Hommel-Net Weblog

Seit Jahrzehnten ist es in diversen Benutzerrichtlinien, Sicherheitsleitlinien oder wie es auch immer heißt, verankert:

• Schließe keine Firmenhardware an private Geräte oder Datennetze an.
• Nutze keine private Software und Datenträger in der Firma.
  
• Schließe keine private Hardware an Firmennetze oder Geräte an.

Damit sind wir Admins immer gut gefahren. Unsere Hardware ist nach unseren Vorstellungen konfiguriert und abgesichert, der User darf nur das tun, was wir ihm erlauben. Wechselmedien dürfen nur sehr restriktiv und von wenigen Benutzern an die Firmen-PCs angeschlossen werden. All das erhöht die Sicherheit und Integrität der firmeneigenen Daten und hilft uns Administratoren, der Herr im eigenen IT-System zu bleiben.

Irgendwann wurde der Ruf nach mobilem Zugriff auf E-Mail, Kalender und andere Daten laut. Mit einem Blackberry Enterprise Server hatte man auch jetzt als Admin die bestmögliche Kontrolle über die (immer noch firmeneigenen) mobilen Geräte, der Admin bestimmte, was auf den Geräten möglich war und was nicht.

Das Private für die Firma

Inzwischen gehört das private Smartphone bei vielen Mitarbeitern zum Alltag und es geistert ein neues Schlagwort durchs Internet und die Führungsetagen: "Bring your own device". Wenn die Mitarbeiter doch sowieso ein Smartphone nutzen, warum sollen sie dann nicht auch noch berufliche E-Mails und andere Daten auf dem Smartphone empfangen und so auch in Ihrer Freizeit für Firmenangelegenheiten erreichbar sein?

Für den Administrator ist das eine große Herausforderung in zweierlei Hinsicht. Zunächst müssen die verschiedenen Geräte technisch in die Firmen-IT eingebunden werden. Bei der Vielfalt der Geräte und Betriebssysteme keine einfache Aufgabe. Dann bleibt noch die Frage nach der Sicherheit. Der Admin hat keinen Einfluss mehr darauf, was der Mitarbeiter mit seinem Smartphone sonst noch anstellt. Das setzt eine gute Planung, Richtlinien und oftmals auch Kompromisse voraus. Eine gute Übersicht gibt der Artikel auf Heise-Mobil: Strategien für den sicheren Firmenzugang mit privaten Handys.

Bedeutung für die Work-Life-Balance

Diese neue Entwicklung hat meiner Meinung nach auch Auswirkungen auf die Art und Weise, wie wir Arbeit und Privates trennen und im Gleichgewicht halten. Wenn ich mit dem privaten Smartphone auch berufliche Aufgaben erledige, wird die Abgrenzung zwischen privatem und dienstlichem immer schwerer. Das ist für manchen vielleicht sogar erstrebenswert und hilft bei der Umsetzung von neuen Arbeits(zeit)modellen. Es kann aber auch dazu führen, dass das Privatleben zu kurz kommt. Ich bin zumindest froh, dass ich mein dienstliches Blackberry auch mal beiseite legen kann und bei manchen privaten Aktivitäten keine Störung durch dienstliche E-Mails habe.

Wie steht ihr zu dieser Entwicklung? Mich interessieren eure Meinungen, ob ihr nun durch die Administrator- oder die Userbrille schaut, ab damit in die Kommentare.

Und auf Empfehlung des zuständigen Mitarbeiters der Kundenbetreuung unseres Rechenzentrums stelle ich hiermit folgendes Mantra auf:

Wenn du bei Selbstbedienungsterminals - welche seit Jahren problemlos ihren Dienst versehen - die Software neu installierst, geht bei mindestens einem davon bei der Intallation ein Stück Hardware kaputt. Ehrlich. Immer.

Heute war ich am Rechner eines Users, bei dem ein Programm Probleme mit der Verbindung zu einer DB/2-Datenbank hatte.

Bei meiner Ankunft teilte mir der User mit:

"Ich habe den Fehler schon mal gegoogelt, der kommt öfter vor."

Stimmt.

Von gebraucht erstandenen USB-Sticks oder Festplatten, auf denen man noch vergessene Daten des Vorbesitzers findet, hat man ja schon öfters gehört oder gelesen.

Heute hatte ich mal eine andere Variante. Beim Konfigurieren eines gebrauchten Multifunktionsdruckers, der zuvor schon einige Zeit bei einem anderen Kunden des Händlers testweise im Einsatz war, fand ich auf der Seite für die Fax/Scan-to-Mail-Konfiguration die Mail-Zugangsdaten des Vorbesitzers. Die Konfiguration war so eingestellt, dass die Faxe oder Scan-Dokumente (natürlich unverschlüsselt) über den GMX-Account des Besitzers versandt wurden.

