In den letzten Tagen (und Wochen) lese ich immer mal wieder etwas im Zusammenhang mit #jluoffline, darunter ist in manchen Fällen auch die Behauptung, dass die dortigen Mitarbeitenden des Rechenzentrums inkompetent seien.
Ein Thread darüber, warum das nicht so einfach ist.
Ein Thread darüber, warum das nicht so einfach ist.
Fangen wir mal von einer anderen Seite an: Es existieren immer wieder Berichte über nicht besetzte Stellen im IT-Bereich. Die Zahlen reichen von zehntausenden bis zu hundertausenden unbesetzten Stellen, die Zahlen der Bitkom für 2019 finden sich hier: bitkom.org/Presse/Pressei…
Das ist im öffentlichen Dienst nicht besser, im Gegenteil wird hier zumeist schlechter bezahlt als in sonstigen Unternehmen. Hochschul-Rechenzentren gehören zum öffentlichen Dienst, Arbeit für den Staat, die zumeist nicht so gut bezahlt ist.
In der Folge existieren natürlich auch hier nicht besetzte Stellen. Das ist Arbeit, die schlicht nicht geleistet wird, geleistet werden kann, die fehlt. Also entweder versuchen die wenigen Mitarbeitenden, die Arbeit irgendwie mitzumachen oder sie wird liegen gelassen.
In solchen Fällen kann es auch mal sein, dass der Webentwickler ein paar Windows-Server betreuen muss oder die System-Administratorin sich mit veraltetem JavaScript der Webseite rumschlagen darf, um den Laden halbwegs am laufen zu halten.
Andernfalls fallen solche Bereiche dann einfach weg, so lange sie noch funktionieren, weil alle doch noch irgendwie ihre eigene Arbeit machen müssen. Das Resultat sind chronischer Stress und Überstunden.
Das verträgt sich nicht immer zu 100% gut mit IT-Sicherheit.
Das verträgt sich nicht immer zu 100% gut mit IT-Sicherheit.
Wenn in einem solchen Fall nun auch noch die Stelle des IT-Sicherheits-Beauftragten unbesetzt ist oder das nur jemand "so nebenbei" mitmacht und keine Zeit hatte, sich genauer in die Arbeit des Vorgängers einzuarbeiten, kann das unter Umständen nach hinten los gehen.
Ein übersehenes, falsch konfiguriertes Interface, was aus nem Flüchtigkeitsfehler passieren kann, und wer soll das eigentlich bei chronischem Stress überprüfen oder bemerken, das nicht auffällt, kann im schlimmsten Fall ne Sicherheitslücke in der eigenen Infrastruktur werden.
Unter diesen potentiellen Arbeitsbedingungen kann ich das auch niemandem wirklich übel nehmen oder als inkompetent bezeichnen, wenn Fehler passieren. Die Situation provoziert ja schon fast Fehler, durch die Sicherheitslücken versehentlich gebaut werden.
Klar sieht es definitiv nicht in allen Hochschul-Rechenzentrum so extrem aus, dass die einzige Sysadmin sich zu nem Großteil um die Webentwicklung kümmern muss, während es schlicht keinen IT-Sicherheits-Beauftragen gibt.
Dennoch sind viele Stellen unbesetzt, Menschen gestresst, haben schlicht keine Zeit, sich um mehr Gedanken zu machen, weil sie sowieso schon genügend Arbeit damit haben, die Systeme am laufen zu halten.
In solchen Situationen kann es natürlich auch passieren, dass sich jemand einen neuen, unter Umständen besser bezahlten Job sucht. Das Resultat? Eine weitere Stelle wird neu ausgeschrieben und bis die besetzt ist, bleibt entweder Arbeit liegen oder andere müssen sie mitmachen.
Das verschärft natürlich wieder die Gesamtsituation bis jemand Neues da ist. Das kann bei der aktuellen Zahl der unbesetzten Stellen sowieso schon lange dauern. Zudem muss die neue Person dann mit den Systemen zurecht kommen, sich einarbeiten, Zeit dafür haben, etc.
Das kann zu einem Teufelskreis werden und trifft natürlich die Rechenzentren am meisten, die gerade sowieso zu wenig Personal für zu viel Arbeit haben. Wenn in nem halbwegs gut ausgelasteten Rechenzentrum jemand geht, dann ist das zwar schade, aber (noch) nicht so gefährlich.
Insofern ist es deutlich zu kurz gegriffen zu der Lage in Gießen die Inkompetenz der Mitarbeitenden des Rechenzentrums verantwortlich zu machen. Es ist eine Gesamtsituation, die solche Sicherheitsvorfälle wahrscheinlicher macht.
Das, was an der Uni in Gießen passiert ist, hätte wahrscheinlich auch einige andere Hochschulen treffen können (hallo katholische Hochschule Freiburg). Ich nehme an, das wird nicht das letzte Mal sein, dass wir von Ransomware an Hochschulen gehört haben.
Der "restliche" öffentliche Dienst ist ja auch betroffen, sei es das Kammergericht in Berlin oder die Verwaltung der Stadt Frankfurt.
Wir werden nicht verhindern können, dass so was passiert. Aber wir können versuchen, es unwahrscheinlicher zu machen.
Wir werden nicht verhindern können, dass so was passiert. Aber wir können versuchen, es unwahrscheinlicher zu machen.
Wir können versuchen, mehr Personal in Rechenzentren zu bringen. Deutlich bessere Bezahlung ist nur ein Teil davon. Zwar soll die Bezahlung im öffentlichen Dienst steigen, das ist aber aus mehreren Gründen nur ein Tropfen auf den heißen Stein.
heise.de/newsticker/mel…
heise.de/newsticker/mel…
"Im Sicherheitsbereich werden Stellenzulagen für die Geheimdienste und das Bundesamt für Sicherheit in der Informationstechnik (BSI) deutlich erhöht."
Nicht nur bei Geheimdiensten und beim BSI findet IT-Sicherheit statt, sondern überall, wo Infrastruktur bereit steht.
Nicht nur bei Geheimdiensten und beim BSI findet IT-Sicherheit statt, sondern überall, wo Infrastruktur bereit steht.
Gleichzeitig soll es Prämien geben, wenn Mitarbeitende sich verpflichten, 48 Monate lang nicht den Arbeitgebenden zu wechseln. Im besten Fall kann ich diese Prämie bei nem anderen Arbeitgebenden als ganz normalen Teil meines Gehalts aushandeln - ohne zeitliche Begrenzung.
Es benötigt noch weitere Anreize, beispielsweise eine deutlich größere Möglichkeit fürs Home Office und die Teilnahme an weiterbildenden Veranstaltungen als default und nicht als Verhandlungsmasse zwischen Mitarbeitenden und den Ebenen darüber.
Synergie-Effekte können ausgenutzt werden, Zusammenarbeit zwischen Hochschul-Rechenzentren muss ausgebaut werden, sodass nicht jede Hochschule diesbezüglich ihr eigenes Süppchen kocht.
Es muss attraktiv werden, für den Staat zu arbeiten.
Es muss attraktiv werden, für den Staat zu arbeiten.
Aber ich vergaß, die Bundesregierung befasst sich lieber damit, Passwörter im Klartext speichern und herausgeben zu lassen anstatt sich um tatsächliche IT-Sicherheitsprobleme zu kümmern und deren Eintrittswahrscheinlichkeit zu senken.
