Never update a running system?

Manchmal frage ich mich, was in den Köpfen so mancher Menschen vorgeht. Dass Vorgesetzte oft nicht so ganz klar kommen mit den Aufgaben, die so ein IT-System mit sich bringt ist klar, aber wenn selbst Entwickler und Admins „zur Sicherheit“ auf Updates verzichten oder dazu raten…

In meiner Zeit als Angestellter hatte ich einmal eine fast schon amüsante Diskussion mit meinem damaligen Chef, die u.a. dazu beitrug, dass ich dort kündigte (was ein anderes unvergessenes Zitat seiner Stellvertreterin hervor brachte: „Wie? Du hast gekündigt? Darfst Du das überhaupt?“, aber das ist eine andere Geschichte). Es ging um einen kleinen Zielkonflikt: Einerseits sollten wir – also die Technik-Menschen – die über die Jahre gewachsene Struktur aktualisieren, straffen und vor allem jede Menge Löcher stopfen (das war bei meiner Einstellung sogar als meine wichtigste Aufgabe angesagt worden), andererseits kamen beinahe täglich Wünsche nach neuen Web-Anwendungen, die es – und sei es nur für Tests – installiert werden sollten.

Auf diesen Konflikt versuchte ich aufmerksam zu machen, eben die Tatsache, dass Zeit und vor allem unsere Arbeitszeit endlich sei (Überstunden waren natürlich verboten), andererseits aber jeder neue Server, jede neu installierte Anwendung auch zusätzlichen Wartungsaufwand bedeuten würde. Nun, das sah er anders. Es wäre Blödsinn, was ich da erzählen würde, wir wären nur zu faul und es wäre ja allgemein bekannt, dass man eine Software einmal installiert und danach würde die keine Arbeit mehr machen, weil sie ja läuft… Auch ein Blick in die üblichen Security-Mailinglisten, in Versionsgeschichten einiger bereits installierter Anwendungen oder die Tatsache, wie viel Zeit wir bereits mit Wartung und Updates verbrachten waren für ihn kein Argument gegen seine Ansicht.

Okay, er war Vorgesetzter, hatte von der Technik ziemlich genau gar keine Ahnung und in etwa so viel Praxis in der Betreuung von IT-Systemen, wie unsere Verteidigungsministerin im Fliegen eines Jagdbombers. Also irgendwie war seine Meinung durchaus nachvollziehbar (das Beharren auf dieser Meinung trotz entsprechender Belege, dass er damit falsch liegt dagegen war gar nicht nachvollziehbar). Aber es gibt nicht nur solche Menschen, denen man ihre nicht vorhandene Ahnung ja irgendwie verzeihen kann, schließlich ist es ja nicht deren Job, sich im Detail auszukennen. Es gibt tatsächlich auch Menschen, die sich Entwickler oder Administrator nennen und eine ähnliche Haltung an den Tag legen.

Da stolperte ich die Tage bei einem Kunden über eine Uralt-Wordpress-Installation (Version 3.2) und machte ihn darauf aufmerksam, dass er hier mal Updates machen sollte und zwar verdammt dringend. Seine Antwort darauf hat mich dann doch ein klein wenig irritiert: Der Entwickler, der ihm die Website gebaut hatte, hätte ihm gesagt, dass er auf keinen Fall Updates machen dürfe, weil der Entwickler sonst nicht garantieren könne, dass die Website danach noch läuft. Glücklicherweise lag der Entwickler damit komplett falsch, die Updates liefen ohne Probleme – aber mein Kunde hatte sich das natürlich nicht getraut nach so einer Ansage (übrigens schriftlich, per Mail). Mein Rat für das nächste derartige Projekt: Wenn ein Entwickler so pauschal Updates am verwendeten CMS verbietet, dann würde ich nichts bezahlen, bis soweit nachgearbeitet wurde, dass die CMS-Updates gemacht werden können.

Einzelfall? Naja, diese Einzelfälle häufen sich – ist wie mit den Rechtsauslegern in der AfD, alles Einzelfälle, die nur zufällig gehäuft auftreten. Da war dann noch der Admin eines gemischten Netzwerkes aus Macs und Windows-Maschinen, der unter dem Motto „Never change a running system“ den zentralen Windows-Server auf einem nicht ganz aktuellen (hust) Stand eingefroren hatte. Das kann man in einem internen Netz vielleicht mal machen bis zu einem gewissen Grad, aber die gehäuft auftretenden Probleme der Mac-Clients im Netzwerk dann mit „Was macht Ihr auch ständig Updates? Mit der vorletzten Mac OS X Version lief alles noch ohne Probleme.“ zu kommentieren… Nun ja, kann man so sehen, wenn man mal eben ignoriert, dass Apple die Angewohnheit hat für seine Computer das jeweils zum Erscheinen aktuelle Mac OS X als Minimalanforderung zu nehmen.