Das Zugangspasswort für den Mailaccount war zwar  "ausgepunktet" und der Programmierer des Interfaces hatte auch die Cut-and-Paste-Funktion des Formularfeldes deaktiviert, allerdings lieferte ein Blick in den Quelltext des HTML-Formulars das Passwort auf dem Silbertablett im Klartext.

Dieses Beispiel zeigt deutlich, dass man auch bei der Weitergabe oder dem Verkauf von scheinbar so harmlosen Geräten wie Scannern und Druckern daran denken muss, eventuell vorhandene Daten zu löschen. Die meisten Geräte haben ja dafür eine Funktion zum Rücksetzen auf Werkseinstellung. Aber auch danach sollte man alles nochmal genau durchsehen, um nicht sensible Daten versehentlich weiter zu geben.

Heute Abend im Lidl an der Kasse vor mir will die männliche Hälfte eines Pärchens mit der ec-Karte den Einkauf bezahlen. Der erste Versuch geht schief, weil er anscheinend die Geheimzahl nicht weiß. Sie steht, durch eine Gitterabsperrung getrennt, um die Ecke bei den Getränken.

Er versucht, sie dazu zu bewegen, zur Kasse zu kommen, weil sie offenbar die Geheimzahl kennt.

Er: "Komm doch her."

Sie: "Wie denn?"

Er: "Na da hinten vorbei."

Das geht eine Weile so, schließlich schreit sie genervt durch den Laden:

"4689, jetzt gib's doch endlich ein!"

Alle im Laden schauen sie entgeistert an.

Sie: "Ist doch jetzt auch egal."

Soviel zum Thema Geheimzahl...

Als Administrator hat man eine eher lästige Pflicht. Man muss seine Arbeit dokumentieren. Kommt zunächst immer etwas Misstrauen hoch, wenn man aufgefordert wird, sein Wissen aufzuschreiben, so muss man nach rationeller Überlegung doch die Notwendigkeit einer Dokumentation erkennen.

Als verantwortungsbewusster Admin muss einem klar sein, dass man immer plötzlich mal ausfallen kann und dass dann der Betrieb weiterlaufen muss und nicht von der Anwesenheit einer Person abhängig sein darf.

Ein anderer Aspekt ist der, dass ich immer mal wieder Aufgaben erledigen muss, die nicht so häufig vorkommen. Ich bin dann froh, wenn ich auf eine Anleitung zurückgreifen kann, die ich einmal erstelle und mich dann immer wieder daran langhangeln kann. Schlussendlich ist auch die Übertragung von Aufgaben an Kollegen einfacher, wenn bereits eine Dokumentation existiert.

Als optimales Werkzeug zum Dokumentieren funktionieren für mich Wikis. Die einfache Bedienung, Verfügbarkeit an verschiedenen Orten und Rechnern und die Möglichkeit, mit mehreren Kollegen an den Dokumenten arbeiten zu können, ist für mich die optimale Lösung.

Als Wiki-Engine nutze ich zur Zeit meistens Dokuwiki. Die Engine legt die Daten in lesbaren Textdateien ab und benötigt auf dem Webserver lediglich PHP. Die Installation ist super einfach und schnell erledigt. Mit den zahlreichen Templates kann man das Aussehen des Wikis variieren. Es gibt auch Templates, mit denen sich Dokuwiki durchaus auch als CMS nutzen lässt, ohne dass man beim Ergebnis auf eine Wiki-Engine als Backend tippen würde.

In Zusammenarbeit mit den Kollegen entsteht über das Wiki ein Pool an Dokumentationen, die die alltägliche Admin-Arbeit erleichtern. Durch die Wiki-Technologie entstehen aus anfänglich sehr übersichtlichen Texten in Checklisten-Form oftmals umfangreiche Dokumentationen.

Wie sieht das bei anderen Admin-Kollegen aus. Ist ein Wiki auch für euch die optimale Dokumentationsplattform und wenn ja, welche Engine benutzt ihr?

Im "Club der toten Dichter" lässt Lehrer John Keating seine Schüler auf die Tische steigen. Auf die Frage, was das soll, erklärt Keating, man müsse die Dinge manchmal einfach von einem anderen Standpunkt aus sehen.

Was hat das mit mir als Admin zu tun? Nun, vor kurzem musste ich nach dem folgenden Supportfall an diese Szene denken.

