users lounge

Der Podcast für mehr IT-Sicherheit

#54 Struktur schafft Sicherheit

Wie gute IT-Dokumentation den Alltag erleichtert

24.10.2025 58 min

Zusammenfassung & Show Notes

Wir sprechen über die Bedeutung einer klaren und strukturierten IT-Dokumentation. Dabei zeigen wir, wie sie hilft, Risiken zu minimieren, Sicherheit zu stärken und im Notfall handlungsfähig zu bleiben. Außerdem geben wir praktische Tipps, wie Unternehmen ihre Dokumentation effektiv aufbauen und aktuell halten können.

Wir sprechen über die Bedeutung einer sauberen IT-Dokumentation in Unternehmen und zeigen auf, welche Herausforderungen dabei auftreten und warum eine transparente, strukturierte Dokumentation entscheidend ist, um Risiken zu minimieren und im Notfall handlungsfähig zu bleiben.
Außerdem teilen wir praxisnahe Tipps, wie sich eine effektive Dokumentation aufbauen lässt und wie sie langfristig zur Verbesserung von IT-Sicherheit und Management beiträgt.

Takeaways
  • IT-Dokumentation ist entscheidend für die Unternehmenssicherheit.
  • Windows 10 Updates unterscheiden sich zwischen Privat- und Geschäftsnutzern.
  • Eine gute Dokumentation schafft Transparenz und Verantwortlichkeit.
  • Risiken können nur mit einer soliden Dokumentation beherrscht werden.
  • Die Dokumentation muss regelmäßig aktualisiert und gepflegt werden.
  • ITler sollten die Bedeutung der Dokumentation erkennen und annehmen.
  • Eine klare Struktur in der Dokumentation erleichtert die Wiederherstellung im Notfall.
  • Dokumentation ist kein Luxus, sondern eine Notwendigkeit.
  • Die Dokumentation sollte für alle Mitarbeiter zugänglich und verständlich sein.
  • Vorbereitung ist der Schlüssel zur Handlungsfähigkeit in Krisensituationen.


Transkript

Michael
00:00:56
3, 2, 1, Deins. Grüß dich, René. Hi.
René
00:00:59
Moin, Michael. Ja, heute mal besonders, ne?
Michael
00:01:03
Ja, wir sitzen tatsächlich, für alle die es noch nicht sehen oder wissen wollen, wir sitzen da täglich mal zusammen. Das haben wir so noch nie gehabt. Und, ziemlich cool. Ja, ich freue mich drauf. Heute mal quasi eine Live-Folge, wie früher, gemeinsam an einem Platz.
René
00:01:19
Ja, unglaublich, ne? Nach zwei Jahren. Nach zwei Jahren haben wir es geschafft, zum ersten Mal zusammen zu sein.
Michael
00:01:23
Das ist echt zwei Jahre, glaube ich. Das ist das erste Mal, dass wir uns wirklich gegenüber sitzen. Ja, wir machen halt wirklich viel remote. Und heute hat es sich echt angeboten. Wir haben gestern eine Veranstaltung zusammen gehabt, war ziemlich cool, hat Spaß gemacht. Und von daher hat es sich angeboten, bei der Gelegenheit, auch gleich mal so einen Live-Podcast aufzunehmen. Von daher, wenn Sie es ein bisschen anders da anhört, wir sind live quasi.
René
00:01:45
Genau. Aber nichtsdestotrotz, wollen wir es natürlich genauso informativ halten, wie sonst auch? Auf jeden Fall. Jetzt ein bisschen geschwafelt. Nur, weil wir nebeneinander sitzen, ist es natürlich Quatsch. Ich würde gerne einmal auf ein Thema zurückkommen. Das hatte ich letzte Woche, oder nicht letzte Woche, hatte ich beim letzten Mal angesprochen. Da ging es darum, dass wir, oder dass ich gesagt hatte, Windows 10 hat sich um ein Jahr verlängert. Das muss ich ein bisschen wieder einfangen. Es ist schon so, dass Windows 10 sich für Privatpersonen schon verlängert hat. Das ist okay. Wo es sich aber unterscheidet, ist, dass es für Unternehmen eben nicht so ist. Okay. Sobald ein Gerät entweder mit Entra oder mit einer Domäne angemeldet ist, ist das nicht möglich, die kostenfreien Updates zu nutzen. Dann muss man sich wirklich die verlängerte Update-Geschichte kaufen. Für 30 Dollar, glaube ich, ist es im Jahr. Microsoft macht es davon abhängig. Man kann es nicht am Betriebssystem festmachen. Man kann nicht sagen, eine Pro-Variante ist zugelassen, oder eben nicht. Sondern es geht wirklich darum, du brauchst einen Microsoft-Account, der extra dafür, also da muss dein Rechner angemeldet werden. Lokale Konten sind nicht mehr möglich ab jetzt. Du musst dich bei Microsoft registrieren, darüber die Updates aktivieren.
Michael
00:03:07
Das heißt, alle, die ein Business-Unternehmen unterwegs sind und einen O365-Account haben, oder mit Microsoft 365 tätig sind, für die scheidet die Verlängerung dann aus. Genau so ist es.
René
00:03:17
Oder eben ein Server-Betriebssystem im Haus laufen haben mit Mac Directory.
Michael
00:03:22
Ja, gut, aber ganz ehrlich, umstellen.
René
00:03:27
Ja, also das sollte jetzt nicht heißen, wartet deswegen gerne noch ein Jahr. Das hatten wir letztes Mal ja auch gesagt. Aber es ist auf jeden Fall so, da muss man es jetzt nochmal einschränken. Wir haben nicht dieses Jahr Zeit, wie ich es erst gesagt hatte, sondern da gibt es halt wirklich diese Einschränkung. Also wir nehmen jetzt genau eine Woche auf, bevor ihr diese Episode hört. Wir sind jetzt gerade schon vier Tage, drei Tage sind wir drüber. Also Windows 10 ist tot für die, die eben nicht Privatnutzer sind.
Michael
00:04:01
Okay, gut. Ja gut, das ist eine eindeutige Sache.
René
00:04:04
Genau. Wollte ich nur richtig gestellt haben, weil ich das letzte Mal halt so großspurig hier erzählt habe.
Michael
00:04:13
Ich glaube, das ist eine coole Überleitung. Ich versuche es erstmal überleiten zum aktuellen Thema. Wir wollen heute über das Thema Dokumentation und IT-Dokumentation reden, weil wir es einfach wichtig finden. Und genau da ist ja der Bogen rüber. Welche Software habe ich im Einsatz? Welche Versionen sind da? Habe ich noch Windows 10? Ja, nein. Und wie habe ich dokumentiert, wie meine Fristen sind? Wie lange ich das System einsetzen kann? Und wie gesagt, IT-Dokumentation soll heute mal unser Thema sein.
René
00:04:39
Ja, genau. Da können wir eigentlich mal mit der richtigen Geschichte beginnen. Man kann sich vorstellen, wir haben ein mittelständisches Unternehmen. 80 Mitarbeiter. Interne IT sind zwei Leute. Ja. Ist ja nicht unrealistisch.
Michael
00:04:54
Klassiker, genau.
René
00:04:55
Das ist ein typisches Szenario. So, freitags läuft alles, montags alles tot. So, Server läuft nicht mehr.
Michael
00:05:00
Ja, und das ist dann aber meistens ganz genau dann. Am Freitag läuft noch alles, dann sagt der IT-Admin, ich bin jetzt 14 Tage im Urlaub, tut mir einen gefallen? Und natürlich, Murphy's Law folgt. Es crasht halt immer genau in solchen Momenten. Also genau immer dann, wenn es nicht passieren darf. Und immer dann, wenn ich es überhaupt nicht gebrauchen kann, crasht halt irgendwas.
René
00:05:23
Ja, genau. Und was dann halt am schlimmsten ist, wenn man jetzt den Stillstand hat. Jetzt nehmen wir mal an, das sind jetzt zwei Personen. Einer davon ist der Hauptadministrator. Der hat das irgendwann mal aufgebaut, hat eine zweite Person mit in sein Team bekommen, hat sein Wissen nicht niedergeschrieben. Und dann bedeutet das eigentlich sofort, kein Zugriff mehr auf Backups, keine Passwörter, der zweite hat eben auch keinen Überblick über das Ganze. Bedeutet halt wirklich, dass wir langen Stillstand haben, wenn man nicht dann tatsächlich den richtigen noch erreicht. Ja, es ist halt, weil die eine Person das Wissen zwar im Kopf hat, aber es auch nie niedergeschrieben hat oder zumindest nicht umfangreich genau niedergeschrieben hat, damit jemand arbeiten kann.
