Support-Anfragen per E-Mail zu verwalten funktioniert bis drei Personen gleichzeitig antworten und niemand weiß wer was gesagt hat. Ein Ticketsystem löst das — und muss nicht teuer sein. Warum ein Ticketsystem Jede Anfrage hat: einen Verantwortlichen einen Status (offen, in Bearbeitung, gelöst) eine…
ITIL ist ein Rahmenwerk für IT-Service-Management das in vielen Unternehmen verwendet wird. Die Kernkonzepte sind praktischer als die dicken Handbücher vermuten lassen. Incident vs. Problem Das ist die wichtigste Unterscheidung. Incident: Ein ungeplantes Ereignis das den normalen Betrieb unterbricht…
Digitale Transformation ist eines der am meisten strapazierten Buzzwords der letzten Jahre. In Unternehmensbroschüren bedeutet es alles und nichts. Was steckt tatsächlich dahinter? Die Kernidee Digitale Transformation beschreibt den Prozess wie Organisationen digitale Technologien nutzen um Prozesse…
Was nicht gemessen wird kann nicht verbessert werden. Im IT-Betrieb gibt es Dutzende mögliche Metriken — die Kunst ist herauszufinden welche tatsächlich aussagekräftig sind. Warum KPIs KPIs (Key Performance Indicators) sollen drei Fragen beantworten: 1. Läuft der Betrieb wie erwartet? 2. Verschlecht…
Cloud-Migration ist kein Selbstzweck. Aber wenn der eigene Server-Stack wächst oder man Skalierbarkeit, Redundanz oder Managed Services will stellt sich irgendwann die Frage: was davon in die Cloud? Migration-Strategien Das 6R-Modell beschreibt verschiedene Herangehensweisen: Rehost (Lift & Shift): …
Software-Lizenzen sind rechtliche Dokumente. Wer sie ignoriert läuft in Probleme rein — besonders wenn Open-Source-Code in kommerziellen Produkten landet. Die wichtigsten Open-Source-Lizenzen MIT-Lizenz Darf verwendet, modifiziert und kommerziell vertrieben werden Einzige Pflicht: Lizenz und Copyrig…
Cloud-Begriffe werden oft als Marketing verwendet ohne klare Definition. Für technische Entscheidungen ist die Unterscheidung aber relevant — sie bestimmt was man selbst verwaltet und wofür man zahlt. Das Spektrum Auf dem einen Ende: alles selbst machen (eigene Server im Keller). Auf dem anderen End…
Ein Information Security Management System (ISMS) klingt nach ISO-27001-Zertifizierungen und riesigen Unternehmen. Die Grundidee ist aber simpler: Informationssicherheit nicht nach Gefühl betreiben sondern systematisch, dokumentiert und überprüfbar. Der PDCA-Zyklus ISMS basiert auf Plan-Do-Check-Act…
Die schlechteste Dokumentation ist die die nicht existiert. Die zweitschlechteste ist die die veraltet ist. Gute Dokumentation ist selten weil sie Disziplin braucht, keine Intelligenz. Was dokumentiert werden muss Nicht alles. Nur das was ein neuer Entwickler (oder man selbst in sechs Monaten) nicht…
Server-Updates laufen entweder nach Plan oder mitten in der Nacht als Notfall. Wer Change Management hat weiß vorher welche der beiden Varianten es wird. Was Change Management für Server bedeutet Nicht der Enterprise-Prozess mit wochenlangen Freigabe-Committees. Für kleine Teams: vor jedem nicht-tri…
Der Server läuft gut — bis er es nicht mehr tut. Wer erst merkt dass ein System zu klein ist wenn es unter Last kollabiert hat zu lange gewartet. Die wichtigsten Metriken beobachten Trends erkennen Einmalwerte sagen wenig. Trend über Zeit sagt alles. Mit Prometheus und Grafana automatisch: Predictio…
Wer nicht weiß was im Netz läuft kann es nicht absichern. IT-Asset-Management ist der erste Schritt zu einem kontrollierten IT-Betrieb. Was ITAM ist Systematische Erfassung, Verwaltung und Überwachung aller IT-Assets: Hardware, Software, Lizenzen, Cloud-Ressourcen. Klingt nach Enterprise-Bürokratie.…
Die meisten Passwort-Policies sind kontraproduktiv. Mindestlänge 8 Zeichen, Sonderzeichen, Großbuchstaben, alle 90 Tage ändern — und als Ergebnis bekommt man das alle Vierteljahr zu wird. Was NIST empfiehlt (seit 2017) Das NIST (National Institute of Standards and Technology) hat seine Guidelines üb…
Privacy by Design ist kein Nachgedanke. Es bedeutet Datenschutz von Anfang an in der Architektur berücksichtigen statt hinterher draufzukleben. Datensparsamkeit von Anfang an Bevor eine neue Spalte in der Datenbank landet: wird sie wirklich gebraucht? Schlechtes Beispiel: Wenn man nie anruft braucht…
