Die Leistung eines Systemadministrators

Heute ist, wie jeden letzten Freitag im Juli, der Tag des Systemadministrators. Und obwohl es diesen speziellen Feiertag für meine Berufsgruppe schon seit 14 Jahren gibt, wissen es immer noch nur wenige Leute. Dieser Tag ist dazu gedacht, seinem/n Systemadministrator/en Danke zu sagen für alles, was er geleistet hat.

Manchen Leuten hingegen kommt gar nicht in den Sinn, dem Admin den Dank auszusprechen. Einige sind sogar der Meinung, dass eher der Admin dankbar dafür sein sollte, dass er überhaupt einen Arbeitslohn erhält, da seine Leistung ja überhaupt nicht im Verhältnis zu seinem Lohn stehe.

Ich sehe das anders. Natürlich, ich bin ja auch Admin. Ich finde, wir Admins bekommen – zumindest teilweise – zu wenig für die Leistung bezahlt. Es mag Admins geben, die sich jeden Monat nen neuen Porsche kaufen können, aber das ist die Ausnahme. Und ja, es gibt auch Admins, die eher unfähig sind und somit auch mit dem Durchschnittsgehalt deutlich überbezahlt sind. Aber auch das ist eher die Ausnahme.

Doch wie berechnet man eigentlich die Leistung eines Admins? (Ich gehe mal vom „klassischen“ Mix aus Admin und Helpdesk aus, wie es in kleinen und mittelständischen Unternehmen am ehesten anzutreffen ist.) Schließlich ist so einer doch nur ne Kostenstelle. Er beschafft neue Hardware und neue Software und erklärt den Kollegen, wie sie bunt statt schwarz-weiß drucken können. Und ansonsten verbieten sie einem ständig nur die Nutzung von irgendwelchen Programmen und Pornoseiten oder sind nur am Meckern, wenn man mal eigenmächtig was „optimiert“ hat. Sie produzieren nichts, sie bringen keinen Gewinn ein, sie kosten einfach nur und sitzen in ihrem Kämmerlein und drehen Däumchen.

Zumindest habe ich das Gefühl, dass Admins oftmals so wahrgenommen werden.

Man bemerkt Admins nur, wenn mal was NICHT funktioniert. So ist das eben mit der selektiven Wahrnehmung. Während ein Arbeiter am Fließband daran gemessen werden kann, wie viele Kugelschreiber er zusammengeschraubt hat, während ein Vertriebler daran gemessen werden kann, wie viele Produkte er verkauft hat, während das Marketing daran gemessen werden kann, wie stark der Umsatz gestiegen ist (und dazu noch die ganzen hübschen Marketing-Medien wie Bilder, Videos, Präsentationen etc.), kann ein Admin offenbar nur danach gemessen werden, wie häufig es Probleme mit der IT gab. Dann heißt es gleich: was für ein unfähiger Admin, wofür bezahlen wir den denn? (Wie schon gesagt, auch solche gibt es, aber ich halte es eher für die Ausnahme.) Und wenn es gar keine Probleme gab, dann heißt es: der macht doch eh nix, wofür wird der eigentlich bezahlt?

Und da genau liegt doch der Hund begraben. Der Admin arbeitet „im Verborgenen“ und kümmert sich drum, dass der Arbeitsalltag weitgehend unproblematisch für die Angestellten abläuft. Das heißt: niemand bemerkt es, weil alles gut ist. Ich frage mich manchmal, wie sich ein Angestellter – oder auch eine Führungskraft – die Arbeit eines Admins vorstellt. Soll er den ganzen Tag durch die Büros wuseln und Kabel verlegen? Irgendwann sind doch alle Kabel verlegt – im besten Fall müssen doch gar keine neuen Kabel verlegt werden. Oder sollen Admins abwechselnd an einem Tag Kabel verlegen (so sinnlos sie auch sein mögen) und am nächsten Tag die Kabel wieder entfernen?