Michael
00:06:10
Ja, und genau das ist das Problem. Und da gehen wir es jetzt so ein bisschen, oh, nicht das wieder. Ich meine es auf gar keinen Fall persönlich. Es gibt halt von der Sache her, ITler sind jetzt nicht wirklich dafür geboren, eine Dokumentation zu schreiben. Um es mal vorsichtig auszudrücken. Ich kenne ja, das ist ja, wir haben das Thema ja bei euch im Unternehmen auch gehabt, am Anfang, dass wir gesagt haben, mach mal Dokumentation und zieh mal hoch. Und man muss das schon wollen und man muss das schon mögen und man braucht den Mehrwert dann dahinter, den man erkennt. Und so ein ITler ist jetzt nicht bekannt dafür, gerne Doku zu schreiben. Auch ein Grund, warum wir zwei den Podcast zusammen machen. Wir sind ein ITler und Dokumentierer, also technische und organisatorische Maßnahmen. Das ist ja bei uns auch schon irgendwie so eine ganze Sache. Und wie gesagt, dann ist halt einfach das Thema, wenn halt die Person, die ich brauche, nicht erreichbar ist, die das Wissen im Kopf hat, dann crasht halt das Unternehmen, dann crasht halt das System. Und da muss man sich einfach bewusst sein. Und da wollen wir heute mal so ein bisschen versuchen, dich ins Dunkel zu bringen.
René
00:07:10
Deswegen, witziger ist ja einfach auch noch dazu, ja, ich bin ITler und du bist jemand, der in der Dokumentation stark ist. Das Witzige ist aber, du hast ein hohes Interesse an IT. Und du an Dokumentation. Und ich habe ein Interesse an Dokumentation. Also deswegen passt das dann auch wieder ganz gut. Da kann man dann die Gegenseite eigentlich immer ganz gut verstehen. Also, was bedeutet eigentlich eine Dokumentation? Meistens stellt man sich das vor, das sind halt Passwörter, das sind halt, ja, was weiß ich, einfach irgendwie so irgendwo Excel-Tabellen oder irgendwelche Notizdinger. Die liegen da irgendwo, irgendwo Dateien, wo eben halt nur das Nötigste drinsteht. Dem ist aber nicht so, weil eigentlich ist es wirklich mein Betriebshandbuch für alles, was ich eigentlich in meinem Unternehmen habe.
Michael
00:08:01
Exakt, das ist es. Also IT-Dokumentation ist nicht irgendwo auf dem Server im Public-Laufwerk, damit auch jeder darauf zugreifen kann, weil eben schnell die Admin-Passwörter liegen zu haben in irgendeiner Excel-Tabelle, damit da mal einer dranken kann, wenn es so will. Sondern wenn wir über eine IT-Dokumentation reden, dann ist es wie du das. Ich glaube, das kann man ganz gut sagen als Betriebshandbuch. Es ist einfach eine Landkarte und ein QM-Handbuch, ein Betriebshandbuch, ein wie mache ich was in meinem Unternehmen von der IT-Seite her. Schön strukturiert, vernünftig aufgebaut und das ist genau das, was wir brauchen an dieser Stelle.
René
00:08:33
Ja, und eine gute Dokumentation, die zeigt halt wirklich, welche Systeme habe ich überhaupt im Netzwerk? Also eigentlich ist es schon so ein Asset-Management. Dann, wie sind sie miteinander verknüpft? Auch das ist ja einfach schon ein wichtiger Faktor. Also dazwischen den Systemen steckt mal ein Switch oder was weiß ich. Also da muss ja alles irgendwie mal niedergeschrieben werden. Welche Prozesse hängen davon ab? Das ist, denke ich, eigentlich auch selbsterklärend. Wer ist verantwortlich wofür und wie funktioniert eigentlich so ein Wiederanlauf? Wäre jetzt gerade, wenn wir genau das Beispiel von gerade eben aufgreifen, wäre es ideal gewesen, hätte man so eine Dokumentation gehabt, weil dann wäre das Problem halt nicht so riesengroß.
Michael
00:09:12
Ja, du schaffst halt eben Transparenz damit. Das ist halt der große Vorteil. Du schaffst Transparenz damit und du hast eben gesagt, ein Wiederanlaufplan, das teilt sich ja auf, glaube ich. Also auf der einen Seite hast du die IT, dass du sagst, mach mal Landkarte, zeig mal auf, was da ist, zeig mal die Prozesse auf. Übrigens, der Datenschützer freut sich, wenn die IT-Landkarte vernünftig erstellt ist. Der Datenschützer freut sich, wenn er genau weiß, welche Systeme, welche Software, den ganzen Kram, dass eine Transparenz drin ist, wo sich einer zurechtfindet. Der QMler freut sich, wenn da irgendwas da ist. Und natürlich freut sich das ganze Unternehmen, dass eine transparente Struktur drin ist. Und dann hast du in dem anderen Punkt aber auch das, was man so als Notfallplan, BCM-Management, BCM nennen kann, was Wiederanlaufpläne sind. Also einfach so Sachen, wo du weißt, was du tun musst, wenn was passiert. Ich finde, das ist ein ganz wichtiger Punkt. Und wenn was passiert, hast du halt eben wahrscheinlich keine Zeit und ist ja wahrscheinlich noch weniger Lust, dir Gedanken zu machen, was du jetzt tun musst. Sondern dann bist du heilfroh, wenn irgendwo was in der Schublade liegt, der berühmte Plan B, was in der Schublade liegt, wo du sagst, das passiert, das muss ich tun, um meine Systeme wieder lauffähig zu kriegen. Und das ist so superwichtig. Wir gehen dann nachher noch mal im Detail drauf ein, aber das ist eine so superwichtige Sache. Und mit den beiden Dingen, also einmal IT-Dokumentation plus Notfallmanagement, so muss man nennen, kriege ich halt eine Steuerung ins Unternehmen, die einen echten Mehrwert liefert.
René
00:10:45
Du hast gerade gesagt, der QMler freut sich, der Datenschützer freut sich, der ITler freut sich auch. Er will zwar nicht dokumentieren, aber wenn er eine bekommt, freut er sich. Gehen wir mal rüber, warum ist es denn so? Wie würdest du einordnen, warum ein ITler oder warum so wenig dokumentiert wird? Weil wir sprechen ja nicht wirklich jetzt davon, das sind seltene Dinge. Nein, eine fehlende Dokumentation ist häufig. Aber warum?
Michael
00:11:18
Was schätzt du? Wir sind bei QM und Datenschutz, lass uns weitermachen. Das IT-Doku oder Papier ist halt einfach, das ist nicht sexy. Also da gibt es kein Applaus für. Es kommt jetzt halt irgendwann mal einer und freut sich und huldigt dich, weil du eine tolle IT-Dokumentation erstellt hast. Das ist halt für viele mal ein notwendiges Übel und einfach, es wird halt hintendran gesetzt. Also wenn du ein neues Server aufsetzt oder wenn du eine IT-Landschaft hochziehst oder was auch immer du machst in IT, übrigens das ist in anderen Bereichen genauso, dann setzt du ja erst mal um, machst deine technische Sache und dann willst du danach das im Nachgang wegdokumentieren. Und im Tagesgeschäft hast du meistens leider dann hinterher nicht mehr die große Zeit für die Dokumentation oder sagst, die Dokumentation kann ich ja immer noch machen. Und dann springst du in ein anderes Projekt, springst in eine andere Tätigkeit und so rennt die Dokumentation immer mehr hin und her. Du hast vielleicht irgendwelche Schmierzettel, irgendwelche Skripte, was du dir schon so Notizen gemacht hast, die liegen schon auf deinem Stapel. Da kommt immer mehr oben drauf, beziehungsweise das Ding wandert immer weiter nach unten und dann kommt irgendwann der Tag, wo es crasht, dann sagst du, ja richtig, da vor zwei Jahren wollte ich mal was schreiben. Genau das sind so die Klassiker, die passieren. Und es ist halt einfach Zeit, wie ich das gerade gesagt habe. Es frisst halt, eine vernünftige Doku frisst halt einfach Zeit. Es geht halt einfach nicht, dass ich bei Chatshippe hier reinschreibe, ich habe eine neue IT-Landschaft aufgebaut, erstell mir mal die komplette IT-Dokumentation.
René
00:12:48
Ja, das ist so. Also kann ich auch aus der Praxis erzählen, ich war jetzt tatsächlich vor zwei Tagen, war ich bei einem, ja ich habe mir einen neuen Standort angeschaut, nicht für uns, sondern von einem Kunden und schlimm. Wirklich schlimm. Also überall, man konnte nicht nachvollziehen, wo gehen die Kabel hin, wo kann man, was weiß ich. Also es war wirklich, es ist von vorne bis hinten total undurchsichtig. Das zeigt halt auch, wie wichtig so eine Dokumentation ist.
Michael
00:13:18
Aber jetzt habe ich mal eine Frage, ich stehe ja auch öfters mal vor so Netzwerkschränken und so 19-Zoll-Racks, wo ein Switch-Panel nach dem anderen drin ist und da irgendwie tausend Kabel, wie Kraut und Rüben gesteckt wird, in den unterschiedlichsten Farben, da blickst du doch ohne Doku und ohne Papier oder wie orientiert man sich als ITler perfekt in einem solchen System? Ziehen und gucken, was nicht mehr geht.
