Never Touch a Running System – oder doch?

Warum dieses geflügelte Wort in Zeiten des Digitalen Wandels Ihr Unternehmen in eine gefährliche Schieflage bringen kann.

Beschäftigte in der IT haben es schwer, diese Binsenweisheit zu ignorieren: Ausfälle nach einem Software-Update? – Never Touch a Running System! Ersatz-Investition eines veralteten, aber noch in Betrieb befindlichen Systems? – Never Touch a Running System!

Wo immer man auf dieses Totschlagargument trifft, so hat es vordergründig durchaus seine Berechtigung. Ob nun als Begründung für Budget-Einsparungen oder als Vorwand für nicht durchgeführte Updates: Einmal geäußert, scheint der Spruch das eigene (Nicht-) Handeln zu legitimieren. Der Begriff ist übrigens ein reinrassiger Anglizismus und fast ausschließlich in Deutschland üblich. Im englischsprachigen Raum heißt es „if it ain`t broke, don’t fix it“.

Aber ist es tatsächlich richtig und klug, IT-Komponenten so lange laufen zu lassen, bis sie von alleine ausfallen? Um den weiteren Ausführungen vorzugreifen: Das darf, gerade in Zeiten des Digitalen Wandels, durchaus in Zweifel gezogen werden.

Ein surreales Beispiel – aus der Praxis. In den mehr als 27 Jahren meiner Tätigkeit in der IT-Branche ist mir „Never Touch a Running System“ öfter begegnet, als mir lieb ist. Den Spitzenplatz in diesem Kuriositäten-Kabinett nimmt ein Unternehmen ein, das im letzten Jahr Kontakt zu uns aufnahm und das ich im weiteren Verlauf so weit anonymisiere, dass sich nur noch die handelnden Personen bei der Lektüre wiedererkennen werden.

Die ITK-Infrastruktur dieses Betriebes war ein Fall fürs Museum: Seine DOS-basierende ERP-Software und der vor 19 (!) Jahren in Betrieb genommene Novell-Netware-Server (Software und Hardware) wären noch immer „gut genug“, lediglich die ebenso alte Telefonanlage bedürfe eines Austauschs, weil die Telekom den ISDN-Anschluss gekündigt habe und auf All-IP umstellen wolle, so der IT-Verantwortliche. Dieser blieb weiter völlig ernst, als er berichtete, dass die Datensicherung ebenfalls noch wunderbar funktioniere: Jeden Morgen komme das Datensicherungsband aus dem Laufwerk wieder heraus, ein untrügliches Zeichen für einen erfolgreichen Abschluss des Backups. Einen Moment lang dachte ich mir: ,,Womöglich sind die Sicherungsbänder ebenfalls 19 Jahre alt: Es ist ja noch kein einziges Band gerissen…“ Dem Betrieb ging es wirtschaftlich gut; noch ein Grund weniger, durch dauerhaft zurückgestellte Investitionen den Unternehmenserfolg derart leichtfertig zu gefährden.

Bis heute sind mir Motivation und Hintergründe schleierhaft. Ohne die immanente Gefahr detailliert aufzuführen, der sich das Unternehmen Tag für Tag aussetzt, seien doch zumindest ein paar Stichpunkte genannt, anhand derer die Bedrohung greifbar wird:

Datensicherungsbänder womöglich verschlissen und inhaltleerSelbst wenn nicht: keine kompatible Hardware zur Rücksicherung mehr vorhanden, außer vielleicht in MuseenERP-Software-Hersteller pleite, es existieren keine Export-Schnittstellen für die Migration der Daten in eine neue UmgebungDamoklesschwert GoBD und EU-DSGVO, Auswirkungen auf eventuelle BetriebsprüfungenInvestitionszurückhaltung: „übliche Schlamperei“ oder vorsätzlicher, wiederholter Gesetzesverstoß mit der Absicht der persönlichen Bereicherung? Richterliche Durchgriffsmöglichkeit auf das Privatvermögen.

Wenn man nun noch berücksichtigt, dass Steuerbehörden bei Bekanntwerden neuer Tatsachen bereits abgeschlossene Jahresabschlüsse bis zu 10 Jahre nachträglich wiedereröffnen und Steuerschätzungen vornehmen können, die dann mit 6 % p.a. verzinst eingefordert werden, dann dürfte auch dem nicht-IT-affinen Management klar sein, dass rechtzeitige, regelmäßige Investitionen allemal billiger kommen als eine Betriebsprüfung, um nur ein Schadenszenario zu nennen. Ob es das Unternehmen durch hohe Steuernachzahlungen dahinraffen könnte oder wegen unwiederbringlichen Datenverlusts durch einen Hardware-Defekt, versehentlich Datenlöschung oder einen Virenbefall: So oder so hätten sich die Verantwortlichen schon vor vielen Jahren von „Never Touch a Running System“ verabschieden müssen.