Disaster Recovery klingt nach Enterprise-Thema. Für kleine Projekte ist es einfacher als man denkt und wichtiger als man hofft. Was DR bedeutet Der Server brennt ab. Die Daten sind weg. Wie lange bis alles wieder läuft und wie viel geht dabei verloren? RTO (Recovery Time Objective): Wie lange darf d…
KI-Tools sind 2024 in jedem Entwickler-Workflow präsent. Zwischen Hype und echtem Nutzen liegt Erfahrung damit was sie gut können und wo sie verlässlich versagen. Was gut funktioniert Boilerplate generieren: Repetitiver Code der einem bekannten Muster folgt. Migration-Skelett, einfache CRUD-Controll…
Agile-Methoden werden oft als religiöse Praxis zelebriert oder als bürokratisches Overhead-System missverstanden. Was dahinter steckt ist pragmatischer als es auf den ersten Blick aussieht. Warum Agile Klassische Wasserfallprojekte scheitern oft weil Anforderungen sich ändern bevor das Projekt ferti…
99,9% Uptime klingt gut. Bis man ausrechnet was das bedeutet. Die Zahlen | Uptime | Ausfallzeit pro Jahr | Ausfallzeit pro Monat | |--------|---------------------|----------------------| | 99% | 3 Tage 15 Stunden | 7 Stunden 18 Minuten | | 99,9% | 8 Stunden 45 Minuten| 43 Minuten | | 99,95% | 4 Stun…
Das BSI IT-Grundschutz-Kompendium ist ein mehrtausend-seitiges Dokument. Niemand liest das komplett. Aber die Grundprinzipien dahinter sind auch für kleine Projekte und Einzelentwickler relevant. Was IT-Grundschutz ist Ein Rahmenwerk des Bundesamts für Sicherheit in der Informationstechnik (BSI) für…
IT-Sicherheit hat eine konzeptionelle Grundlage die hinter jedem praktischen Sicherheitsentscheid steckt. Wer die CIA-Triade verinnerlicht hat trifft bessere Entscheidungen — auch wenn er sie nie explizit benennt. Die CIA-Triade Drei Schutzziele, alle gleichwertig: Confidentiality (Vertraulichkeit) …
Entwickler landen irgendwann in der Situation Projekte zu verantworten — mit Deadlines, Budget und Stakeholdern. Ohne Grundlagen im Projektmanagement werden daraus Lernstunden auf Kosten des Projekts. Was ein Projekt definiert Ein Projekt hat drei Eckpunkte: Das Dreieck: man kann zwei Seiten festhal…
Am 19. Juli 2024 um 04:09 UTC begann einer der größten IT-Ausfälle der Geschichte — verursacht nicht durch einen Cyberangriff, sondern durch ein fehlerhaftes Update des Sicherheitsanbieters CrowdStrike. Was passierte CrowdStrike Falcon ist ein EDR-Produkt (Endpoint Detection and Response) das auf Wi…
Microservices sind seit Jahren der heiße Hype. Jedes neue System soll sofort in Services aufgeteilt werden. Die meisten Projekte brauchen das nicht — und zahlen trotzdem den Preis. Was Microservices kosten Netzwerk-Overhead. Jeder Service-Aufruf ist ein HTTP-Request mit Latenz, Retry-Logik und mögli…
Disaster Recovery beschreibt wie man nach einem Ausfall wiederherstellt. Business Continuity beschreibt wie man den Betrieb während eines Ausfalls aufrechterhalten kann. Der Unterschied ist die Frage: wie lang darf es ausfallenoder: wie viel Ausfall ist inakzeptabel? BCP und DRP — Abgrenzung Busines…
Eine Datenschutz-Folgenabschätzung (DPIA — Data Protection Impact Assessment) klingt nach Behörden-Bürokratie. Für Entwickler ist sie ein strukturierter Prozess um Datenschutzrisiken frühzeitig zu identifizieren. Wann eine DPIA Pflicht ist Art. 35 DSGVO: wenn eine Verarbeitung voraussichtlich ein ho…
IT-Sicherheit in kleinen Unternehmen scheitert selten an fehlenden Tools. Sie scheitert daran, dass niemand zuständig ist, Prozesse nicht existieren und „wir sind zu klein für einen Angriff" als Strategie gilt. Warum kleine Unternehmen attraktive Ziele sind Ransomware-Gruppen haben ihre Angriffe aut…
Make-or-Buy, SaaS oder selbst hosten, Managed Database oder eigener Server — IT-Entscheidungen haben finanzielle Konsequenzen die man selten vollständig durchrechnet. Eine strukturierte Analyse hilft bessere Entscheidungen zu treffen und sie zu begründen. Total Cost of Ownership (TCO) TCO umfasst al…
Technische Schulden sind normal. Jede Codebasis hat sie. Die Frage ist nicht ob sie vorhanden sind sondern ob man sie managt oder von ihnen verwaltet wird. Was technische Schulden sind Nicht jeder schlechte Code ist eine technische Schuld. Ein Bug ist kein Kredit. Technische Schulden entstehen wenn …
Wenn ein Server kompromittiert wurde ist die erste Reaktion meistens falsch: neu aufsetzen, alles löschen, weitermachen. Damit vernichtet man Beweise die erklären würden wie der Angreifer rein kam — und ohne das bleibt die Lücke offen. Grundprinzip: erst sichern, dann aufräumen Die Reihenfolge ist w…