René
00:13:45
Ja nee, ganz so ist es nicht. Also wir machen das so, wenn du ein Netzwerk hast, das du nicht kennst, dann ist es in der Regel so, du fängst erstmal an, wenn es keine Dokumentation gibt, dass du schon die Leitung misst, sind sie erstmal in Ordnung, damit du die Probleme ausschließt, du weißt dann auch genau, wohin sie führen. Das ist natürlich eine Menge Arbeit.
Michael
00:14:05
Ich wollte gerade sagen, dass die Arbeit, du musst quasi mit Dongles und mit irgendwelchen Adaptern die Ports hart kodiert, hätte ich fast gesagt, ausmessen.
René
00:14:15
Ja, das ist auf jeden Fall so, aber die Arbeit muss man sich machen. Hätte man es richtig gemacht von Anfang an, wäre das Problem nicht da gewesen. Spätestens der Elektriker hätte das ja zumindest schon mal dokumentiert, dann weiß man, wo das geht.
Michael
00:14:27
Grob wenigstens, ja.
René
00:14:28
Genau, aber an dem Standort ist das Witzige, es gibt nicht mal einen Elektroplan. Das muss man auch dazu sagen, also das macht es natürlich nicht leichter. Aber, ja, also die Arbeit muss man sich auf jeden Fall mal machen. Und dann wird einmal durchgemessen und dann wird wirklich eine Struktur geschaffen, das heißt, wie du gerade gesagt hast, am besten, also auch das habe ich da leider sehen müssen, dass die Tür, also die Kabel drücken von innen schon an die Tür, du machst die Tür auf und die fliegt dir schon quasi entgegen, weil die Kabel so den Druck...
Michael
00:14:57
Wie so ein Spaghetti-Topf kommt dir da einmal güllemäßig entgegen, ja.
René
00:15:01
Genau. Und das ist halt etwas, das ändern wir zum Beispiel, also das Erste, was wir machen, wie ich gerade gesagt habe, ist dieses, wir messen erst, gucken, ob die Leitungen in Ordnung sind, dann bauen wir den Schrank schon entsprechend um, also du hast gerade ja gesagt, Patch-Panel-Switches sind drin, wir machen das halt immer so, dass wir ein Patch-Panel nehmen, darunter ein Switch, dann wieder ein Patch-Panel, das Ganze immer wieder im Wechsel, also Patch-Panel, Switch, Patch-Panel, weil das Gute ist halt, hast du ein 48-Port-Switch und zwei 24-Port-Patch-Panel, erklärt sich von selbst. Passt ziemlich gut, ja. Klar, wenn du die dann noch untereinander verkabeln musst, aber dafür hast du dann die Extra-Module, also die 48-Ports kannst du wirklich dann die Patch-Panel eben auf die Switches leiten, klar, wenn du dann da irgendwie Telefone oder so separat haben willst, dann musst du natürlich da noch ein bisschen was machen, aber, und dann kommt nämlich das Entscheidende, du kannst dann, die Farben wählt man nicht nach dem, was ich gerade im Koffer habe oder so, nimmt man schon je nachdem, was man macht, ob es dann Access-Points sind, die man separat irgendwie markieren möchte, es gibt ja alle Farben bei Kabeln, oder wir zum Beispiel nehmen für kritische Sachen am liebsten so rote Kabel, also sprich Firewall, Server, das sind so diese kritischen Dinge im Netzwerk, wo wir wirklich sagen, okay, da müssen jetzt andere Kabel ran, oder auch Gebäudeverteiler, dass man halt sieht, okay, da geht's wieder an den nächsten Verteiler ran, da nimmt man dann eine andere Farbe, weil es nicht ein kritisches System ist, aber wieder in der Verteilung, eine Unterverteilung, so kann man das dann markieren, dann weiß man nämlich sofort, da ist jetzt was, was man nicht eben so ziehen sollte, darauf zielt das Ganze ja, es bringt auch in der Regel nicht viel, wenn du 1000 graue Kabel hast, meinetwegen, das sind ja so die Standardfarben.
Michael
00:16:46
Ja, aber die sind günstiger.
René
00:16:47
Ja, genau, und dann hast du am besten noch ein so ein Papierlabel mal dran geklebt, das ist spätestens beim dritten Mal abgefasst ist es ab. So ein Dymo, einmal drum gebunden. Genau, habe ich schon 1000 Mal gesehen, irgendwann lässt der Kleber nach, dann ist das Label weg, dann hast du gar nichts gewonnen, deswegen ist die Kabelfarbe da schon ein gutes Werkzeug, um sich da zu behelfen. Und dann natürlich zu Papier bringen, und da fängt es an, und wenn es dann tatsächlich eine Excel ist, wo man dann eben schnell die Ports rein, erstmal, bevor wir uns falsch verstehen, aber, dass man eben die Ports aufführt und sagt, wohin führen diese Kabel, das wäre ja schon mal für den Schrank ein erster Schritt. Aber ja, die Zeit muss man sich nehmen, das ist einfach so.
Michael
00:17:31
Genau, ja, aber die Zeit, die du dir dann nimmst, spart dir ja im Nachgang einen Haufen Zeit. Definitiv. Weil, wenn du dann in eine Fehlersuche reingehst, in eine Analyse, Umbau, Erweiterung, etc., pp., und du hast es dann einmal sauber wegdokumentiert, und kannst auf die aktuelle Dokumentation zurückgreifen, dann sparst du dir halt hinten raus den Rattenschwanz an Zeit. Das ist ja Klassiker.
René
00:17:55
Also auch da, das mit dem Zeitmanagement, was man dann hinten raus, oder mit der Zeit, die man dann hinten raus gewinnt, auch da, also ich war da, das war erstmal nur eine Besprechung, eine Besichtigung, Besprechung. Ich kann dir sagen, wir haben uns den Standort knappe sieben Stunden angeschaut, keine Dokumentation oder so gemacht, auch nichts inhaltlich schon geändert, sondern einfach erstmal begutachtet, was da alles so vor Ort ist, und gutes Beispiel, unter der Decke, das war eine Halle dann, unter der Decke ist ein Accesspoint montiert, und der führt mit einem kurzen Kabel auf eine Netzwerkdose. So. Diese Netzwerkdose natürlich nicht beschriftet, dann haben wir am Hauptverteiler geguckt, nichts erkennbar, keine Ahnung woher, also POE hat er gekriegt, konnte aber keine Adresse liefern, dementsprechend keine Ahnung, wohin er führt, geht nur durch Messen, haben wir, wie gesagt, an dem Tag nicht gemacht. Das Witzige ist halt, dann kam eine Person und sagt dann, ja hier, komm mal einmal mit, ich zeig dir mal was, und dann gingen wir in einen Nebenraum, und dann hängt da noch ein kleiner Schrank mit einem Switch, der eben eine Unterverteilung von der Hauptverteilung war, den Switch neu gestartet, zack, war die IP-Adresse da, das hätte ich nie gefunden, weil das ist nämlich kein Technikraum oder so gewesen, das war halt ein Lagerraum. Klar, man geht durch, aber am Ende des Tages, auch ohne Beschriftung, selbst hätte ich ihn gefunden, ich hätte ja nicht nachvollziehen können, dass das Kabel da hingeht.
Michael
00:19:30
Das ist wieder das Thema, wir hatten mal, das klingelt gerade bei mir, wir hatten einen Podcast zum Thema Schatten-IT, und auch hier wieder, wenn es von der IT, von der IT zertifizierte, von der IT freigegebene, von der IT organisierte, saubere Switche sind, sind die meistens heutzutage managt, sodass du die identifizieren kannst und kannst mit den Dingern arbeiten, aber wenn irgendeiner irgendwo so einen günstigen Switch dazwischen hängt, der eben nicht managt ist, das siehst du erstmal nicht, da rennst du dich tot.
René
00:20:00
Ja, also an der Stelle, okay, die Switches waren gemanagt, Problem ist halt, letztes Update 2017, so, damit ist das Thema auch durch, also das haben wir dann im Nachhinein festgestellt, dass Updates auch nicht eingespielt wurden und so. Das sind halt so Dinge, die kommen dann einfach dazu, und da merkt man halt, auch da, warum wurden sie nicht geupdatet? Weil keine Dokumentation wahrscheinlich auch gemacht wurde, weil irgendwann war ein IT-Dienstleister da, warum hat er es nicht gemacht?
Michael
00:20:28
Aber in 2017 war die IT-Security-Welt noch eine viel bessere. Lass die doch auf dem Stand, vielleicht sind die nur schlechter geworden durch aktuelle Updates.
René
00:20:36
So, nächstes Thema. Nein. Ist halt, aber da merkt man halt, wenn auch die Hardware ist veraltet und so weiter, also da spielt halt vieles eine Rolle, aber das kriegst du ja nur mit, wenn du eben das Asset-Management und so weiter alles hast. Sonst kannst du ja, wie will irgendein ITler irgendwann mal feststellen, wie alt die Hardware ist, wenn er da nicht wirklich einen Blick drauf hat?
Michael
00:20:58
Ja, also wie alt die Hardware ist und wie will ein ITler einen anderen ITler mal ersetzen oder ihn supporten oder ihm helfen, wenn es halt nur der ITler im Kopf hat und da sonst keine Dokumentation vorliegt.
