Schönes Wochenende


IT-Administration im GrenzbereichEin frommer Wunsch aus dem nichts wurde.

Wieder eines dieser Wochenenden, wo sich die Ereignisse überschlagen und man seinen Beruf schon ein wenig hasst.

Dienstags Patchday bei Microsoft, seit Mittwoch dann offenbar breit angelegte Angriffe auf WordPress- und Joomla-Installationen und dann am Freitag noch eine Meldung von CISCO, dass es zumindest Denial-of-Service-Schwachstellen von Firewalls gibt.

So wurde der späte Feierabend am Freitag eher ein sehr früher am Samstag.


Eigentlich halten viele meinen Beruf ja für relativ langweilig. Also immer auf irgendwelche Diagramme mit Interface-Statistiken zu starren. Oder zu warten, dass Installationen fertig werden. Und IT-Administration geht ja irgendwie schon selbst, oder?

So simpel ist der Beruf an der Schnittstelle zwischen IT-Administration und IT-Sicherheit wirklich nicht.

Für spannende Wochenenden und Abende wird oft von Dritten gesorgt. Nehmen wir dieses Wochenende doch einmal als Beispiel. Es ist nicht ganz so repräsentativ, da solche Szenarien meist an langen Wochenenden passieren, aber es ist ein schönes Beispiel.

Ein Startpunkt für das Wochenende lag schon am letzten Dienstag. Leise und breit vorbereitet. Es war Patchday bei Microsoft. Also der Tag, an dem Updates und sicherheitskritische Patches ausgeliefert werden. Offenbar gab es dabei ein Problem.

Windows-Rechner ist nicht gleich Windows-Rechner.

So gut Microsoft auch testet, die draußen in der Welt anzutreffenden Windows-Installationen sind aber alle so unterschiedlich, dass man als Hersteller einfach nicht alle Varianten durchprobieren kann. So kommt es es vereinzelt dazu, dass immer wieder durch einen Patch neue Fehler auftauchen.

Meist ist das auch gar nicht so schlimm. Diesmal aber offenbar schon. Es gibt nämlich einen Patch für einen Dateisystemtreiber, der in einer bestimmten Kombination mit einem Virenscanner dazu führt, dass der Rechner entweder gar nicht mehr startet oder bei jedem Start das Dateisystem reparieren muss.

Das Fatale dabei: Es betrifft auch Server. Und die werden nicht einfach mal so neu gestartet. Da wartet man also als guter Systemadmin bis die User ins Wochenende verschwinden. Also Freitag ab 14 Uhr geht es in meinem Beruf dann noch einmal so richtig zur Sache. Also Patches installieren und Rechner neu starten. Und da beginnt das große Leiden. Und die Absage der Abendtermine.

Es beginnt eine hektische Erstdiagnose.

So ganz ist der Fehler noch nicht zu überblicken. Denn Microsoft empfiehlt den Fehler auslösenden Patch erst einmal zu deinstallieren, bietet ihn aber aber im Windows Update immer wieder an. Und da es ein sicherheitskritischer Patch ist, wird dieser von der Mehrzahl der Windows-Systeme auch automatisch neu eingespielt.

Glück hat an diesem Punkt, wer in seiner Organisation einen eigenen Windows-Update-Server betreibt. Dort kann man den Patch einfach manuell ablehnen und damit ist er dann inaktiv. Und man kann über eine Gruppenrichtlinie und ein Login-Script sogar dafür sorgen, dass er beim nächsten Starten des Rechners auch wieder automatisch verschwindet.

Wenn dann noch Angriffe dazu kommen.

Seit Donnerstag Abend gibt es für die IT-Administration auch noch andere spannende Nachrichten. Es verdichten sich nämlich Informationen, dass im Internet ein verteilter Angriff auf Webserver mit WordPress- und Joomla-Installationen im Gange ist. Scheinbar ein Brute-Force-Angriff auf das Login der Administrationsseite und die ftp-Zugänge.

Und hier hilft es eben nicht, einfach bestimmte IP-Adressen oder Netze zu sperren. Hier muss sich der Admin dann schon etwas tiefer auf Systemebene begeben. Es müssen Zugangsbeschränkungen auf die Login-Seiten eingerichtet werden, die Logdateien geprüft werden, ob nicht schon ein Angriff Erfolg hatte und sofort die Passwortsicherheit angepasst werden.

Das ist allerdings in einer solchen Situation wo die Admins der Windows-Server eine helfende Hand brauchen schon schwer.

Dann bringt CISCO mit einer kleinen Randnotiz das Fass zum Überlaufen.

Seit Freitag Nachmittag ist  klar, dass es für einige Firewalls und Router von CISCO eine Schwachstelle gibt, die bei richtiger Anwendung die Firewalls und Router immer wieder abstürzen lassen.

