge ich noch hinzu:

Der Contentfilter ist manchmal eine ganz schöne PUSSY!

Mailt mich nicht

Ich kann es einfach nicht leiden. Nein, auch wenn alle sagen ich spiele mich zum Oberlehrer auf. Ich muss einfach auf diese Mails mit den lustigen Powerpoint-Präsentationen, niedlichen Bildern von Katzen- und Hundebabys mit Sprechblasen oder ganz lustigen Computerwitz-Cartoons antworten. Und zwar an den Absender, der, um diesen ganz tollen und witzigen Content auch ja niemandem vorzuenthalten, immer sein ganzes Outlook-Adressbuch ins Empfängerfeld kopiert.

Dann folgt meinerseits dann die übliche Erklärung und die Bitte, doch die Empfänger in das Blindkopiefeld (häh, was ist das denn?) zu tun, damit doch bitte nicht alle Empfänger der Mail automatisch auch meine Mailadresse haben. Meistens stoße ich damit auf Unverständnis und kriege höchstens ein beleidigtes "Dann nehme ich die halt aus meinem Witzverteiler raus"-Mail zurück.

Ich meine klar, ich hab auch schon die eine oder andere Mailadresse aus solchen Nachrichten gefischt, die mir in meiner Sammlung noch gefehlt hat ;-). Auch ist es manchmal interessant, wo die Leute arbeiten ("Ich lese meine privaten Mails nicht so oft, schick mir die Witze doch auf meine dienstliche Mailadresse").

Ich habe jedenfalls ein Problem damit, dass meine Email-Adresse in einem Outlook eines Benutzers von der "Ich-patche-mein-Windows-mit-Internetexplorer-5-nicht-weil-sonst-sieht-Bill-Gates-das-ich-ein-geklautes-Office-2007-drauf-hab"-Fraktion landet, und deshalb werde ich weiter für die Benutzung des BCC-Feldes werben und den Unmut einiger meiner Bekannten und Unbekannten auf mich ziehen.

Vernetzt

Ich gebe ja zu, dass ich es beim Kabelverlegen und Patchen auch nicht immer mit der Ordnung so genau nehme. Aber was ich kürzlich in einer Produktivumgebung in einem kleinen Büro gesehen habe, hat selbst mich ein wenig erschreckt. Aber seht selbst:

Wohlgemerkt, das ganze hat tatsächlich so funktioniert. Ich beneide allerdings denjenigen nicht, der hier mal nach einem Fehler suchen muss.

The next Uri Hommel

Heute war wieder mal so ein Tag. Durch Urlaub und Krankheit einiger Kollegen waren sämtliche Hotlines auf mein Telefon vereint, egal ob es um Telefon, IT oder Hausmeisterei ging.

Schließlich kam dann doch noch ein echter IT-Anruf rein. Ein User hatte Probleme mit der Datenbankverbindung einer Anwendung. Zunächst versuchte ich den Fehler an meinem Rechner nochmal nachzuvollziehen, um einen lokalen Fehler am Rechner des Users auszuschließen. Da auch ich die Datenbank, die zentral bei unserem Rechenzentrum liegt, nicht erreichen konnte, griff ich zum Telefon, um den Fehler der Kundenbetreuung zu melden.

Just in diesem Moment kam bei mir eine Mail an, die mir sinngemäß mitteilte, dass mein Ticket zu den Problemen mit der Datenbank nun bearbeitet würde.

     ???

Diese drei Fragezeichen standen mir wohl im Gesicht. Hatte ich über nacht paranormale Fähigkeiten entwickelt oder einfach nur ein Problem mit dem Kurzzeitgedächtnis?

Zum Glück klärte mich kurz darauf ein Anruf eines Kollegen von der Kundenbetreuung auf, der mir mitteilte, dass man ein Problem mit der Datenbank habe und für die betroffenen Banken bereits ein Ticket für den IT-Verantwortlichen erstellt habe, um diese über den Fortschritt der Datenrücksicherung zu informieren.

Also kann ich mich doch nicht bei ProSieben anmelden. Glück gehabt.