René
00:21:10
Soll ich dir sagen, wie die Dokumentation aussah, als wir da ankamen? Wir haben fünf IP-Adressen gekriegt, die quasi die Switches dargestellt haben und ein Benutzername, ein Kennwort. Admin, Admin. Nee, nee, nee, nee. Also es gab ein Benutzername, ein Kennwort, das sollte netzwerkweit passen. So, dann hat da jemand viele VLANs draufgelegt, also wir haben insgesamt fünf oder sechs gefunden, die irgendwie alle nicht in das Netz gezeigt haben, wo die Switches sitzen. Das heißt, wir haben keinen Zugriff darauf bekommen. Also es ist eine super Geschichte gewesen. Ja, steht uns noch bevor, aber das ist jetzt wirklich mal nur so ein Paradebeispiel dafür, wie es eigentlich echt nicht laufen sollte. Da sollte man, ja. Also da, es ist halt, es gibt viele Dinge, wofür eben die Dokumentation extrem wichtig ist und es kann halt wirklich Krankheit sein, also vorhin hatten wir über Urlaub gesprochen, aber es kann ja auch sein, dass jemand krank wird und lange ausfällt. Es kann auch ein Wechsel im Personal sein. Wenn genau dieser ITler sagen sollte, hier, ich verabschiede mich jetzt und habe ich einen Nachfolger, habe ich natürlich ein Problem. Cyberangriffe, wie soll es einer nachvollziehen, wenn man die Zusammenhänge nicht versteht?
Michael
00:22:29
Und auch hier mal ganz kurz, wenn ich von der Geschäftsführerseite drüber gehe, auch dafür ist es wichtig. Weil wenn sich mein ITler sehr stark verselbstständigt und wenn mein ITler sehr viel Königswissen anhäuft und die Dokumentation nicht so ist, dass theoretisch ein Anderer hinkommt, hat der ITler, nennen wir es mal vorsichtig, eine sehr gute Basis und Grundlage für weitere Gehaltsverhandlungen. Und da sollte man sich als Geschäftsführer auch Gedanken darüber machen und das Interesse haben, dass, ich will jetzt nicht sagen, dass jeder ersetzbar ist, aber sich mal darüber Gedanken zu machen, inwieweit er sich in die Abhängigkeit seines ITlers, IT-Dienstleisters, IT-Admins trifft, das tut dem Unternehmen nicht gut, von beiden Seiten nicht.
René
00:23:12
Ja, man sollte immer fair miteinander umgehen. Genau.
Michael
00:23:16
Aber Thema fair, lass mal gucken, was in so eine IT-Dokumentation wirklich reingehört und wie man sowas sinnvoll aufbaut und wie man das tut. Und ich glaube, am wichtigsten sind so drei Dinge, worüber wir reden. Immer verstehen, wiederherstellen und entscheiden. Das sind so, wenn ich über IT-Dokumentation nachdenke, ich muss es verstehen können, ich muss wiederherstellen können und ich muss Entscheidungen treffen, oder?
René
00:23:42
Ja, das ist so, also wir könnten jetzt mal genau diese drei Dinge nehmen, die du jetzt genannt hast. Bleiben wir mal als erstes beim Verstehen. Ich glaube, was ganz wichtig ist, also wir sprechen ja bei einer Netzwerk-Doku, ich hatte ja vorhin gesagt, man geht eigentlich immer davon aus, dass es nur Kleinigkeiten sind. Nehmen wir mal jetzt einfach schon mal einen Netzwerkplan, damit ich einfach schon mal erst mal visuell etwas vor mir habe, mir vorstellen kann, wie ist das Netzwerk aufgebaut und das einmal physisch darzustellen und vor allem auch logisch. Das heißt, für jemanden, der es noch nicht so gehört hat, also physisch ist ja wirklich, was habe ich da stehen? Ich kann mir zum Beispiel einen Windows-Server, also einen Server hinstellen, da ist ein Windows-Server 2025 drauf und ich würde dann darauf virtualisieren. Das heißt, ich habe einen physischen Server, aber also logisch habe ich aber eigentlich 4, 5 da stehen. Also dafür ist das halt auch wichtig, dass man das auch visualisiert und sich vor Augen halten kann, was ist es eigentlich? So, als nächstes Systemübersicht, da hatten wir aber gerade drüber gesprochen, das ist ja genau dieses Asset Management, wovon immer gesprochen wird, also Server, Rechner, welche Dienste laufen da drauf, welche IPs habe ich, welche Version vom Betriebssystem, welche Version vielleicht auch von Software an sich schon, einfach viele Dinge, damit ich auch da einen Überblick habe, weil auch veraltete Software ein Problem sein können, auch in meinem Lizenzmanagement und so, also es gibt viele Dinge, warum das eben auch wichtig ist.
Michael
00:25:19
Wenn ihr Netzwerkpläne erstellt, wie weit geht ihr runter, wie tief steht der hier? Hört ihr beim Switch auf? Switch und dann nochmal die wichtigsten Komponenten, die dranhängen, also bis zu den Endgeräten. Bis zur letzten Dose, also bis in den Meetingraum rein.
René
00:25:34
Jedes Endgerät, also bis zum Endgerät tatsächlich geht es, man kann dann natürlich Gruppen daraus machen, also wir würden jetzt nicht jeden einzelnen Rechner mit 300 Rechner haben.
Michael
00:25:42
300 Rechner per Hotspot oder was drin hast.
René
00:25:45
Also dann wird halt einfach nach Gruppen nochmal zusammengefasst, wo man dann einfach sagt, okay, das ist jetzt die kaufmännische Abteilung, das ist jetzt der Vertrieb, das ist jetzt das Marketing, weil die unterschiedliche, aber auch nur dann, wenn es Sinn macht, also das heißt, wenn ich unterschiedliche Berechtigungen, unterschiedliche Zugriffe irgendwie darauf habe oder von denen aus, wo es wirklich entscheidend ist, sie unterschiedlich zu dokumentieren. Wenn nicht, ja, dann kann man einfach eine Endgerätegruppe erstellen quasi und sagen, da liegen sie alle drin. Aber ja, bis aufs Endgerät runter ist auch wichtig, damit man halt auch an der Stelle sieht, welche Endgeräte haben wir wirklich im Einsatz. Also man wird nicht in der Regel nur Desktop-PCs haben, sondern Tablets, Smartphones. Alles, was so das Herz begehrt und dementsprechend gehen wir da schon recht weit ins Detail.
Michael
00:26:34
Aber dabei, wenn ich die Kabel einmal erfasst habe, also Switcher inventarisiert habe, die Kabel weiß, wo was steckt, kann ich aber doch auch Scanner drüber laufen, die mir ein Stück weit schon da helfen bei. Da kannst du dir nachher eine Unterstützung holen. Logischerweise wird ein Scanner-Netz sagen, welche Kabelfarbe da jetzt dran hängt. Aber wenn du einmal das Netzwerk von der Struktur da hast, hast du ja auch Scanner nachher, die dir bei Unterstützung können, können dir ein Netzwerk planen, ein Stück weit helfen bei der Erstellung, bei der Visualisierung.
René
00:27:02
Du kannst ihn sogar automatisiert laufen lassen. Das gibt es mittlerweile. Allerdings, das ist natürlich mit Vorsicht zu genießen, funktioniert nicht optimal. Es gibt aber gute Tools, wo man schon so einen guten Ansatz bekommt. Und ich würde auch, also wenn wir wissen, das Netzwerk ist so und so aufgebaut, dann holen wir uns die Informationen zu den Endgeräten natürlich automatisiert. Also das macht keinen Sinn, rumzulaufen und das alles von Hand zu machen. Das kann man vielleicht mal machen, wenn man sehr ins Detail muss und auch wirklich mit jeder Person mal in Kontakt kommen will, die da dran sitzt.
Michael
00:27:35
Einfach mal einen Spotcheck machen, dass man mal so ein paar Prozent ausguckt, ob das Scanner sauber funktioniert hat. Richtig.
René
00:27:42
Da würde ich schon recht detailliert rangehen, weil man da halt den optimalen Überblick bekommt. Ja, und wenn man das eben hat, dann würde ich auf jeden Fall zu Abhängigkeiten übergehen, also wirklich mal einmal zu dokumentieren, okay, ich habe jetzt eine ERP, die hängt halt von einem SQL Server auf XY ab. Das sind ja alles so Dinge. Oder ich habe ein Windows, also ich habe irgendwie, die Datenbanken sind meistens das Thema mit den Abhängigkeiten. Also wenn jetzt irgendeine Software nicht startet, kann es sein, dass die Datenbank nicht läuft. Oder ich habe halt eine ERP, die auf den Daten von einer anderen Software basieren. Das sind halt die Abhängigkeiten, die ich nicht klar habe.