Glücklicherweise ist der Fehler NUR ein Denial-of-Service und keine Möglichkeit die Firewall zu überwinden, aber es macht das Arbeiten mit den Geräten schon verdammt schwer. Also muss auch hier jemand prüfen, welche Release-Stände die Geräte haben und eventuell Maßnahmen einleiten.

Hier zeigt sich, wer seine IT im Griff hat.

Wer nämlich regelmäßig und nachhaltig seine Systeme betreut, wird an so einem Punkt mit Kontrollen und kleineren Korrekturen auskommen. Schlecht, wer jetzt anfangen muss, erfolgreiche Angriffe rückgängig zu machen. Das mit einer ständig neu startenden Firewall, die die Verbindung unterbricht und mit einem Rechner mit deaktiviertem Virenschutz ohne Daten. Denn die liegen ja auf dem Server, der gerade über eine Rettungskonsole geflickt wird.

In einer solchen Situation muss es Ausweichmöglichkeiten und verteilte Aufgaben und Dienste geben.

IT-Administration muss proaktiv, flexibel und umfassend sein!

Das ist die einzige Lösung vernünftig mit so einer Situation umzugehen. Denn wie man schön sieht wird in so einem Szenario die gesamte Breite des Wissens gebraucht: Windows-Admins, die sich um Server und Clients in der Windows-Domäne kümmern. Parallel müssen die meist unter Linux betriebenen Server geprüft werden. Und zwar von jemandem, der sich mit Linux selbst und den darauf befindlichen Content-Management-Systemen auskennt. Und der Dritte im Bunde ist der Infrastruktur-Admin, der Firewalls und Router prüft.

Notfallkonzepte sind nichts, was man in Erinnerung ruft, wenn ein solches Wochenende ansteht. Das macht man vorher. Denn es werden sich neben den abgesehenen noch genug unerwartete Probleme ergeben.

Auch an der IT-Unke ist der Freitagabend nicht ganz spurlos vorbei gegangen.

Bei mir war es auch Samstag morgen als ich den Feierabend ausgerufen habe. Zwar hat das Patchmanagement im eigenen Betrieb und bei Kunden offenbar ganz gut funktioniert. Und auch die Risiken an den Firewalls und Routern waren noch in der üblichen Arbeitszeit abgeschätzt.

Bei der Kontrolle der Webserver passierte aber das Unvermeidliche. Eine ungeplante Downtime durch einen Fehler an einem ganz anderen Ende. Nicht weil die WordPress-Installationen ein Problem hatten. Die waren alle auf einem aktuellen Stand. Auch die von anderen Experten empfohlenen Sicherheitsmaßnahmen sind hier seit Anfang an umgesetzt.

Nach einem Neustart eines der Webserver zog sich dieser zu einer Dateisystemüberprüfung zurück und kam nicht wie geplant wieder. Da aber alle Dienste auf mehrere Server verteilt sind, waren nur einige der Domains nicht erreichbar. Blöderweise aber auch die eigenen.

Also Notfallsystem eingerichtet und gestartet. Diagnostiziert, repariert und nach einer ziemlichen Wartezeit dann doch der reibungslose Neustart. Im Nachhinein betrachtet alles noch im handhabbaren Bereich.

Ungünstiger wäre gewesen, wenn das Dateisystem irreparable Schäden gehabt hätte. Aber auch für den Fall gibt es eine Lösung. Eine vorbereitete virtuelle Maschine, die mit dem entsprechenden Backup des defekten Rechners aktiviert wird. Etwas zeitaufwändiger, aber immerhin als Notfallreserve einsatzbereit.

Für mich gibt es an diesem Punkt nur ein klares Fazit:

Fundiertes Wissen im Bereich IT-Administration und -Sicherheit muss man dauerhaft im Betrieb vorrätig haben und ständig entwickeln, sonst ist an so einem Wochenende ganz schnell das Spielende für ein Unternehmen erreicht!

Um die IT-Infrastruktur reibungslos in Betrieb zu halten, muss dauerhaft geprüft und verbessert werden, damit in so einem Fall nicht an allen Ecken eine Baustelle aufbricht. Es reicht einfach nicht, nur punktuelles Wissen einzukaufen.

Es muss ein ständig aktualisiertes Notfallkonzept her, damit die IT-Administration in so einem Fall zwar Überstunden machen muss, dafür aber auch in der nächsten Woche noch einen Arbeitsplatz in einem betriebsfähigen Unternehmen hat.



Datenschutz - Impressum

IT-Beratung - IT-Betrieb - Technologieberatung - IT-Risikobewertung - Vorträge und Weiterbildung zu IT-Themen