Oder Shop-Software, die über die Jahre nicht aktualisiert wird, weil Updates zu aufwändig wären. Ein bisschen doof, dass dann aus jenem Shop Kundendaten entwendet wurden. Mindestens zweimal. Ob es da nicht weniger Aufwand gewesen wäre, die Updates zu machen? Oder auf eine andere Shopsoftware zu wechseln? Ich würde diese Frage mit „Ja“ beantworten. Aber ist ja kein von mir gewarteter Shop.

Man kann auch die Betreuung eines WordPress-Systems übernehmen und dem Kunden dafür Rechnungen schreiben, dass man nichts tut. Keine Updates. Über Jahre. Weil man ja „nicht so spezialisiert“ sei „auf diese Frickel-Software“ und nicht gewusst hätte, ob das System nach einem Update noch gelaufen wäre. Kann man machen, ich persönlich würde das als zumindest ein wenig unredlich bezeichnen, aber hey, was weiß ich denn schon…

Es ist also keine Spezialität von staatlichen Organisationen, Uralt-Software einzusetzen bis sie einem um die Ohren fliegt, so was kommt viel häufiger vor, als man sich vorstellen mag…

Niemand ist perfekt, jeder macht Fehler, auch Entwickler und Administratoren, aber es ist ein Unterschied, ob man einen Fehler macht oder ob man „Never update a running system“ zum Maßstab der eigenen Arbeit macht. Irgendwie wird mir regelmäßig ganz anders, wenn ich mir vorstelle, dass wir uns mit solchen „Experten“ nicht nur das Internet teilen, sondern die auch noch ihre Arbeitsweise gegen Bezahlung immer weiter verbreiten.

0 Comments

Phillip Marzi

das verhält sich halt analog zu den ganzen industrieanlagen die einfach so ohne jegliche authentifizierung am netz hängen und die nahezu jeder mit ein paar tastendrücken „stören“ kann.

Jens Leinenbach

Weit verbreitet ist die Einstellung: An erster Stelle soll es laufen, an zweiter Stelle kommt die Sicherheit. Wenn die Sicherheit das Risiko einer kurzzeitigen Störung des Betriebs verursachen könnte, wird die Sicherheit hintangestellt, bis es den Betrieb stört. Darum bei Serverinstallationen immer auf Cluster bestehen.

Carsten Dobschat

Naja, das Problem sind aber eben oft nicht die Kunden, die – siehe oben – für die Wartung zahlen, sondern „Admins“, die das „Never touch a running system“ sehr eng sehen… ;)

Jens Leinenbach

Mir ist das bislang nur einmal untergekommen – und das sogar bei einem Fail-Over-Cluster eines Security-GWs. …trotz Shellshock, Heartbleed etc. Das Upgrade wurde nur durchgeführt, weil etwas nicht mehr funktionierte…

Cassandra

Was soll man dazu nur sagen? Ich hab auch Kunden, denen ist es zu teuer jemand zu beauftragen, der auf WordPress die Updates macht und selbst wollen sie es nicht lernen. Da kann man nur rauf warten bis auf der Startseite ein Hackersymbol erscheint…

Andreas Weigl

Ach ja, das leidige Thema updates. Das problem ist natuerlich das bei updates Dinge kaputt gehen oder ploetzlich wird eine Funktion nicht mehr unterstuetzt die wichtig war. Oder das „Look & Feel“ aendert sich und ich bin doch so an die alte Oberflaeche gewoehnt. Oder wir koennen nicht aktualisieren weil die applikation die neuere OS Version nicht unterstuetzt.
Bedauerlicherweise sind Andwender und Hersteller gleichermassen schuld. Entweder es werden keine Updates angeboten (klassisches Beispiel billig smart phones) oder aber Anwender woellen den neuen look nicht (z.b. Windows 8 oder … wo hat Apple das look and feel von iOS geandert, Denke es war iOS 7 … habe viele gehoert die deswegen nicht aktulisiert haben).
Am Ende sind die Anwender diejenigen die die Veraenderung herbei fuehren mussen. Mal nicht einfach das update Fensterchen weg klicken sondern wirklich updaten. Auch mal updates vom Hersteller einfordern. Aber das wurde leider bedeuten Vernatnwortungsvoll mit den elektronischen geraeten umzughen …. Warum muss ich meinen Fernseher updaten? Musste ich mit dem alten ja auch nicht machen …

Andreas Weigl

Ha. Schon klar. Leider ist das nicht immer möglich. Speziell wenn es z.b. dad handy ist. Selbst der web browser kann einem ganz schön Probleme bereiten. Mit Java will ich gar nicht erst anfangen.

Andreas Weigl

Auch da gehen Sachen in die Binsen. Musste ein update überspringen ansonsten hätte ich meine exchange Mails nicht mehr bekommen. Das was jeder lernen sollte ist, man muss nicht immer latest greatest haben, aber man sollte zumindest aktuell bleiben. Mir wird immer schlecht wenn ich x Jahre alte Systeme mit default Passwort sehe. Selbst im Intranet sollte das nicht vorkommen.