Michael
00:28:25
Genau, und was halt auch wichtig ist, wenn wir über Abhängigkeiten reden und reden, wir haben eben gesagt, du hast eben über Server und hast Unterschieden zwischen physisch und logisch, dann sollte ich schon wissen, welcher logische Server mit welcher Datenbank, also welches ERP auf welchem logischen Server, auf welchem physischen Plate liegt. Damit ich weiß, die Software geht nicht und ich gehe mal in den Serverraum, welcher Server muss denn blinken, dass ich weiß, wo ist er denn jetzt wirklich drauf. Weil auch das, wir haben so viele, du eben schon gesagt hast, so viele virtuelle Laufsysteme laufen und so viele Server aufgebaut, die können ja alle auf einem Plate liegen. Und es gibt viele Firmen oder nicht wenige Firmen, die mehrere physische Server stehen haben, wo wieder mehrere logische Server drauf liegen, so dass man wissen muss und auf diesen logischen Servern läuft dann welche Software. Und du musst dann halt ganz sauber wissen, welche Software genau wo liegt, um halt eben auch Abhängigkeiten abzubringen. Und übrigens auch, wenn man kurz Informationssicherheit drüber springt, welches Risiko ich auf dem Server liegen habe und mit welchen Sicherheitsmechanismen ich jetzt den Server abdecken muss und muss den gucken. Brauche ich eine OSV, brauche ich ein zweites Netzteil, muss ich gegebenenfalls Ersatzteile vorhalten, welches Service Level, welches Austauschzeiten habe ich drinnen. Also alles das spiegelt sich ja dann auch in der guten IT-Struktur wieder, dass ich auf Basis dessen dann rüber, machen wir kurz rüber, zum zweiten Ding wiederherstellen, dass ich genau weiß, was will ich denn wiederherstellen und wo kann ich es denn wiederherstellen.
René
00:29:59
Du hast gerade ein Tool angesprochen, was man ja verwenden kann, um so einen Netzwerkplan zu erstellen. Wenn ich das jetzt vorgestern getan hätte, dann wäre was ganz Witziges passiert. Also eigentlich ist traurig, aber so im Nachhinein kann man es so ein bisschen als witzig bezeichnen. Hätten wir also einfach alles inventarisiert und hätten es über eine Software laufen lassen, wäre uns eine Sache absolut nicht aufgefallen. Wir wussten ja, steht da ein Server und wir wussten auch, es gibt einen 19-Zoll-Schrank. Jetzt ist es so, du kommst in den Serverraum rein, guckst, da ist der 19-Zoll-Schrank, hatte ich ja gesagt, mit den tollen Kabelwirrwarr und allem drum und dran, aber einen Server hast du nicht gefunden. Pass auf, dann bist du in die Treppe hochgegangen und da steht der Server einfach so da. Im Staub. Kein Witz, ist genauso gewesen.
Michael
00:30:50
Unter der Treppe, zwischen leeren Cola-Kisten, Klopapierrollen und dem Rollwagen von der Putzfrau.
René
00:30:57
Das nicht, aber der 19-Zoll-Schrank stand direkt neben der Wasseranlage. Ich weiß nicht, wie die Regeln sind, vielleicht ist es nicht europaweit gleich, war nicht in Deutschland, also das muss ich auch dazu sagen, aber es war schon, also das eine oder andere da war schon interessant vor sich zu genießen, also interessant. Genau, aber du hast auf jeden Fall Recht, also um den Bogen wieder zu dem zu spannen, was du gerade gesagt hast, ja, dieses Verständnis, was man hat, gehört auf jeden Fall auch wieder, also was man dann erlangt, gehört auch wieder in diese Wiederherstellungsstrategie. Ob es dann eben Backup ist oder Wiederanlaufpläne, da hatten wir ja jetzt über die Notfallpläne und sowas schon mal drüber gesprochen, ist ja so, also man kann diese Sachen einfach nur definieren, wenn man auch wirklich im Kern versteht, was man da gerade hat. Alles andere wird nicht funktionieren, auch kritische Systeme und Ansprechpartner. Warum sollte ich mir die notieren, wenn ich gar nicht weiß, dass ich deren Sachen einsetze?
Michael
00:32:02
Ich wollte es gerade sagen, du musst ja wissen, welches System kritisch ist, und du musst wissen, um es wirklich ganz banal zu sagen, du musst erst schon mal klar sein, welchen Server habe ich physisch gekauft? Was kann der? Welcher Hersteller? Und welche Serviceleistung habe ich mit dem Server erworben? Meistens hängt da ja ein Servicevertrag hinten dran mit einer gewissen Reaktionszeit, mit einem gewissen Dienstleistungsvertrag, mit einer gewissen Austauschzeit, ich meine hast HP, Dell oder Terra oder was auch immer, die garantieren dir, innerhalb von sechs Stunden habe ich einen neuen Server da stehen, wenn die Hardware crasht, oder eben innerhalb von drei Wochen, um es mal blöd zu machen. Wenn du das weißt, dann kannst du, und du weißt, welche virtuelle Maschine, wir wiederholen uns, welche virtuelle Maschine draufläuft, und du dann weißt, welche Software auf dem System läuft, dann weißt du eben, ich habe einen Server gekauft bei Firma XY, auf dem Server hängt ein Wartungsvertrag drauf, mit einer Reaktionszeit von sieben Tagen, dann darf da halt eben keine Software liegen, die hochkritisch ist und die muss 7.24 verfügbar sein. Dann muss ich mir andere Gedanken machen. Entweder ziehe ich das Servicelevel vom Server hoch, oder ich kaufe mir einen anderen Server, oder ich habe vielleicht woanders einen Server, der eine höhere Verfügbarkeit hat, mit einem anderen Servicelevel, dann muss ich es umziehen virtuell. Aber alles das kriege ich nur bewertet und nur gemacht, wenn ich meine IT dokumentiert habe und weiß, wo was liegt.
René
00:33:28
Und ich würde auch noch einen Schritt weiter gehen, du hast gerade gesagt, okay, gucken, wie lange Garantie und so weiter ist. Ich würde auch immer noch mit berücksichtigen, gerade bei einem Server, wie lange hält der Hersteller auch wirklich Ersatzteile für diese Hardware bereit. Auch das ist ja ein Thema, wenn ich mir den relativ zum Ende des Lebenszyklus hole, also wenn das Produkt irgendwann beim Hersteller ausläuft, und ich hätte dann nur zwei Jahre, drei Jahre wirklich eine Garantie darauf, dass ich Hardware bekomme.
Michael
00:33:56
Kritisch. Ja, aber das sind Dinge, die ich in der Kaufentscheidung treffen muss, wenn ich einen Server kaufe.
René
00:34:04
Du würdest jetzt ein Netzwerk übernehmen und weißt, der hat noch Garantien, musst du aber ja trotzdem schon gucken, kann ich denn im Zweifel noch was bekommen? Weil du bist ja dann in dem Augenblick derjenige, der das sofort machen muss.
Michael
00:34:17
Ich wollte gerade sagen, bleib mir bei deinem Beispiel, weil das ja glaube ich ziemlich passend ist, wenn ihr die IT-Struktur übernehmt und inventarisiert, ihr müsst natürlich wissen, welche Systeme laufen auf welchen Servern und welche Garantiebedingungen und welche Ersatzteilversorgung liegt auf dem Server, um dann entscheiden zu können, was werfe ich als erstes raus, was ist kritisch, wo muss ich mal beobachten gehen. Ganz klar.
René
00:34:42
Genau, aber dann, du hast es ja gerade schon angeschnitten, ohne es zu sagen, man muss dann auch Entscheidungen treffen können und das passiert halt genau mit den Dingen, die man vorher gesammelt hat. Ich hatte das ganz zu Anfang gesagt, Lizenzmanagement ist ja ein Thema, auch Lizenzen darüber, also die müssen auch dokumentiert werden und auch da kann ich Laufzeiten, also die Laufzeiten müssen dokumentiert werden und erst anhand dessen kann ich ja dann entscheiden, welche Lizenzen sind notwendig, also welche muss ich verlängern, damit ich jetzt nicht außerhalb des Supports komme oder welche Lizenzen brauchen wir überhaupt noch, weil sie vielleicht gar nicht mehr im Einsatz sind, aber wir werden seit Jahren einfach mitbezahlt, auch das habe ich alles schon erlebt, weil sich halt keiner in der IT auskennt und sich dann, also in dem Unternehmen dann die IT nicht in die Tiefe kennt und einfach sagt, okay, Hauptsache es läuft und wir laufen dann nicht Gefahr, dass da irgendwas ausfällt. Dann wird es einfach mitbezahlt. Verträge, Wartungen hast du gerade auch gesagt, das ist genau das Gleiche. Ja, klärt sich von selbst, Verantwortlichkeiten hatten wir auch gerade gesagt, halt wirklich mal für sich einfach klar zu haben, okay, wenn es jetzt darum geht, dann kann ich jetzt entscheiden, der muss da jetzt aktiv werden und ich was weiß ich wer. Oder ich kann die Verantwortlichkeit anhand dessen überhaupt auch erstmal übertragen.
