Hadmut Danisch

Ansichten eines Informatikers

Der IT-Schund der TU Berlin

Hadmut
3.6.2021 21:07

Leute, das ist absoluter Murks. Völlig unvertretbar.

Dass Universitäten längst die größten Ansammlungen höchster Inkompetenz nach unseren Parlamenten und Regierungen sind, hatte ich oft beschrieben. Unzählige Professoren, selbst Rektoren und Justiziare, die keinen blassen Schimmer von Prüfungsrecht haben und überhaupt nicht wissen, was sie da eigentlich tun.

Was Heise da gerade über die TU Berlin schreibt, dass beschreibt auch schon Pfusch weit außerhalb des Vertretbaren.

Cyberangriff: TU Berlin rechnet mit monatelangen IT-Einschränkungen

Es wird noch einige Zeit dauern, bis die zentralen IT-Systeme der TU Berlin nach der Ransomware-Attacke wieder laufen. Auch das SAP-Kernsystem ist betroffen.

Seit über fünf Wochen arbeitet die TU Berlin daran, die Folgen eines schweren Hackerangriffs auf die IT-Systeme der Hochschule zu beheben. Bis die zentralen IT-Dienste wieder laufen, werde es aber “noch einige Monate dauern”, erklärte eine TU-Sprecherin gegenüber heise online. Der Fokus liege zunächst auf den am dringendsten benötigten Services.

Zugleich müssten Abhängigkeiten zwischen verschiedenen Systemen berücksichtigt werden, “die gegebenenfalls eine bestimmte Reihenfolge der Wiederinbetriebnahme bedingen”, sagte die Sprecherin.

Das ist der absolute Murks. Sowas darf in der IT nicht passieren.

Früher gab’s mal so eine Daumenregel: Einen Tag Ausfall stecken die Kunden weg. Bei drei Tagen Ausfall ist man pleite, weil die Kunden gewechselt habe.

Es gab mal so ein Beispiel einer Firma in Kalifornien (aus der Zeit vor Cloud), die durch irgendein Ereignis (Feuer, Erdbeben oder irgendsowas) einen Totalverlust samt Gebäudeverlust erlitten haben. Aber ihre IT im Griff und vorgesorgt hatten. Die Firmenchefs haben das Konto geplündert, Hardware und Festzelte gekauft, und noch am selben Tag war die Ersatz-IT auf der Wiese vor der ehemaligen Firma voll in Betrieb.

Normalerweise hat man da auch Service Level Agreements einzuhalten. Und für den Ausfall einen Wiederherstellungs- und Wiederanlaufplan zu haben, weil das mit den Abhängigkeiten nämlich so auch nicht geht. Und eigentlich sollten alles Server und so weiter voll automatisiert sein und die Daten auf schreibgeschützten Backups verfügbar.

Eigentlich sollte etwas in der Größenordnung einer Universität bei Verfügbarkeit von Hardware mit Daten auf Ground Zero (=nichts, leer, neu, zu löschen) in längstens einer Woche zumindest in den Hauptfunktionen neu erstellt werden können. Wenn man seinen Krempel im Griff, dokumentiert und automatische Installationsroutinen hat. Das ist eigentlich Stand der Technik.

Der nach der Attacke Ende April eingerichtete IT-Notfallstab strebt laut seiner Prioritätenliste an, das SAP-Kernsystem bis Ende Juni wieder funktionsfähig zu machen.

Diese Aussage wäre eigentlich ein Grund, die IT-Abteilung fristlos zu feuern.

Das Kernsystem bis Ende Juni wieder funktionsfähig zu machen.

Die gesamte Studierendenverwaltung über SAP sei nicht erreichbar, hatte Gabriel Tiedje vom Allgemeinen Studierendenausschuss (AStA) zuvor im Inforadio beklagt. Ohne die Online-Prüfungsanmeldung und den Zugriff auf Zeugnisse könnten Studierende das Semester nicht abschließen, Absolventen sich nicht bewerben oder zum Master bei anderen Studiengängen anmelden. Man arbeite daran, um mit anderen Universitäten Übergangslösungen zu finden.

Haben die noch alle Tassen im Schrank?

Was ist das für ein inkompetenter Saftladen?

Wie heißen die? „Technische Universität Berlin“?

In der Industrie, im privatrechtlichen Bereich würden die Geschäftsführer für sowas haften und unter Umständen sogar in den Knast gehen. Da gibt es normalerweise einen Aufsichtsrat, zu dessen Aufgaben es gehört, zu kontrollieren, dass Maßnahmen ergriffen sind, damit sowas nicht passieren kann.

Für eine so wichtige Funktion müsste normalerweise ein Hot Standby oder von vornherein redundantes System, wenigstens ein Cold Standby und/oder eine Wiederherstellungsprozedur bestehen, auch unter der nostalgischen Bezeichnung „Havarieplan“ oder etwas moderner „Disaster Recovery“ bekannt, wo genau drin steht, was im Katastrophenfall Schritt für Schritt (und getestet!) zu tun ist, um ein Ersatzsystem wieder herzustellen.

Aber: Gender- und Gleichstellungsbeauftragte haben sie bestimmt ganz viele.

Nur noch Klapsmühle.