Unser Erfassungssystem für EDV-Probleme (nein, ich nenne es mal nicht Ticketsystem) erlaubt die Priorisierung der Dokumente durch den Einsteller. Standardmäßig steht das bei der Erstellung auf "Mittel", und eigentlich ändert das auch kaum jemand. Aus meiner Sicht kann ein Ticket mit der Priorität "Hoch" eigentlich nur mindestens eine mittlere Katastrofe bedeuten, bei der sofort gehandelt werden muss, die Priorität "Niedrig" würde ich mir bei manchen, doch eher "kosmetischen" Problemen manchmal wünschen, aber gut. Wie gesagt, eigentlich ändert fast keiner unserer Benutzer die Priorität ab, und so stehen die Anfragen schön chronologisch geordnet in der Datenbank und können abgearbeitet werden.

Nicht so neulich morgen. Auf einmal sehe ich ganz oben in der Liste eine Anfrage, die auch noch vorne mit einem roten Ausrufezeichen markiert war. Dann noch eine. Alles vom selben User. Es ging um die Änderung einer Dokumentenvorlage und in der anderen Anfrage darum, dass beim Ausdruck eines bestimmten Dokuments die Anwendung abstürzte.

Mein erster Gedanke: Frechheit. Wieso will sich dieser User mit seinen alltäglichen Problemen "vordrängeln"? Da ich an diesem Morgen sowieso nicht allerbester Laune war, griff ich zum Telefon, um den User zur Rede zu stellen. (Das Gespräch kann ich nicht mehr im genauen Wortlaut wiedergeben, nur sinngemäß).

Ich: "Warum schickst du eigentlich alle deine Anfragen mit Priorität "Hoch", dass muss doch nicht sein."

User: "Also, wenn ein Formular geändert werden muss, dass ich für meine Arbeit täglich brauche und wenn mein PC bei so einer Standardaufgabe wie dem Ausdrucken eines Dokumentes abstürzt, dann hat das für mich eine hohe Priorität."

Nach dem Gespräch war ich immer noch ein wenig verärgert (der User bestimmt auch), allerdings erinnerte ich mich dann an die oben erwähnte Filmszene und ich musste zugeben, dass der User doch eigentlich recht hatte. Es gibt bei uns keine Definition, wie die Priorität bei Anfragen zu vergeben ist und so hat der User die aus seiner Sicht richtige Priorität ausgewählt.

Also für das nächste mal merken: Bevor man einen "bösen" Anruf beim User tätigt, vielleicht vorher mal auf den Schreibtisch stellen, und das ganze von einem anderen Standpunkt betrachten.

So ein zentraler Contentfilter nimmt dem Admin ja schon Arbeit ab. Mit vordefinierten Gruppenfiltern kann ich die Seitenkategorien, auf die die User nicht surfen sollen, bequem auswählen und filtern. Manchmal reagiert der Filter aber ein wenig über, so etwa heute:

Die angegebene URL enthält natürlich nur jugendfreien Inhalt, doch der Filter scheint bei bestimmten Wörtern in der URL rigoros durchzugreifen. Moment, ich sehe gerade, da steht doch tatsächlich "Sicherheit sex perten" im Text. Na dann. Und damit ich diesen Beitrag morgen auch vom Arbeitsrechner nicht mehr aufrufen kann, füge ich noch hinzu:

Der Contentfilter ist manchmal eine ganz schöne PUSSY!

Heute gibt es aus der "from-hell"-Serie mal ein nettes Mailsubject:

(Klicken zum vergrößern)

Irgendwann im November 1999 in einer Software-Schmiede irgendwo auf dem Planeten Erde...

Programmierer 1: "Hey, wir müssen unser Software noch Jahr-2000-fähig machen, wird langsam Zeit!"

Programmierer 2: "OK, ich fix das jetzt schnell.....  So, fertig."

Programmierer 1: "Mmh, so funktioniert das aber nur bis zum 31.12.2009."

Programmierer 2: "Macht nichts. Wir haben ja dann 10 Jahre Zeit, es richtig zu machen."

Ja, so oder so ähnlich mag es sich damals zugetragen haben und nein, ich habe mich bei der Überschrift nicht vertippt. Ich werde das momentan das Gefühl nicht los, dass uns zur Zeit ein paar solcher Geister aus der Vergangenheit heimsuchen.

Da wäre das akute Problem mit den Seccos-Betriebssystemen auf den Kartenchips. Über das Formelproblem von Spamassassin habe ich schon geschrieben. Die Symantec-Endpoint-Protection kann keine Virendefinitionsdateien verarbeiten, die älter als der 31.12.2009 sind. Und beim Blick auf die Online-Status-Seite unseres Rechenzentrums, auf der die aktuellen Fehler und Funktionseinschränkungen aufgelistet werden, wurde mir heute regelmäßig schwindelig.

Ich habe ja den Verdacht, dass sich hier einige Programmiersünden der letzten 10 Jahre rächen. Habt Ihr ähnliche Erlebnisse in den letzten Tagen gehabt? Dann schreibt in den Kommentaren, ich bin gespannt.