Michael
00:35:58
Ja, oder wenigstens erstmal definieren. Du siehst was und du nimmst was in Betrieb oder du übernimmst irgendwas und bist bei einem Server und siehst von dem Server irgendwo, nur so ein kleiner Aufkleber drauf, wie Powered by, ja, Surfcom oder Powered by whatever, irgendwas und dann ist natürlich klar, wenn ich sowas übernehme, dann frage ich mal an, bist du überhaupt noch der Ansprechpartner, weil wir hatten das eben, weil da oben, wo wir die Diskussion hatten oder wo wir gesagt haben, wir reden mal über Notfallpläne und ich will mir im Notfall keine Gedanken machen müssen. Genauso ist das auch, wenn die Kiste steht und hinten kommt der schwarze Qualm raus, weil das Netzteil abgestorben ist und weil irgendwas ist und ich brauche Ersatz und ich brauche jemanden, der mich hat, wer technisch supportet, dann will ich nicht anfangen und will mir Gedanken machen, wen rufe ich denn jetzt an, sondern dann steht da eine Telefonnummer drauf oder dann ist so ein Ding drauf, das funktioniert, da spricht einer mit mir und der sagt dann nicht, ja, das letzte Mal hatten wir vor sechs Jahren Kontakt, wie Sie es gekauft haben, Ihre Serviceverträge wollten Sie nicht verlängert haben, wir haben dafür nichts mehr, wir sind eigentlich nicht mehr zuständig, wir können aber gerne, wir schicken Ihnen mal ein Vertragsangebot und einen Vertragsentwurf und ein Angebot unserer aktuellen Preisliste rüber. Das sind genau die Punkte, die will ich dann ganz genau nicht haben, der andere freut sich, der reibt sich die Hände, weil wir in einer Situation drin sind, wir können nicht anders, aber wir müssen reagieren, dementsprechend wird er sehr wahrscheinlich sein Angebot gestallt und das will man halt einfach nicht haben, sondern man will vorbereitet sein, wenn etwas passiert.
René
00:37:26
Genau, also du hast es ja schon mal in einer anderen Episode gesagt, wichtig ist, dass man soweit vorbereitet ist, dass man sich nicht in eine Situation drängen lassen muss, das stelle ich jetzt gerade genau an, also in guten Zeiten sollte man eine Entscheidung treffen, damit man in schlechten Zeiten keine Situation hat, die man nicht will.
Michael
00:37:42
Keine mehr treffen muss, genau, das ist dann vorgegeben, was wir haben.
René
00:37:46
Genau, und der letzte Punkt, worauf wir halt wirklich Entscheidungen treffen können oder die zu Entscheidungen führen können, ist halt einfach, change the story. Also, dass man einfach sich auch mit dokumentiert, was wurde denn geändert, was sind die letzten Änderungen, die wir gemacht haben, weil in der IT ist es wie bei, ich sag mal, wenn du dein Haus kaufst, du fängst vorne an, kommst irgendwann dann mal hinten an, ja, dann fängst du vorne wieder an. So ist es halt in der IT auch, logischerweise durch den Lebenszyklus, der ja irgendwann dann mal zu Ende ist, auch da, also man muss ja erst mal wissen, was haben wir jetzt zuletzt gemacht, auch wenn es Probleme gibt. Ich kann ja nur, also das ist ja das Einfachste, was geht, wenn ich sehe, die letzten Änderungen, die wir gemacht haben, waren dann und dann und seitdem haben wir auch die Probleme, die jetzt so nach und nach auftreten, ist es ideal, wenn man sowas hat.
Michael
00:38:43
Ja, und das Ganze dann bitte so, auch das wieder, wir hatten das gestern beim Vortrag, die Übersetzung ITler, Deutsch, Deutsch, ITler, das dann auch bitte so geschrieben, dass ein Nicht-Nerd, der 724 mit beiden Armen im System hängt, versteht, was gemeint ist und das zumindestens im Ansatz interpretieren kann und kann es deuten. Das finde ich halt einfach super wichtig.
René
00:39:09
Ja, oder wie du halt schon mal gesagt hast, also eine Doku ist halt immer gut, wenn jemand Fremdes, also auch jemand Betriebsexternes oder der das System nicht kennt, das System aber wieder hochfahren kann, ohne den ursprünglichen Errichter, den Ersteller, dann anrufen zu müssen. Also es muss so gut dokumentiert sein, dass man damit arbeiten kann. Okay, so, dann kommen wir mal zum praktischen Teil. Wie baut man das am besten, also aus deiner Sicht, wie baut man es am besten so auf, dass es gut ist, und zwar, wenn man bei Null startet.
Michael
00:39:50
Das ist ja, ich glaube, wie wir das jetzt in der letzten halben Stunde schon immer mal wieder gesagt haben, hier nochmal zusammengefasst, ich fange ganz klassisch an mit einer Bestandsaufnahme. Ich gehe durch die Systeme durch, ich gucke mir das auch in aller Ruhe an. Ich nehme mir Zeit, ich packe mir das an, welche Systeme existieren, was liegt wo, was ist kritisch an diesem System, hängt das ganze Haus, wenn alles fertig ist, an der Fritzbox mit einer 2-Leiter-Telekom- Leitung, wo das Kabel am Ende noch in irgendeiner TAE-Steckdose eingesteckt ist, und geht da die ganze Internetleitung drüber, oder, oder, oder. Das heißt, ich nehme echt wirklich mal eine saubere Zeit und gucke, was los ist, und mache eine ganz klassische Bestandsaufnahme. Das finde ich super wichtig, und dann kann ich entscheiden, was kritisch ist und was nicht. Und danach definiere ich einen Standard. Das heißt, ich sage, was hätte ich gerne, was will ich haben. Hier sind wir jetzt eher so bei dem Thema Server, erstmal Server-Hardware, beziehe ich alles von einem Hardware, streue ich vielleicht um Risikominimierung zu machen auf mehrere Hersteller, aber auch ganz wichtig ist, wenn wir mal einen kurzen Ausflug machen, und auch das ist IT-Dokumentation, welche Software will ich denn jetzt überhaupt eingesetzt haben? Möchte ich, dass jeder irgendwo irgendwas dokumentiert? Hier ist jetzt nur mal zu sagen, Unterschied Doku-Wiki, OneNote, Confluence, Teams-Kanäle, Planner, also es gibt so viele Tools, wo Informationen reinfliegen können, und da ist immer gut, ich habe eine vernünftige Dokumentation, wo ich Software aus dem Unternehmen definiere, und sage, was will ich und was will ich nicht. Das hatten wir auch schon in vorangegangenen Podcasts, dass wir immer mal über Software gesprochen haben, Hashtag Schatten-IT, und ich glaube, das ist wichtig.
René
00:41:37
Ja, vor allem, dass sie auch einheitlich ist. Also es ist, auch das habe ich leider schon öfter mal gesehen, dann hast du da, einer hat ein OneNote, im gleichen Unternehmen gibt es aber dann noch eine Ordnerstruktur, wo irgendwie dann die Handbücher drin sind, wo dann noch jeder seine kleinen Notizen mit eingefügt hat, genau das ist halt, wie eine Dokumentation nicht sein sollte.
Michael
00:41:59
Und auch die IT-Dokumentation nicht, auch die IT-Dokumentation sollte sich diesem Standard fügen und sich in diesen Standard mit reinbringen, damit die halt auch zu sehen ist. Ich spreche nur von IT-Dokumentation. Ja, ganz klar, ja. Ja, die Prozesse, das ist glaube ich auch nochmal ein Punkt. Das kommt danach, dass man dann einfach weiß, am Ende, das ist fast die Kür zur Pflicht oben drauf, dass ich klar sage, wer kümmert sich um was, wer schaut sich die Server mal an, wer pflegt, wann, wie, welcher Rhythmus, was kann ich vielleicht automatisieren, was kriege ich mit meinen automatisierten Scans hin, um einfach eine fortlaufende Überwachung meines Inventars zu haben und weiß, was ich machen muss.
René
00:42:49
Genau, und das ist extrem entscheidend. Eine Dokumentation, also ich sehe das selber, ich bin ja jetzt nun mal seit 2008 hier im Unternehmen und unsere Dokumentation hat sich über die Jahre extrem gewandelt, also sie wird immer umfangreicher, das ist auch gut so, also ich stehe da wirklich voll hinter, aber es ist halt sehr wichtig, dass man versteht, eine Dokumentation lebt. Was ich heute dokumentiere, muss erstens in fünf Jahren nicht mehr richtig sein und muss auch zweitens in fünf Jahren nicht mehr ausreichend sein. Also da müssen wir auf jeden Fall, du kannst halt nicht starr sagen, okay, ich erstelle mir jetzt mein Word-Dokument, leg das dann als PDF ab und dann kann ich das die nächsten 20 Jahre nutzen. Nee, so ist es nicht. Und so ein Dokument, was irgendwo liegt und nicht mehr gelebt wird, das ist auch einfach unnötig.
