Hadmut Danisch
Ansichten eines Informatikers

#HRWOffline

Hadmut
26.2.2023 1:39
Uncategorized

Die Hochschule Ruhr-West hat es offenbar auch erwischt.

Eine Anmerkung.

Ja, ich weiß, dass man Systeme heute nicht hundertprozentig sicher bekommt.

Und ja, ich weiß auch, dass die Systempflege so viel Zeit kostet, dass die finanziellen und personellen Mittel nicht reichen. Ist bei mir ja auch nicht anders: Der Arbeitsaufwand für beides zusammen, das Blog zu schreiben und alle Sicherheitsmaßnahmen zu ergreifen, die erforderlich wären, ist höher, als ich Arbeitszeit aufwenden kann.

Das hängt auch damit zusammen, dass ich an vielen Stellen Aufwände treiben muss, die so eigentlich nicht erforderlich sein sollten. So geht ein großer Teil meiner Arbeitszeit drauf, Software zu debuggen, Bug-Reports loszuschicken, Workarounds zu finden, statt mich mit meinem eigenen Kram beschäftigen zu können.

Aber hey: Das ist nur ein Blog. Wenn mir das jemand zerschießt, geht die Welt nicht unter. Dann ist das halt, je nachdem, wo ich gerade bin und ob ich Internet habe, mal einen Tag offline, bis ich die Softwareinstallation wieder habe durchlaufen lassen und die Daten wieder eingefüllt habe. Wenn es nicht sowieso schon reichen würde, einen Snapshot zu reaktivieren und dann vielleicht nur den letzten Tag verloren zu haben. Niemand außer mir selbst hätte einen Schaden, wenn das Blog zwischendurch mal weg ist, und man es erst einen oder zwei Tage später wieder lesen kann. Auch die Höhe des maximalen und des zu erwartenden Schadens kann eine Obergrenze für den Sicherheitsaufwand sein.

Bei einer Universität, vor allem, wenn es um Prüfungen und Immatrikulation und so weiter geht, sieht das völlig anders aus. Denn da geht es um die (Grund-)Rechte Dritter, nämlich der Studenten, auch der Wissenschaftler (sofern es davon an den Hochschulen noch welche gibt, ich bin mir da nicht so sicher), und da müsste das eigentlich deutlich flotter wieder flott zu kriegen sein.

Zugegeben, vieles, was an Universitäten an Software läuft, ist sowieso nicht wichtig und nur dazu da, dass der Steuerzahler dafür Forschungsgelder zahlt. Aber manches ist eben wichtig und zeitkritisch, gerade wenn es um Prüfungen oder Zahlungsverkehr, Geld geht. Und da sollte man verdammt nochmal inzwischen in der Lage sein, seinen Krempel im Griff zu haben.

Ich gebe zu, dass es beim heutigen Stand der Software und dem zunehmenden Murks schwer bis unmöglich ist, Software auch unter Angriffen am Laufen und dicht zu halten. Das weiß ich, und ich sage gerne, dass man aus Pudding keine Hochhäuser bauen kann. Es gibt aber auch vermeidbare Fehler, viele sogar, und vor allem: Man sollte in der Lage sein, seinen Krempel jederzeit schnell und zuverlässig wieder aufzubauen. Und dazu gehört

  • Hardwarebeschaffung (z. B. bei Defekt, Diebstahl, Brand) oder ein Plan B für die Cloud
  • Softwareneuinstallation und Konfiguration
  • Daten aus Backup wieder reintanken
  • Accounts und Authentifikation neu aufbauen, falls kompromittiert

Oder wie man so schön sagt: Ein Disaster Recovery Plan. Sowas muss einfach drin sein.

Und das vor allem, weil ich mich erinnern kann, vor mindestens etwa 12 Jahren erstmals auf einen Fall mit Schaden durch ransomware gestoßen zu sein. Inzwischen müsste es sich doch rumgesprochen haben, und nicht eine Hochschule nach der anderen es selbst neu erleben müssen.

Ich habe Verständnis dafür, wenn das mal irgendwo passiert.

Mir fehlt aber das Verständnis, wenn das alle paar Wochen an der nächsten passiert. Bei Feuer ergreifen wir da nämlich Brandschutzmaßnahmen. Warum also dauert das so lange?

Wie? Schon seit einem Monat?

Jetzt noch sichern? Bisschen spät. Als ob man die Hebamme im Kreißsaal fragt, ob ein Kondom noch was bringt.

Mich stört der Fatalismus, mit dem man solche Angriffe und die Ausfälle hinnimmt, ohne zu bemerken, dass es nicht in Ordnung ist, wenn das so lange dauert, und das irgendwie Charma oder gegeben sei. Mehr, als dass es so ist, stört mich, dass anscheinend keiner mehr da ist, der noch bemerken würde, dass das so nicht normal, unvermeidbar, Pech ist.