Es gibt Unternehmen deren Geschäftsmodell ausschließlich darin besteht Daten über Menschen zu sammeln, zusammenzuführen und zu verkaufen. Die meisten Menschen wissen nicht dass diese Unternehmen existieren — obwohl sie detaillierte Profile über sie führen. Wer Datenhändler sind Data Broker kaufen un…
Code dokumentiert wie etwas technisch funktioniert. Für das Warum und den Gesamtablauf braucht man etwas anderes. BPMN ist die Standardnotation für Geschäftsprozesse — lesbar für Entwickler und Nicht-Techniker gleichzeitig. Was BPMN ist Business Process Model and Notation. Eine grafische Sprache für…
CVEs finden ist einfach. Der schwierige Teil ist zu entscheiden was davon wirklich kritisch ist, wer es behebt, bis wann, und wie man nachverfolgt ob es erledigt wurde. Schwachstellen systematisch erfassen Quellen: / — Anwendungsabhängigkeiten — Container-Images — Betriebssystem-Konfiguration CVE-Fe…
Backups die nicht getestet wurden sind keine Backups. Das klingt nach Klischee bis man ein Backup zurückspielen muss und feststellt dass es seit zwei Monaten leer ist. Die 3-2-1-Regel 3 Kopien der Daten auf 2 verschiedenen Medien/Systemen davon 1 Off-Site Konkret: Produktivdatenbank, Backup auf dems…
Business Email Compromise ist keine Schadsoftware, kein Exploit, kein technischer Angriff. Es ist eine E-Mail. Und es hat Unternehmen weltweit mehr Geld gekostet als alle Ransomware-Angriffe zusammen. Was BEC ist Der FBI Internet Crime Report nennt BEC seit Jahren als die kostenintensivste Cyberkrim…
Sicherheitslücken in verwendeten Bibliotheken und Paketen zu kennen bevor sie ausgenutzt werden ist einfacher als es klingt. Man muss nur die richtigen Quellen beobachten. Was ein CVE ist CVE steht für Common Vulnerabilities and Exposures. Jede öffentlich bekannte Sicherheitslücke bekommt eine Numme…
Ein Sicherheitsvorfall tritt immer zum schlechtesten Zeitpunkt ein. Wer dann erst anfängt zu überlegen was zu tun ist verliert wertvolle Zeit. Erkennen Monitoring-Alerts, ungewöhnlicher Traffic, User-Meldungen, Log-Anomalien. Nicht jeder Alert ist ein Incident. Aber jeder ungewöhnliche Befund brauch…
Zero-Trust ist zum Buzzword geworden. Auf jeder Konferenz, in jeder Herstellerbroschüre. Was dahinter steckt ist älter und simpler als der Hype vermuten lässt. Das Grundprinzip Klassisches Netzwerkmodell: wer im internen Netz ist, dem wird vertraut. Zero-Trust: niemand wird vertraut, egal wo er sitz…
Cookie-Consent-Banner sind meistens schlecht umgesetzt. Entweder technisch falsch oder so gestaltet dass sie Benutzer zermürben bis sie alles akzeptieren. Beides ist keine gute Lösung. Was tatsächlich Consent braucht Nicht alle Cookies brauchen Zustimmung. Technisch notwendige Cookies — Session-ID, …
Wenn ein Benutzer sein Konto löscht erwartet er, dass seine Daten weg sind. Technisch ist das schwieriger als ein . Was alles gelöscht werden muss Die offensichtlichen Stellen: users-Tabelle, Profildaten, Einstellungen. Die nicht so offensichtlichen: Logs, Backups, Caches, Suchindizes, Archivtabelle…
„Das würde ich doch merken" ist die gefährlichste Einstellung gegenüber Social Engineering. Die Angriffe die funktionieren sind nicht offensichtlich — sie sind präzise auf das Ziel zugeschnitten. Was Social Engineering heute ist Der Begriff umfasst alles was Menschen dazu bringt etwas zu tun das sie…
Logs sind einer der häufigsten Orte wo personenbezogene Daten ungewollt landen. IP-Adressen, E-Mail-Adressen, Namen in URLs, Session-IDs — alles personenbezogen nach DSGVO. Was typischerweise in Logs landet Nginx access.log enthält standardmäßig die vollständige IP-Adresse. Application-Logs loggen g…
Am 6. Juni 2013 veröffentlichte der Guardian die ersten Dokumente von Edward Snowden. Was folgte war kein einzelner Artikel sondern eine monatelange Serie von Enthüllungen die das Verständnis von Internet-Überwachung fundamental veränderten. Was enthüllt wurde PRISM: ein NSA-Programm das direkten Zu…
DSGVO wird oft als bürokratisches Monstrum behandelt. Für Entwickler ist es hauptsächlich eine technische Aufgabe. Hier was tatsächlich umgesetzt werden muss. Datensparsamkeit Nur erheben was wirklich gebraucht wird. Kein "könnten wir irgendwann mal brauchen". Geburtsdatum wenn man keine Alterskontr…