Michael
00:43:38
Jetzt kommt der Informationssicherheitsrisiko und Kram und hast du nicht gesehen, Manager in mir ganz kurz raus, natürlich, wenn es nicht gepflegt wird und wenn es in der Ecke liegt, gibt es den Grund, dass ich es irgendwann wegwerfe. Das ist ganz klar, das hilft mir nichts mehr. Aber ich bin auch ein Freund davon, also das wieder ein Beispiel aus dem wahren Leben oder aus der Realität ist, ja, wir haben einen Notfallplan, super toll, wir haben die Notfallpläne fertig, wir wissen, wen wir anrufen, wir haben alles fertig, wir haben Wiederanlaufpläne, wir haben alles. Sag ich, super, wo habt ihr es denn? Auf dem Server liegen. Sag ich, hier BIA, genau, du lachst schon, danke, hier BIA, was passiert, wenn der Server abbraucht? Also, es gibt immer mal so Dinge, das darf man tun, wie man will. Es gibt Kollegen, die schwören darauf, sich ein gewisses Grad an Dokumentation auszudrucken und es in die Schublade zu legen. Es gibt Unternehmen, die haben noch so schwarze Bretter, wen rufe ich wann an? Da gibt es immer so die Dinge, Verhalten im Brandfall und was tue ich? Wer ist mein Durchgangsarzt? Da hängt dann halt irgendwann auch noch mal die Telefonnummer vom IT-Retter oder von dem, der dann entsprechend anzurufen ist. Alles cool, aber muss jeder so für sich einen Weg finden. Wichtig an dieser Stelle ist, wenn ich eine Risikobewertung mache und mache mir Gedanken, wo habe ich die Dokumentation für meinen Notfall liegen, muss ich mir auch mal Gedanken machen, wenn der Notfall ist, da wo sie liegt, komme ich nicht mehr dran, habe ich eine andere Möglichkeit. Liegt es auf irgendeiner Cloud, liegt es auf dem USB-Stick, liegt es in der Schublade, vollkommen egal. Es muss verfügbar sein und es muss klar sein, wo es liegt.
René
00:45:12
Ja, genau. Und es muss für alle klar sein, nicht nur für die eine Person, die dann nachher dafür verantwortlich war, das zu erstellen.
Michael
00:45:22
Es liegt in dem Dressort der IT-Abteilung.
René
00:45:25
Oder in so einem verschlossenen Schrank.
Michael
00:45:29
Aber das Passwort hat nur die IT-Admin. Genau. Das ist ja das Gleiche.
René
00:45:34
So, lassen wir ehrlich sein, die meisten Unternehmen merken ja eigentlich erst im Ernstfall, was sie hätten dokumentieren müssen und dass eine Dokumentation wichtig ist.
Michael
00:45:46
Ja, das ist halt so. Du kannst dich halt auch nur in einem gewissen Maß von dem ganzen Graben vorbereiten. Das ist ein gutes Risikomanagement, aber grau ist alle Theorie. Murphy findet immer noch andere Wege, wie ich mir überlegt habe. Das heißt, ja. Aber dann ist aber auch der dümmste und schlechteste Zeitpunkt, wo du das merkst, was du vergessen hast zu dokumentieren. Absolut. Und wenn du überhaupt was hast, hast du schon mal was. Und vielleicht hast du ein Szenario bedacht und eine Idee, die überlegt und was in der Schublade, was wenigstens am Anfang da schon annähernd auf das Szenario passt, womit du arbeiten kannst.
René
00:46:29
Ja, also das war jetzt nur ein Beispiel.
Michael
00:46:33
Ja, Serververschlüssel. Das wäre so ein Beispiel. Das hatten wir ja gerade gebracht. Du kommst morgens an die Firma, hast einen Cyberangriff, die Server sind verschlüsselt, die Server sind offline, die ganze Kiste steht. Und dann greifen genau die Themen, die wir vorhin besprochen haben.
René
00:46:50
Es gibt ja noch mehr. Nehmen wir mal klassisch. Darüber haben wir nämlich auch schon gesprochen. Mein Mitarbeiter verlässt jetzt das Unternehmen. Plötzlich tauchen irgendwie meine Abrangkonten im Internet auf. keine Ahnung. Am besten noch von Accounts, von denen du nicht mal mehr bewusst bist. Das kommt ja noch dazu.
Michael
00:47:08
Er hat für die IT-Dokumentation sich irgendwann mal ein Software-as-a-Service-Tool irgendwo gekauft. So eine Free-Version von irgendwas. Dann hat er alles drin gehabt.
René
00:47:16
Und da liegt die Doku drin.
Michael
00:47:17
Ja, genau.
René
00:47:19
Lizenzen laufen ab, Passwörter fehlen halt. Ja, also das ist... Ja.
Michael
00:47:25
Und dann hast du halt nächstes Mal. Das ist halt diese typische Frage, die du so oft hast. Hätte ich mal was getan? Hätte ich mir mal vorher gedacht? Hätte ich das gewusst, hätte ich mir vorher gedacht. Das sind immer so die Sachen. Das ist aber überall so. Hier an dieser Stelle ist halt wirklich unser Rat. Macht euch da echt mal in eurem Unternehmen Gedanken und dokumentiert es wirklich. Ich weiß garantiert, wenn uns die ein oder zwei Admins hier zuhören, die haben das im Kopf. Die wissen grob, wenn da was abbraucht, wenn da was steht, wenn da was ist. Die wissen, welche Schraube sie drehen müssen. Die wissen, wen sie anrufen müssen. Das haben die alles im Kopf drin. Schreibt's mal auf Papier. Bringt's mal so rein. Das ist auch nicht, auch hier nochmal was. Das ist auch, das hatten wir glaube ich, das letzte Mal hatten wir das über die IT hatten wir ja auch schon einen Podcast gehabt. Das ist hier auch wieder kein Königswissen, was ihr für euch behalten müsst, um den Arbeitsplatz zu sichern. Ihr seid so wertvoll fürs Unternehmen. Ihr habt so viel, was ihr fürs Unternehmen bringt. Wenn ihr eine vernünftige IT-Dokumentation auf Blatt Papier kann, heißt es nicht, juhu, jetzt wissen wir, wie es funktioniert. Wir brauchen den ITler nicht mehr. Schwachsinn, sondern es unterstützt euch und macht euren Kopf frei für wichtige Dinge und schreibt das auf Papier drauf.
René
00:48:40
Ja, man muss ja auch einfach ganz klar sagen, wenn die Dokumentation einmal vollständig steht, passiert einfach einmal etwas, passiert auf einmal etwas, womit man eigentlich nicht gerechnet hat. Was, du vertraust deiner IT auf einmal oder was? Das hoffe ich ist schon vorher passiert, aber die IT gewinnt Zeit. Also man meint ja immer, okay, das Dokumentieren nimmt mir so viel Zeit weg, aber eigentlich gewinnt man dadurch nur Zeit. Das ist schon...
Michael
00:49:04
Ja, weil halt so Routineaufgaben verschwinden und du so weniger Gedanken machen musst, wo was ist. Du hast es halt einfach klar strukturiert und das hilft halt. Und da hilft auch für die Strukturierung ITler, wenn es da ein cooles Tool für gibt, wo ihr andere Leute drauflassen könnt, macht das, wie es für euch am wichtigsten ist. Ihr müsst euch da nicht zwingend erforderlich in irgendein PowerPoint oder in irgendein Word oder in irgendwas reindrücken lassen, wenn ihr das nicht wollt. Das ist schon so. Ihr dürft mit dem Tool arbeiten und ihr könnt euch das raussuchen, was für das Unternehmen am besten ist. Wenn ihr ein Wissensmanagement habt, wir haben eben schon über Konfluenz und Co gesprochen, ist das, glaube ich, der ideale Ort für sowas.
René
00:49:40
Also, kann ich auch außer Praxis erzählen, ich bin ja jetzt, habe ich vorhin schon gesagt, knapp zwanzig Jahre, fast zwanzig Jahre hier. Und unsere Dokumentation, habe ich vorhin auch gesagt, sah einfach sehr rudimentär aus, sehr. Und ist halt fast zwanzig Jahre her. Aber es ist halt so, über die Jahre, man hat es dann immer wieder gemerkt. Und auch heute an der einen oder anderen Stelle muss man immer wieder fairerweise sagen, dann hast du das irgendwo notiert. Ach, jetzt finde ich es gerade so schnell nicht. Wir erfinden uns natürlich auch immer wieder neu. Wir dokumentieren schon extrem viel, aber es wird immer granularer, immer feiner gehen wir in die Systeme rein. Und das ist halt genau das. Also, man wird definitiv Zeit gewinnen. Und auch das, wir sind ja externer Dienstleister, nehmen wir mal an, jetzt das Unternehmen würde den Dienstleister wechseln. Aus welchen Gründen auch immer.
Michael
00:50:43
Wir finden nicht mehr zusammen.
René
00:50:44
Ist passiert. Der Kunde möchte jetzt gerne den Dienstleister wechseln. Mit was in der Hand würde denn losgehen, wenn wir nicht dokumentiert hätten?
Michael
00:50:53
Ja, und vor allen Dingen, wie würde es dann aussehen, wenn ihr keine Doku liefern würdet? Dann wäre ja das komplette Vertrauen der letzten Jahre weg in die Zusammenarbeit.