Besser ist doch, dass der Admin – in welcher Form auch immer – alle Systeme im Blick hat und bei Unregelmäßigkeiten sofort reagieren kann. Ich gebe zu, ich gucke mir auch Katzenbilder und unsinnige Sachen im Internet an. Es gibt am Tag mehrmals Momente, da hab ich nichts Besseres zu tun. Aber es gibt jeden Tag irgendwas zu machen – und sei es nur, den Spamfilter zu justieren, damit die Kollegen nicht merken, dass es überhaupt ein Spamproblem gibt.

An Beispielen mangelt es mir nicht. Ich kann hier zwar nur für mich selbst sprechen, denke aber, dass es bei anderen Admins in anderen Firmen ähnlich ist. Die Spamfilter hab ich ja schon erwähnt. Man guckt sich dabei die Log-Dateien an, was durch den Spamfilter gerutscht ist und definiert dann nach eigenem Gutdünken, wie man zukünftig solchen Spam vermeiden kann. Dabei kann man bspw. strikt nach Keywords filtern, muss aber auch im Hinterkopf haben, dass manche Keywords auch in legitimen Mails vorhanden sein können. So habe ich erst kürzlich den Fehler gemacht, dass ich das Wort „Qualitat“ gefiltert habe (irgendwelche dubiosen Finanzagenten sollten angeworben werden und da der Versender aus dem Ausland kommt, gibt es keine Umlaute). Das erschien mir sinnvoll. Allerdings habe ich dabei nicht bedacht, dass dieser Begriff auch im Wort „qualitativ“ vorkommt. Und schon wurde eine legitime Mail vom Spamfilter abgewiesen.

Ich muss Passwörter zurücksetzen, weil Mac- und Linux-Nutzer ihre Passwörter nicht selbst am Active Directory ändern können. Accounts müssen entsperrt werden, weil Nutzer ihr Passwort mehrfach falsch eingegeben haben (oder bei einem Passwortwechsel vergessen wurde, auch das WLAN-Passwort im Smartphone zu ändern). Neue Benutzer müssen eingerichtet werden, wenn neue Kollegen kommen. Und Accounts ausgeschiedener Mitarbeiter muss ich entsprechend deaktivieren. Software-Updates müssen verteilt werden, damit sich niemand über Sicherheitslücken irgendwelche Schadsoftware einfängt. Die AntiVirus-Lösung muss überwacht werden (und per Mail ankommende Viren, die noch nicht erkannt werden, eingesendet werden). Und wenn doch mal ein Virus seinen Weg auf einen Rechner geschafft hat, muss ich den betroffenen Rechner säubern. Die Firewall muss überwacht werden, um Angriffe zu erkennen, Schadsoftware im eigenen Netzwerk zu entdecken oder einfach nur Verbindungsprobleme zu analysieren. Im Allgemeinen muss die IT-Sicherheit gewährleistet werden. Dazu gehört, einschlägige Medien regelmäßig zu lesen (ich nehme hier Heise, Golem und Winfuture) und ggf. Gegenmaßnahmen zu ergreifen (wie beim Heartbleed-Problem Anfang April 2014). Ich muss die Drucker überwachen (kleinere Defekte und Papierstau beheben, Papier auffüllen, Toner und andere Verbrauchsmaterialien tauschen). Ich muss den Zustand der Server überwachen, wie die Prozessor- und Speicherauslastung ist, wie die Festplattenauslastung ist, ob wichtige Updates für Dienste bereit stehen. Wenn Bedarf besteht, muss ich neue PCs oder Macs bestellen und einrichten. Die Telefonanlage verwaltet sich nicht von selbst und auch Netzwerkdosen müssen gepatcht werden, wenn eine (wieder) in Betrieb genommen wird. Zu meinen Aufgaben gehört außerdem das Planen der Arbeitsplatzverteilung, wenn neue Mitarbeiter kommen oder sich neue Teams bilden. Ich muss neue Dienste, die den Kollegen Erleichterung bei ihrer täglichen Arbeit bringen, evaluieren und installieren. Ich muss das Backup im Auge haben und prüfen, wer eine wichtige Datei gelöscht oder zumindest verändert hat. Die Konferenzräume müssen regelmäßig geprüft werden, ob alle Kabel, Adapter und Geräte vorhanden und einsatzbereit sind. Mitarbeiter müssen ständig und wiederholt auf Gefahren hingewiesen werden (es kommt leider hin und wieder mal vor, dass eine Rechnung.pdf.exe ausgeführt wird) oder darin ermuntert werden, bei Problemen erstmal einen Neustart durchzuführen.

