Bäcker, die altes Brot als frisch verkaufen oder Metzger, die vergammeltes Fleisch in eine Wurst vermengen wurden einst geteert und gefedert und aus der Stadt vertrieben. Eine gängige Praxis bis weit in das 19. Jahrhundert hinein.1
Mit dieser Tradition vor Augen blicke ich auf den heutigen Tech-Support von IT-Dienstleistern und Software-Herstellern und gebe eine Zitat-Liste wieder, aus Projekten der vergangenen Jahre sinngemäß zusammen getragen.
Es geht immer um Rollout und Operations eingekaufter Software-Lösungen in Unternehmen. Ein bunter Querschnitt aus dem Projektmanagement mit verschiedenen Branchen, Unternehmensgrößen und Lieferanten. Sollten Sie im Umgang mit Ihrem Dienstleister über eines der nachfolgenden Zitate stolpern, halten Sie bitte das Teer und den Sack an Federn bereit:
- Die Anwender brauchen lokale Adminrechte…
- Installation? Unsere Anwendung startet von einem SMB-Netzwerklaufwerk…
- Bitte außerhalb des Windows-Programme Ordners direkt unter C:\ installieren…
- Deaktivieren Sie bitte Ihren AV-Scanner…
- Warum haben Sie ein Problem mit Klartext-Kennwörter in Batch-, INI-Dateien oder Datenbanken?
- Wie lautet das Administratorkennwort?
- Sie haben die aktuelle Version einer Komponente auf Ihrem System, wir brauchen die Ältere…
- Was meinen Sie mit “Die Anwendung läuft als RDS-App remote und nicht lokal?”
- Wir brauchen Outlook auf Ihrem Server zum Verschicken von Emails…
- Wir brauchen Excel zum Import/Export von CSV Daten…
- Email-Versand können wir! SMTP? Nein, wir nutzen MAPI…
- Geben Sie uns bitte Internet frei auf Ihrem produktiven Server?
- Das mit dem Jumphost ist uns zu kompliziert, ist ein direkter Zugriff möglich?
- Können Sie uns Teamviewer installieren?
- Wie Server-Core ohne GUI, das hatten wir noch nie…
- Bitte nicht einfach den Server neu starten, diese GUI Anwendung muss dauerhaft geöffnet bleiben…
- Wir haben eine Client-App für jeden User. Warum ist das ein Problem auf Terminalservern?
- Proxy-Authentifizierung? Das kann unsere Software nicht, wir brauchen direkten Internetzugang.
- Aktivieren Sie bitte TLS 1.0 (alternativ SMB1, NTLM) sonst sprechen Client und Server nicht mehr.
- Wir brauchen für unsere WebAPI Ihre CA Certs nicht. Unsere Software überprüft keine Zertifikate…
- Warum sind Ihre Passwörter so lang und komplex? Das kann doch keiner eingeben…
- Das machen wir bei allen anderen auch so…
Natürlich sind persönliche Beobachtungen immer mit Vorsicht ins Allgemeine zu übertragen. Doch die subjektiv empfundene Häufigkeit lässt mich zu Ockhams Rasiermesser2 greifen und von Faulheit und Inkompetenz ausgehen. Gerade dort, wo ein Kunde Expertise erwarten darf und muss, andernfalls bräuchte er keinen externen Dienstleister.
Jetzt mag der berechtigte Einwand kommen: “Herr Jakobs, Sie sind auch ein externer Dienstleister.” Vollkommen richtig! Aus diesem Grund verursacht dieser Pfusch bei mir Schmerzen. Meine Systeme arbeiten nachweisbar und transparent mit den höchsten Sicherheitsstandards und A+ Ratings. Diesen Anspruch verfolge ich auch in der Methodik und gehe sogar einen Schritt weiter.
Ich betreibe Dogfooding3, was so viel heißt wie “to eat your own dog food”. Dieses Bild wurde ironischerweise von einem Microsoft-Manager4 erstmalig auf Software angewendet und bedeutet soviel wie, die verkauften Produkte, Technologien oder Dienstleistungen im Alltag selbst zu nutzen und mit gutem Beispiel voran gehen. Wäre ich Bäcker oder Metzger, gäbe es nur frische Ware, die ich am Ende des Tages essen würde.
Was bringt es, Netzwerke abzusichern wenn im gleichen Atemzug der Support hintenrum wie Attila mit seiner Horde rumwütet und pfuscht? Supply-Chain-Angriffe5 funktionieren deshalb, weil es für Ransomware-Betrüger viel einfacher ist, Kennwörter aus Excel-Tabellen oder Email-Postfächern von Zulieferern abzugreifen und direkt mit Adminrechten loszulegen.
Kommt noch Software mit vergammelten Technologien mit in die Wurst, wird es für Betreiber von IT-Infrastrukturen teuer. Die tatsächlichen Kosten einer vermeintlich neuen Software werden sichtbar, die auf einer Seite gewiss Prozesse optimiert, auf der anderen Seite Komplexität und Schmerzen erzeugt. Das häufig angesetzte Paretoprinzip6 scheitert genau hier, wenn Nicht-Techniker und digital ferne Entscheider das ignorieren. Ich beobachte häufig, wie Digitalisierung und IT-Beschaffungen den Lebenszyklus von Technologien ausblenden. Es wird im hier und jetzt auf Sicht gefahren. Was morgen passiert, möge bitte einem anderen zuteil werden.
Großes Lob für Projekte oder Hersteller von Technologien, die den Mut aufbringen, alten Zöpfe abzuschlagen oder zumindest by Default zu deaktivieren. Darauf aufsetzende Lösungen müssen spätestens hier angepasst oder migriert werden. Als Beispiel gebe ich eine Prognose, was demnächst kommen wird.
Da wären ab April 2022 nicht mehr funktionierende Makros in Email-Anhängen oder Office-Dokumenten mit MOTW-Tag7 oder ab Juli 2022 das Erzwingen von sicheren Kerberos-Authentifizierungen auf Windows-Servern8 mit den einhergehenden Konsequenzen für ungepatchte und ältere Systeme.
Breaking-Changes9, die noch für knackige Problemstellungen in Unternehmen sorgen werden und bei vielen nicht auf dem Schirm sind.
Told u so.
In diesem Sinne,
Tomas Jakobs