René
00:51:01
Na ja gut, wenn der sowieso wechseln will, das könnte mir egal sein. Aber ich meine, das ist mein Anspruch an mich selbst.
Michael
00:51:07
Genau, das ist der Anspruch an der Stelle.
René
00:51:09
Genau, aber so funktioniert auch nicht jeder. Ich meine nur, aber das ist ja, am Ende des Tages steht dem Kunden das zu, dem Unternehmen. Es erwartet so etwas ja von mir. Erwarten und bekommen sind auch immer noch zwei verschiedene Paar Schuhe. Aber am Ende des Tages finde ich sowas, und es ist ja auch nur gut für den Kunden. Die Dokumentation wird angefertigt, die ist vielleicht initial, kostet sie ein bisschen was. Aber ich meine, nehmen wir mal an, selbst beim Dienstleister, der Dienstleister rechnet auf Zeit ab. Das ist doch besser, wenn er nach fünf Minuten fertig ist und nicht nach einer halben Stunde.
Michael
00:51:43
Immer wieder. Ganz klar.
René
00:51:44
Das muss man halt auch ein bisschen dabei berücksichtigen. Wie du sagst, Vertrauen steht natürlich überall. Wir wollen ja mit allen partnerschaftlich arbeiten.
Michael
00:51:52
Ich habe halt auch, wenn ich aus der Praxis ein Sneekästchen aufmache, ich habe halt öfters, wenn ich als ISB, DSB, interne Audits mache, gucke mir Informationssicherheit an und hänge an dem IT-Lehrer dran und sage IT-Lehrer, hier, pass mal auf, hast du noch ein Backup-Konzept? Wie macht ihr das? Zeig mir mal die Toms. Also einfach mal so ein paar Fragen stelle und da reinkrieche und dann ist mir das als der Tealer natürlich wesentlich angenehmer, wesentlich einfacher und zeitsparender, wenn der mir sagen kann, jawohl, hab ich, liegt da und da. Jawohl, hab ich da, liegt da und da. Oder er sagt, pass auf, über die Geschäftsleitung, ich gebe euch einen Zugriff auf Konsulenz, lest euch durch. Wenn ihr Fragen habt, meldet euch einfach bei mir. Andersrum versau ich dem leider Gottes den Tag, wenn ich sage, wie macht ihr denn Backups? Und er sagt, machen wir, Backup, Backup haben wir. Aber das sagen auch alle. Super, Backup haben wir, super. Machen wir, super. Sag ich, was wird denn gebackupt? Alles. Wir backupen alles. Sag ich, wie oft? Regelmäßig. Und ihr wisst, wo ich hin will. Und dann sag ich dem, mach mal kurz, zeig mal, wie gehst du in die Systeme rein? Und wenn der dann keine Doku hat und fängt an zu schwimmen, dann versau ich dem natürlich den Tag, weil der was wesentlich besseres zu tun hat, wie beim Tag, wie irgendeinem zu erklären, wie seine IT funktioniert, wie er sich ausgedacht hat. Hätte er es auf einem Blatt Papier, hätte er es in einer dokumentierten Information, in irgendeinem System drin, dann wäre es wesentlich entspannender für beide Situationen. Also auch da ist Dokumentation schafft Freiraum, Klarheit, Transparenz und entspannt alle Parteien, die was wissen. Ja. Genau so ist es.
René
00:53:22
Michael. Ja, ich glaube, so im Allgemeinen haben wir alles einmal dargestellt. Oder was heißt im Allgemeinen? Nein. Wir haben alles nochmal einmal dargestellt. Ich würde gerne nochmal ein Fazit ziehen, damit wir einmal das kurz runterbrechen können. Also, fassen wir zusammen. IT-Dokumentation, glaube ich, ist klar geworden, ist einfach nicht eine Nebensache. Sollte halt wirklich die Grundlage dafür sein, dass man Risiken wirklich erstmal erkennen kann, sie beherrschen kann, Abläufe verbessern und wirklich auch also klar im Notfall handlungsfähig zu bleiben und auf der anderen Seite noch der IT also auch der IT selbst Zeit einzusparen.
Michael
00:54:01
Du kannst es auch ziemlich primitiv runterbrechen. Du kannst sagen, keine Dokumentation, keine Kontrolle, keine Kontrolle, keine Sicherheit. Co-Ambler sagt, was nicht geschrieben ist, ist nicht passiert. Ja, hast du es dokumentiert. Ja, hast du es nicht dokumentiert, hast du es nicht gemacht. Und das ist, glaube ich, so das, was hier auch so drauf trifft.
René
00:54:19
Ja, und was wenn man das nächste Mal halt denkt, oder jetzt mal so an die ITler gerichtet. Wenn ihr das nächste Mal denkt, ihr habt keine Zeit zum Dokumentieren, stellt euch einfach vor, es wäre das Backup. Wenn man das nicht macht und es wird mal ernst, da hat man vielleicht keine Zeit gehabt, aber danach hat man ein Riesenproblem.
Michael
00:54:41
Einfach machen. Auch das hier wieder Dokumentation ist ja kein Luxuskram. Das gehört in ein Projekt mit der Erfassung mit rein. Also es heißt nicht, ich bin im Projekt in drei Tagen fertig und dann brauche ich noch zwei Tage für die Doku, sondern das Projekt dauert fünf Tage. Und nur so kriege ich das halt einfach hin und nur so schaffe ich auch für mich den Unterschied zwischen einem Chaos und einer Kontrolle oder Firefighting, in dem ich einfach sage, nach drei Tagen bin ich fertig, dann kommt der nächste schon wieder, weil mich irgendwas verplanen, weil ich sage, Doku geht später und dann komme ich doch wieder in irgendeinen Modus rein, den ich einfach nicht haben will, der für mich als Tealer und Unternehmen eben unkontrolliert ist. Und das ist so das Thema, das will ich nicht.
René
00:55:26
Das unkontrolliert, das sagst du gerade. Das ist halt wirklich so ein Ding, ich will es in der Hand haben. Ich will es selber in der Hand haben. Also ich will nicht irgendwie von Zufällen leben, sondern es muss halt alles... Sagen wir mal so, wir haben jetzt die letzten Male immer, ob es jetzt KI ist oder BI oder sonst was, wir sind immer wieder zu einem bestimmten Punkt gekommen, der mir gerade in den Sinn kommt. Wir haben immer gesagt, Fakten basiert. Ob einem das Ergebnis gefällt oder nicht, so sollte es in der Dokumentation auch sein. Das stellt das dar, was ich habe.
Michael
00:55:58
Ja, aber es bringt aber danach Langeweile, oder?
René
00:56:02
Nein, es wird nicht langweilig.
Michael
00:56:03
Es ist nicht viel spannender, als ein Tealer vor seinem Rechner zu gucken und zu gucken, was stirbt als nächstes oder was fällt aus und dann spannungsmäßig in den Spannungsbogen rein.
René
00:56:14
Ich weiß nicht, ob ich das mit 20 so gesehen habe, aber das sehe ich heute auf jeden Fall ganz anders. Ich auch. Ne, da muss man schon eine gewisse Sicherheit dran haben. Da macht das Ganze ja auch Spaß. Ich meine, ganz ehrlich, wenn man dann irgendwann mal von sich behaupten kann, hey, hier seit 10 Jahren haben wir das und ich habe das System einfach voll im Griff, es ist nichts passiert, einfach nur, weil ich so vorbereitet bin oder wenn was passiert ist, es war zumindest der der Ausschlag im Unternehmen so gering, dass es nicht so wild war, dann ist doch eigentlich genau das erreicht, was jeder haben will.
Michael
00:56:46
Das ist das, was wir in dem letzten oder vorletzten Podcast saßen, wie wir über die IT-Admins gesprochen haben. Solange der IT-Admin tiefenentspannt zum Kaffeeautomat geht und hat alle Ruhe drin, kann sich das Unternehmen sicher sein, es ist in guten Händen, es ist funktioniert. Das bedeutet nicht, dass der Admin nichts tut, weil er mal wieder zum Kaffee gehen kann oder dass er Langeweile hat, sondern das hat er einfach sauber unter Kontrolle. Hätte er Langeweile, würde er eine Doku schreiben. Ja, ist so.
René
00:57:15
Genau, so Michael. Ich würde sagen, damit haben wir es für heute.
Michael
00:57:19
Ja, würde ich auch sagen.
René
00:57:21
Eine Stunde haben wir fast. Und ich glaube, dass es wieder Freitag ist, investiert die restlichen vier Minuten gerne auf andere Weise.
Michael
00:57:30
In dem Sinne sage ich schon mal vielen Dank fürs Zuhören. Und wir hören uns in zwei Wochen wieder. Bis dahin. Macht's gut. Tschüss.
René
00:57:41
Ja, vielen Dank an die Runde. Vielen Dank, Michael. War mal was anderes.
Michael
00:57:44
War schön.
René
00:57:45
Können wir öfter machen. Von mir auch. Wir hören uns in 14 Tagen wieder. Bis dahin. Bleibt sicher. Bis dahin. Tschüss.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts