Pappnasen I

Man stelle sich ein Fußballfeld vor.
In jeder Ecke steht einer:
  • der Weihnachtsmann
  • der Osterhase
  • der inkompetente Systemadministrator
  • der kompetente Systemadministrator

Bei "Pfiff" laufen alle gleichzeitig auf die Mitte des Feldes zu.
Wer ist als erster da?
Der inkompetente Systemadministrator - die anderen drei gibt's nicht.

"Das wichtigste ernstzunehmende Risiko für die Sicherheit der Informationsverarbeitung eines Unternehmens sind die Systemverwalter." Dieser Satz stammt von einer Person, auf deren sachliche, wissenschaftlich-technische und psychologische Ergebnisse ich große Stücke halte - dieser Satz stammt von mir. Ich habe in den letzten zwanzig Jahren keinen Anlaß gefunden, diese Erfahrung zu revidieren. Wir sind wieder beim Lieblingsthema angelangt: dem Horizont.

Der in der Szene so beliebte BOFH (bastard operator from hell) existiert meiner Erfahrung nach nicht. Denn er hat zwei Eigenschaften, die ihn sofort als literarische Erfindung ausweisen: Intelligenz und Humor - wenn auch einen bizarren. Auch der normale DAU - der dümmste anzunehmende User - hat fast immer noch einen beträchtlichen  Vorsprung gegenüber dem KAS - dem klügsten anzunehmenden Sysop. Wenn einer was kann, dann wird er Entwickler. Wenn einer nix kann, wird er MSIE oder MCSE oder wie das heißt (=Minesweeper Consultant, Solitaire Expert). Und wenn's dafür nicht gereicht hat, dann wird er Sysop. Ich beneide keinen von ihnen um seinen Job. Die User haben immer was gegen sie und selber müssen sie jeden Morgen in den Spiegel schauen und sich sagen: "Du bist der Beste der Welt. Du bist Sysop! Springe über Deinen Schatten! Erhebe dich 10 Nanometer über Deine intellektuelle Tiefebene!" Täten sie's nicht, könnten sie genausogut als Schiffschaukelbremser auf den Jahrmarkt gehen. Was ihrer Qualifikation wahrscheinlich besser gerecht werden würde. Was die klügeren von ihnen auch wissen.

Was den realen Systemadmistrator so gefährlich macht, ist für gewöhnlich nicht sein böser Vorsatz, sondern die zündfähige Mischung aus Arroganz, Inkompetenz, Ignoranz und Unbelehrbarkeit. Ausnahmen bestätigen die Regel. Die Ausnahme sind jene, die glauben, sie müßten zusätzlich programmieren. Die sind im besten Sinne des Wortes naiv dazu ---
Verzeihung. es gibt noch eine Ausnahme. Das sind die, die Ahnung haben. Richtig Ahnung. Top-Entwickler, die so en passant eine Maschine, ein Firmennetz administrieren. Die virtuos den Laden nebenbei am Laufen halten. Denen der Job zwar lästig ist, aber zur Pflichterfüllung gehört, weil es eben keinen benannten Sysop gibt. Diese Sorte  von Admins ist im informationstechnischen Präkambrium ausgestorben.

Leider bin ich jemand, dem dilettantisches Vorgehen ein Greuel ist. Besonders, wenn davon Konsequenzen ausgehen, die meine lumpigen Datenbestände blaß aussehen lassen gegen die Terabytes, die der Willkür der Lahmen, Blinden und Hirnlosen ausgesetzt sind. Blöderweise weiß das jeder. Auch die Kollegen - die kräftig maulen. Und blöderweise warten alle Kollegen darauf, daß ich beim Sysop anrufe, weil sie wissen, daß ich naiverweise immer noch an das Gute im Menschen glaube. Und daran, daß der eine oder andere Sysop sein Restneuron aus dem Kleinhirn rauskramt und was für die Sache tut. Manchmal schalte ich den Lautsprecher am Telefon ein, damit nicht nur ich, sondern alle was zum Lachen haben. Ein paar mußten schon gelegentlich unter konvulsivischen Zuckungen rausgehen, damit's nicht zu unruhig wird... Die hier wiedergegebenen Geschichten sind natürlich frei erfunden - und Ähnlichkeiten mit lebenden oder bereits verstorbenen Personen oder Programmen sind selbstverständlich rein zufälliger Natur.

 Boot

NT-Netzwerk. Die PC-Monokultur bringt es mit sich, daß Dummheit einfach verbreitbar ist. Und aus Gründen der Vereinheitlichung wird die Bootreihenfolge im BIOS auf A: C: festgelegt. Fragen?

 Passwort-Policy - Teil 1

Netzwerk. Man stelle sich vor, an einer UNIX-Workstation Anwendersoftware zu entwickeln. Nichts Besonderes. Ein bißchen User-Interface, ein wenig Graphik, ein wenig Rechnen. Ich, neu in dem Entwicklungsteam, hab' naiv folgendes Gespräch mit dem Administrator angefangen:
Ich: Ich brauch 'ne UId  auf der Maschine dahinten...
Admin: Klar kriegen Sie. Loggen Sie unter "root" ein und das Passwort ist...
Ich: NeinNeinNein. Ich will da nix administrieren. Ich brauch bloß 'nen C-Compiler und den make und so. Ich möchte nur 'ne ganz gewöhnliche Kennung.
Admin: Also das Superuser-Passwort ist...
Ich: Entschuldigung, eine gewöhnliche Kennung ist mir genug. Ich will nichts versehentlich kaputtmachen. Ich will bloß ein wenig Programm schreiben.
Admin: Aber das einfachste ist doch, Sie loggen sich als "root" ein und das das Superuser-Passwort ist...
Ich (genervt): Kreuzdonner! Ich will Euer verdammtes Admin-Passwort nicht wissen! Ich will eine ganz stinknormale User-Kennung. Wie sie jeder hier hat.
Admin (ungläubig): Die rechnen alle unter "root", das ist doch viel praktischer! Und Sie wollen ganz bestimmt nicht das Admin-Passwort?
Ich (kragen-platz): Nein, wirklich nicht! Ganz bestimmt nicht! Eine Kennung will ich haben! Ist das so schwer zu kapieren??
Admin: Wenn's denn wirklich sein muß. Sind Sie sich sicher? Jaja, schon gut. Ähhh - wissen Sie, wie man einen User einrichtet? Ich geb' Ihnen gleich das Superuser-Passwort...

 Passwort-Policy - Teil 2

Passworte sind schön. Und in einem einigermaßen sicheren Netzwerk werden Sie auch regelmäßig erneuert. Ich also, nachdem ich meine Kennung beantragt hatte, schön alles eingerichtet. Passwort aus Groß- und Kleinbuchstaben und Ziffer gemacht. Geht, mit regelmäßigen Änderungen, 1 Jahr gut. Dann geht's nicht mehr. Was liegt näher, als zum Telefon zu greifen und mit dem Sysopa zu reden, daß meine Kennung nicht mehr geht und das Passwort rückgesetzt werden muß?
Ich: Ich hab' ein Problemchen. Meine Kennung geht nicht mehr. Können Sie meine Kennung entsperren und das Passwort auf default zurücksetzen?
Admin: Klar kann ich. Bis jetzt ging's, sagen Sie? (tastatur-klapper-klapper) Das ist ja ein ganz komischer Eintrag in der Passworttabelle. So was hab ich noch nie gesehen... Wie ist Ihr Passwort aufgebaut?
Ich: Jetzt 9 Zeichen, Groß- und Kleinbuchstaben, Ziffer, Sonderzeichen.
Admin (ungläubig): Das ist ja unvorstellbar! Und das ging bisher?
Ich (erstaunt): Das ging bisher. Was ist daran so ungewöhnlich?
Admin: Ja wissen Sie, der Server hier ist 'ne 370er-Maschine. Da muß bei uns das Passwort 5 bis 8 Zeichen lang sein und ausschließlich aus Kleinbuchstaben bestehen.
Ich: Ist das ein Witz?
Admin (erstaunt): Nein, wieso? Es geht halt nicht anders. Wir werden aber bald umstellen, da können Sie dann auch Großbuchstaben eingeben... Jetzt mach ich erstmal Ihre Kennung wieder auf. Das default-Passwort wissen Sie ja. Und geben Sie um Himmelswillen keine Großbuchstaben oder Ziffern mehr ein; wir hatten schon Abstürze deswegen.

Es wurde tatsachlich umgestellt. Hat aber vier Jahre gedauert. Dann bekam ich eine ziemlich dicke E-Mail:

Liebe User!
Es ist soweit. Es gibt neue Passwort-Regeln. Das Passwort...

Das einzige, was der Admin übersehen hat: Mit so vielen Einschränkungen ist die Anzahl möglicher Passwörter kaum größer als mit der alten Lösung. Ich hab' ihm also eine Mail geschrieben und näherungsweise vorgerechnet, daß er damit potentiellen Angreifern die reinste Freude bereitet. Kurz darauf: ein patziger Anruf, was mir denn einfalle, seine schöne Passwortphilosophie zu kritisieren? Schließlich sei doch alles viel sicherer als früher? Und irgendwas muß man ja doch tun? Es gab ja auch schon Angriffe...
Eins stimmt: Man muß was tun. Aber man darf keine complication illusoire erfinden. Die regulären User haben es dadurch schwerer als früher, und machen es sich deswegen leichter - und dem Angreifer auch.

 Serverplatten

Die sicherste Methode, seine Daten zu vernichten: Man vertraue sie dem Serverlaufwerk an, das im internen Netzwerk von einem Sysop verwaltet wird. Klar wird täglich Backup gefahren. Also, es kam, wie es kommen mußte: ein Kollege hatte leichtsinnigerweise nicht lokal gearbeitet, sondern die Daten auf dem Serverlaufwerk - So wie es eigentlich von unseren Sysops angeordnet wurde. Plötzlich waren die Daten weg. Anruf genügt, es gibt ja Backups.
Ich: Unsere Arbeitsdateien sind weg. Sie haben doch sicher einen Backup. Mit dem Stand von gestern könnten wir leben. Haben wir halt einen halben Tag Arbeit verloren.
Admin: Backup? Auf welchem Laufwerk arbeiten Sie denn, welcher Pfad? (Ich sage es ihm) Jaaa. Das ist unser Standard-Server. Warum sollten wir da täglich Backup fahren? Der Server läuft doch?
Ich: Der Server läuft inzwischen wieder, aber die Dateien sind weg. Die muß man doch wieder herkriegen können?
Admin: Jaja, da hatten wir vorhin mal einen Absturz. Jaaaa... stimmt, das Zeug ist weg.
Ich: Und können Sie da den Backup nicht wieder einspielen?
Admin: Nö. Da haben wir keinen. Hmm vielleicht... (Hintergrund-Schubladengeräusch: kram, wühl) der ist ne Woche alt.
Ich: Dann spielen Sie halt den wieder ein. Besser als nix.
Admin: Mal schauen. Könnt' ein paar Tage dauern. Wissen Sie, Backups fahren wir ja, aber einen Recovery haben wir noch nie gemacht.

Einen Tag später waren die Daten wieder da. Einen Monat alt - die neueren Backups waren nicht lesbar. Auf den Server waren damals 500 Leute angewiesen.


Stand: 12.11.2002 /
 HPs Home      Horizont/Home