"Never touch a runnig system" - Häufige (falsche) Annahmen unserer Kund:innen

"Never touch a runnig system"

Warum das nicht stimmt und wir darüber dringend reden müssen!

Wie alt auch immer dieser Ausspruch sein mag, vielleicht hatte er zu seiner Zeit einen berechtigten Hintergrund. Heute, gefühlt 50 Jahre später, hat er ihn definitiv nicht mehr! Es ist schon grob fahrlässig in Zeiten von Hackern, Trojanern, Erpresser- und Verschlüsselungssoftware diesen Satz im Zusammenhang mit IT-Systemen auszusprechen, geschweige denn, ihn umzusetzen.

Der Ursprung

Versetzen wir uns in das Jahr 1992. Das war die Zeit von Floppy-Disk, Modem und das Faxgerät hatte das Scheinwerferlicht ganz exklusiv auf sich gerichtet. Das erste Mainstream-Handy kam auf den Markt: Nokias 1011 für schlappe 2.300DM (heute etwa 1.947€) ohne Vertrag. Und das bei einem durchschnittlichen Monatsgehalt von 1.826€.

 

Wer damals eine Software wie zum Beispiel ein Warenwirtschaftssystem kaufte, erhielt 10-15 Floppy-Disks, sorgfältig beschriftet und in korrekter Reihe nacheinander einzulegen, zudem eine Brockhaus ähnliche Enzyklopädie als Bedienungsanleitung. 

 

Hatte man dann einmal die stundenlange Prozedur der Installationen und Einrichtung hinter sich gebracht, brauchte man von diesem Marathon dringend Urlaub zumindest aber ein langes Wochenende der Erholung. 

 

Klingelte dann der Postbote (zu seinem Unglück) und überbrachte das neuste "Update-Paket" mit zahlreichen neuen Floppy-Disks und einem weiteren Todschläger als Updateunterstützung, war die Freundschaft (zum Postboten) schnell dahin und die Stimmung im Keller.

 

Das bedeutete: die Installation und den Datenbestand aufwendig sichern, die Update-Installation durchführen und Daumen drücken, dass alle Daten noch da sind und das Programmupdate funktioniert, fehlerfrei!

 

Wenn nicht, musste im schlimmsten Fall alles neu installiert werden und die Daten aus der Sicherung zurückgespielt werden. Das war die gleiche Arbeit wie die allererste Installation. 

 

Rein praktisch war das ein Wochenende lang Arbeit. Das unter der Woche schnell am Abend zu machen, war nicht möglich. Die Zeit hätte nicht gereicht, um am nächsten Morgen wieder arbeiten zu können, geschweige denn, es einfach im laufenden Betrieb durchzuführen.

Auf die Idee wäre wirklich gar niemand gekommen.

Foto von vielen verschiedenen Floppy-Disks durcheinander
Berge von Floppys führten zum Ziel: ein fehlfreies Programm

30 Jahre später

Ja, auch ich zucke zusammen, wenn ich mir klar machen muss, 1992 ist 30 Jahre her. Aber es ist so! 

 

Und in 30 Jahren hat sich echt viel getan. Nicht nur, dass es jetzt auch langsam für die öffentlichen Behörden Zeit wird, das Faxgerät auszusortieren, auch das Floppy hat sich schon vor langem verabschiedet. Dazwischen hießen wir das CD, DVD und auch Blu-Ray-Player willkommen und genauso verabschiedeten wir diese auch schon wieder. Heute verkaufen wir fast keinen PC mehr mit einem Laufwerk. Alle haben USB-Sticks und das meiste holt man sich so oder so gleich direkt aus dem Netz. 

 

Also machen wir 30 Jahre später auch unsere Updates anders. Warum? Weil die Zeiten sich geändert haben. Nicht nur die Update-Zeiten, auch die Zeiten derer mit böswilligen Absichten.

 

War es in 1990er noch schwierig für Hacker an die PCs und Server der Menschen zu kommen, ist es heute ein Kinderspiel und eine ganze Industrie ist daraus entstanden. Hacker, die verschlüsseln, Hacker, die spionieren, Hacker, die erpressen... das ist ein Wirtschaftszweig, der Geld abwirft, der Jobs schafft und das meist in Regionen, wo das Einkommen weniger stabil und gesichert ist, als in unseren Gefilden. Wer kann es den Talentierten verdenken, dass sie die Chance ergreifen. 

 

So wird jede Sicherheitslücke die bekannt wird umgehend als neues Projekt "gelauncht". Im Darknet wird schnell eine Baukasten-Schadsoftware gekauft und - Schwupps - sitzt das Projektteam da und schaut, welche willigen (diese haben die Sicherheitslücke noch nicht geschlossen) westlichen Firmen (da gibt's das Geld) finden sich, denn das sind ihre potenziellen Neukunden!

 

Nun nehmen wir an, der Postbote würde ihnen und allen anderen Kunden unserer theoretischen Warenwirtschaftsinstallation in 5-7 Tagen das Update-Paket bringen und in vielleicht 4 oder 5 Wochen wäre ein Wochenende frei, an dem man sich mal vorsichtig an dem Update probieren könnte - macht ja keiner mehr! Genau!

Wer will denn schon den Hackern so viel Zeit geben, sich an der eigenen Sicherheitslücke zu bedienen? Und anders herum:

die Hacker lassen sich ja auch nicht mehr so lange Zeit!

 

Die Hacker sind im Zweifel noch nicht mal 30 Jahre alt und wissen gar nichts von dieser "Regel"! Außerdem lohnt es sich für die Hacker nur, wenn sie schnell sind. Sicherheitslücken werden meist von 50% der Betroffenen irgendwann geschlossen, wenn man also schnell ist, findet sich auch schnell ein Opfer und danach auch gleich noch eins und noch eins und, ach, eins noch ;)

Fazit

Alles was einmal gut war, muss heute nicht schlecht sein. Aber es ist vielleicht nicht mehr zeitgemäß.

Ein Backup vor dem großen Core-Update? Gute Idee.

Mit Zeit und Ruhe updaten? Gute Idee.

Updates als Wochenend-Projekt in 2-3 Monaten einplanen? Gaaaannnzzzz schlechte Idee!

 

Nicht jeder Trend ist mitzumachen (Schulterpolster, ehrlich?), aber manche Dinge sind kein Trend, sondern eine Notwendigkeit! Ein großer und kein feiner Unterschied!