Auch sonstige Probleme und Wehwehchen im Büroalltag sind (unfreiwillig) zu meinen Aufgaben geworden. Ist der Geschirrspüler kaputt oder muss eine Glühbirne gewechselt werden, bin ich der erste Ansprechpartner, weil das ja mit nem Schalter bedient wird. Manche glauben sogar, dass ich neues Klopapier auf die Toiletten bringen muss.

Ich könnte vermutlich ein dickes Buch darüber schreiben, was ein Admin alles zu tun hat. Und manchmal wird ein Admin auch für Arbeiten eingespannt, die normalerweise nicht in seine Stellenbeschreibung passen. Ja, man könnte sich weigern, solche Aufgaben durchzuführen, weil die Stellenbeschreibung solche Hausmeisterarbeiten nicht umfasst. Aber wozu die Diskussion?

Anders herum fühlt man sich manchmal ein bisschen verarscht. So kommt es auch schon vor, dass jemand ohne Ahnung, aber mit Macht (Kunden, Geschäftsführer etc.), dem Admin irgendwelche Lösungen für Problemstellungen diktiert. Da kann man sich noch so mit Händen und Füßen gegen wehren, meistens bleibt einem nichts anderes übrig, als die „Lösung“ umzusetzen und zu demonstrieren, dass es nicht funktioniert. Ein „ich habs dir doch gesagt“ hilft da übrigens nicht. Letztendlich heißt es trotzdem, dass es die Unzulänglichkeit des Admins ist.

Viren-Mails erkennen

IMG_0006Ein immer wieder beliebtes Thema ist, wie man Viren-Mails erkennt. Darunter gibt es zwei Kategorien: 1. die Schadsoftware kommt direkt als Anhang mit und 2. man wird dazu verleitet, auf einen Link zu klicken, hinter dem sich Schadsoftware verbirgt.

Die erste Methode hat den „Nachteil“, dass die Viren erst gar nicht beim Empfänger ankommen könnten, weil sie möglicherweise von einem Anti-Virus-Gateway, der dem Mailserver vorgeschaltet ist, erkannt und entfernt werden. Der Vorteil ist, dass man dem User auf direktem Wege die Schadsoftware unterjubeln kann, ohne dass er durch einen weiteren Download vielleicht misstrauischer wird. Bei Methode zwei ist es dann quasi genau anders herum.

Ich gehe aber mal von der Situation aus, dass die Schadsoftware nicht erkannt wurde und bei dem Benutzer nun im Postfach liegt. Da so eine Schadsoftware im Anhang ja nicht direkt als solche erkannt werden soll, heißt sie natürlich nicht „ichbineinvirusalsoklickmich.exe“, sondern der Dateiname wird verschleiert. Dann wird daraus eben „Rechnung_08154711.exe“ oder – in Anlehnung an das Format digitaler Kameras „IMG_000234.jpg.exe“. Gerne wird eine solche ausführbare Datei dann auch mit einem üblichen Icon von Adobe PDF, Microsoft Word Dokument, Bilddateien oder einem anderen, dem vorgetäuschten Format entsprechenden Icon, versehen. Dass die Dateiendung .exe lautet, übersehen dann viele Benutzer oder – weil unter Windows die Anzeige von bekannten Dateierweiterungen standardmäßig nicht angeschaltet ist – sehen es erst gar nicht. Im guten Glauben, dass es sich dabei um den suggerierten Dokumententyp handelt, wird die Schadsoftware dann ausgeführt. Häufig kommt es auch vor, dass doppelte Dateiendungen verwendet werden. So wird aus unserem Beispiel dann „Rechnung_08154711.pdf.exe“. Das hat natürlich auch was mit der Standardeinstellung von Windows zu tun, soll und könnte aber auch bei aktivierter Anzeige von bekannten Dateiendungen den nicht so versierten Benutzer in die Irre führen. Da viele Mailprogramme, zumindest die aktuellen Generationen, aber .exe-Dateien selbständig als potentiell gefährlich blockieren und dem Benutzer dann nicht ohne Weiteres Zugriff auf den Anhang gewähren, sind die Virenschreiber dazu übergangen, die .exe-Datei in einer Zip-Datei zu verpacken. Dann kommt eine E-Mail mit dem Anhang „Rechnung_08154711.pdf.zip“, in der sich jedoch die schadhafte .exe-Datei befindet.

Solche Viren-Mails setzen darauf, dass der Empfänger entweder aufgrund seiner täglichen Arbeit (z.B. Buchhaltung), Neugierde („hier guck mal, das Foto von dir“) oder Angst (Mahnungen oder horrende Rechnungsbeträge) den Anhang öffnet oder einen bösartigen Link anklickt. Gerade weil auch manche Unternehmen keine Rechnungen als Anhang versenden, sondern in ihren echten E-Mails den Benutzer dazu auffordern, sich die Rechnung im jeweiligen Kundencenter herunter zu laden (am besten mit direktem Link zur Rechnung), können die Virenschreiber die Empfänger relativ einfach dazu verleiten, den bösartigen Link aufzurufen. Dahinter verbirgt sich dann direkt eine schadhafte Datei oder ein Exploit. Zum Beispiel könnte die aus dem vorherigen Abschnitt bekannte Schadsoftware unter dem Namen „Rechnung_08154711.pdf.exe“ dort direkt als Download starten. Oder aber eine manipulierte Dokumentendatei, die eine Sicherheitslücke (entweder eine alte oder eine Zero-Day-Lücke) ausnutzt, um Schadsoftware zu installieren. Und selbstverständlich eine Webseite, die versucht, mit Exploits den Browser zu kompromittieren und darüber die Schadsoftware in das System zu bringen.

Und auch wenn Nutzer von Linux-Systemen oder MacOS X weniger selbst gefährdet sind, sich eine Schadsoftware einzufangen, so habe ich es dennoch erlebt, dass diese solche E-Mails stumpf, ohne nachzudenken, an die Buchhaltung oder Geschäftsführung ihres Unternehmens weiterleiten, wo wiederum Windows eingesetzt wird. Auch solche Nutzer sollten also sensibilisiert werden, um Gefährdung anderer Nutzer vermeiden.

Die Zeiten, in denen böswillige E-Mails oft noch leicht zu erkennen waren, sind vorbei. Die Virenschreiber geben sich beim Verfassen und Versenden der Viren-Mails immer mehr Mühe, so dass es auch versierten Nutzern immer schwerer fällt, eine bösartige Mail von einer legitimen Mail zu unterscheiden.

Dennoch gelten nachfolgende Regeln nach wie vor:

  1. Begrüßung
    Wird man mit Namen gegrüßt, wie es die meisten Unternehmen machen, oder steht dort nur sowas unpersönliches wie „Guten Tag“ oder „Sehr geehrter Kunde“? Da die Virenschreiber in eigentlich keinem Fall die Namen der Empfänger wissen (Achtung, es gibt hier natürlich auch Ausnahmen!), wird keine persönliche Anrede genutzt, sondern man versucht sich allgemein zu halten.
  2. Rechtschreibung und Grammatik
    Zwar wird es immer besser, aber viele Viren-Mails sind in einem so grausamen Deutsch verfasst, dass der Empfänger, so er denn nicht selbst über sehr eingeschränkte Deutsch-Kenntnisse verfügt, stutzig werden sollte. Wer bei „Wolle kucke rechnung dan du klicke hierr!!!!“ immer noch glaubt, dass sich dahinter was seriöses verbirgt, dem sollte man den Zugang zu einem Computer verbieten. Verlässlich ist dieses Kriterium natürlich nicht. In letzter Zeit habe ich etliche E-Mails gesehen, deren Rechtschreibung und Grammatik zwar nicht tadellos war, aber für viele wohl auch nicht auf den ersten Blick auffällig.
  3. Neugierde oder Angst weckend
    Wenn wildfremde Leute dir ein Foto schicken, auf dem du angeblich drauf bist. Oder ein Video verlinken, in dem du vorkommen sollst. Oder du eine Mahnung erhälst, wo du richtig viel Ascha abdrücken sollst. Oder eine solche Rechnung. Dann überleg doch mal: kann das überhaupt sein? Ist das, was behauptet wird, schlüssig? T-Mobile verschickt zum Beispiel ihre Rechungen immer nur für den vorausgegangenen Monat. Wenn ich also am 15. Januar eine Rechnung über 325,76 € für Januar erhalten soll, dann kann ich sicher sein, dass diese Rechnung nicht wirklich von T-Mobile kommt.
  4. Dubiose Server
    Ein Link ist nicht immer so, wie er scheint. Unter dem Link http://www.bing.de habe ich die Suchmaschine Google versteckt. Das gleiche Prinzip wird auch bei Viren-Mails verwendet. Dort wird augenscheinlich eine legitime Adresse angegeben, stattdessen wird aber, weil der Link-Text unabhängig vom verlinkten Inhalt ist, auf einen dubiosen Server im Ausland verlinkt. Wer ein gutes E-Mail-Programm einsetzt, dem wird auf irgendeine Weise (bspw. unten im Status oder als PopUp-Information) die Adresse angezeigt, auf die tatsächlich verlinkt wird, wenn man den Mauszeiger über den Link bewegt. Doch auch hier sollte man aufpassen. Ist eine Adresse wie http://kjdhgnkkk67rdnizu7.au.br/telekom/ noch recht auffällig, so könnte man sich von http://www.telekom.de.security-server.djmhbgsz.au.br/ eher in die Irre führen lassen. Ganz wichtig zu wissen ist also, dass eine Server-Adresse erst nach dem ersten Slash endet. Die Server der Telekom wäre http://www.telekom.de/ und im oben genannten Beispiel wäre der tatsächliche Server http://djmhbgsz.au.br/ (der Teil „www.telekom.de.security-server.“ ist nur eine Subdomain und die kann man sich selbst so anlegen, wie man gerade möchte).
  5. Absender
    Ist der Absender wirklich der, für den er sich ausgibt? Den Absender einer E-Mail-Adresse zu fälschen ist leicht. Das ist von technischer Seite sogar so gewollt, auch wenn man sich damals, als das SMTP-Protokoll erschaffen wurde, noch nicht so viele Gedanken über Missbrauch gemacht hat. Aber letztendlich kann man ja auch auf einen Briefumschlag einen falschen Absender drauf schreiben. Manche Virenschreiber geben sich Mühe und spiegeln dem Empfänger vor, die falsche Telekom-Rechnung komme tatsächlich von rechnung@telekom.de. Manche machen es eher halbherzig und bringen es nur fertig, dass als Absendername bspw. „Telekom Kundenservice“ steht, als Adresse ist dann aber info@waldorfschule-pankow.de eingetragen. Jedes vernünftige E-Mail-Programm zeigt die (wenn auch gefälschte) Absenderadresse an. Wer hier jedoch bei einer plausiblen Absenderadresse herausfinden möchte, ob die E-Mail legitim ist, kommt um eine Prüfung des E-Mail-Headers und der übrigen Kriterien nicht herum.
  6. Empfängeradresse
    In Unternehmen gehen Rechungen in aller Regel an entsprechend eingerichtete Buchhaltungs-Adressen. Wer in einem Unternehmen unerwartet eine Rechnung erhält, obwohl er bisher noch nie Rechungen erhalten hat und auch gar nicht dafür zuständig ist, der muss sich dann auch in der Regel gar keine Gedanken darüber machen, ob er die E-Mail an die Buchhaltung weiterleiten oder lieber direkt löschen sollte. Und wer in der Buchhaltung arbeitet, sollte prüfen, ob die E-Mail wie gewohnt an die Service-Adresse gegangen ist oder ungewöhlich an die eigene. Aber auch im privaten Rahmen sollte man sich fragen, ob es plausibel ist, dass man an seine E-Mail-Adresse die Rechnung erhält. Hatte man zum Beispiel noch nie irgendeinen Kundenkontakt zu T-Mobile, weil man möglicherweise Vodafone-Kunde ist, braucht man einer angeblichen T-Mobile-Rechnung auch keine Aufmerksamkeit zu schenken.

Ich hoffe, ich konnte mit dieser kurzen Erklärung es etwas vereinfachen, auch gut gemachte Viren-Mails zu erkennen. Um einige Sachen besser zu verstehen und nachzuvollziehen, müsste ich womöglich viel weiter ins Detail gehen. Das kann ich gerne auch machen, hier in diesem Beitrag würde das jedoch den Rahmen sprengen. Und ich glaube auch, das zu viele technische Hintergründe für weniger versierte Nutzer eher ermüdend und langweilig sind oder zu Resignation führen, obwohl das gar nicht nötig wäre.

Tech-Tipp: Outlook 2013 stürzt bei Verwendung von SMIME ab

Wer seine Mails mit SMIME verschlüsselt und Outlook 2013 nutzt, hat möglicherweise seit einigen Tagen das Problem, dass Outlook beim Öffnen einer verschlüsselten E-Mail abstürzt.

Der Absturzbericht sieht dann ungefähr so aus:

Name der fehlerhaften Anwendung: OUTLOOK.EXE, Version: 15.0.4517.1003, Zeitstempel: 0x51a6f743
Name des fehlerhaften Moduls: OUTLOOK.EXE, Version: 15.0.4517.1003, Zeitstempel: 0x51a6f743
Ausnahmecode: 0xc0000005
Fehleroffset: 0x003ac9b5
ID des fehlerhaften Prozesses: 0x1a4c
Startzeit der fehlerhaften Anwendung: 0x01ce8a00ef0e48d8
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXE
Pfad des fehlerhaften Moduls: C:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXE
Berichtskennung: 33fe0a32-f5f4-11e2-bec1-d4bed998df2d
Vollständiger Name des fehlerhaften Pakets:
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Nach einiger Recherche bin ich dann im Forum von Microsoft darauf gestoßen, dass der Patch KB2817468 das Problem verursacht. Da der Patch nicht kritisch ist, habe ich ihn deinstalliert und siehe da: Outlook kann nun wieder mit SMIME-verschlüsselten E-Mails umgehen.

Update: Wer die Click-2-run-Version von Office 2013 einsetzt hat Pech. Der muss das Office-Paket komplett neu installieren (und dann am besten nicht als Click-2-run), da die Updates leider nicht individuell entfernt werden können.

Update 16.09.2013: Mit dem Patchday am 10.09.2013 ist das Problem offenbar behoben worden.

Tech-Tipp: Outlook 2013 und Kerio

Nachdem ich heute mein Office-Paket von 2010 auf 2013 aktualisiert habe, konnte ich plötzlich nicht mehr auf mein Kerio-Profil zugreifen. Die Meldung lautete sinngemäß:

Der Informationsdienst „KOFFMSP.DLL“ konnte nicht geladen werden.

Eine Google-Suche brachte mich leider nicht sehr weit, da dort nur andere Ausgangsszenarios in den Lösungsvorschlägen behandelt werden.

Ich habe zunächst versucht, den Kerio Outlook Connector (KOFF) neu zu installieren – ohne Ergebnis. Auch ein Anlegen eines neuen Profils in Outlook für Kerio brachte mich nicht weiter.

Letztendlich half, den KOFF zu deinstalllieren, die Kerio-Profile aus Outlook zu löschen (macht ja nix, ist ja eh alles auf dem Server gespeichert) und den PC neu zu starten. Nach dem Neustart habe ich KOFF wieder installiert und konnte mir erfolgreich ein neues Outlook-Profil mit meinem Kerio-Account anlegen.