Der geneigte Leser mag nun einwenden: „Das ist aber auch wirklich ein praxisfernes Extrembeispiel!“ Ich stimme zu, ein Extrembeispiel. Aber aus der Praxis. Wenngleich es gottlob nicht jeder IT-Leiter und Unternehmer so weit kommen lässt, so sollte man dennoch seine Grundsätze zur Systempflege und -erneuerung einer Revision unterziehen und die Stellschrauben im Change-Management nachjustieren.

Gewiss, wir alle haben es schon miterleben „dürfen“, dass Systeme nach einem Update plötzlich nicht mehr hochfahren, dass teilweise sogar fehlerhafte Microsoft-Updates für Ausfälle nach Aktualisierungen verantwortlich waren. Oder dass die neue ERP-Lösung nicht die erhofften Verbesserungen bewirkte, sondern schlimmstenfalls Prozesseffizienz-Verschlechterungen nach sich zog oder gar in die Insolvenz führte. Das ist jedoch keine Rechtfertigung fürs Nichtstun, weil die Geschäftsrisiken sich dadurch nicht verringern, sondern im Gegenteil ansteigen. Das Unternehmen droht, den Anschluss zu verlieren.

Ursachen des Nicht-Handelns nach „Never Touch a Running System“

Bei der Recherche für diesen Blogbeitrag bin ich auf eine quasi-wissenschaftliche Arbeit zu dem Thema gestoßen (und zitiere daraus an der einen oder anderen Stelle). Sie stammt aus dem Jahr 2003 – richtig, 2003. Dennoch hat sie nichts an Aktualität eingebüßt. Insbesondere die Ausführungen zu den Kommunikations- und Managementproblemen sind für Systemadministratoren und IT-Verantwortliche eine äußerst lesenswerte Lektüre. Das nicht-technische Management (sic) erhält in den nachfolgenden Zeilen ausreichend fundierte Informationen, um Budgets in der erforderlichen Höhe zu genehmigen und die notwendigen Veränderungsprozesse anzustoßen.

Schutz vor Schadsoftware und gezielten Hackerangriffen

Die Hacker-Attacken der letzten Monate haben gezeigt, dass immer öfter gerade erst entdeckte Sicherheitslücken als Angriffsvektor ausgenutzt werden. Der Datendiebstahl von 143 Millionen Konten bei Equifax, der „amerikanischen Schufa“, ist auf ein nachlässiges Patch-Management zurückzuführen. Die Angreifer hatten eine zwei Monate zuvor geschlossene Sicherheitslücke in der Webserver-Software Apache ausgenutzt. „Never Touch a Running System“ war hier nachweislich die falsche Strategie.

Ausfallverteilung nach der Badewannen-Kurve.

Die Zuverlässigkeit von Elektronik-Komponenten hat sich in den letzten Jahrzehnten kontinuierlich verbessert. Die Verteilung von Ausfällen ist dagegen gleichgeblieben: Entweder tritt der Defekt innerhalb der ersten Tage oder Wochen nach der Inbetriebnahme auf, oder einsetzender Verschleiß sorgt für eine exponentiell ansteigende Ausfallwahrscheinlichkeit kurz vor dem Ende der durchschnittlichen Lebensdauer.

Man spricht auch von der „Badewannen-Kurve“, weil die Ausfallverteilung dem Längsschnitt einer Badewanne ähnelt. Gerade bei Unternehmenskritischen Systemen ist es daher sinnvoll, vor dem Anstieg der Ausfallwahrscheinlichkeit tätig zu werden und veraltete Komponenten rechtzeitig auszutauschen. Dadurch vermeidet man ungeplante, in ihrer Länge nicht kalkulierbare Ausfallzeiten, und der Wechsel hin zur neuen Infrastruktur lässt sich ohne Zeitdruck während des Tagesgeschäfts umsetzen. Diese Vorteile sprechen ganz eindeutig gegen „Never Touch a Running System“.

Kein Hersteller-Support bei unvorhergesehenen, kritischen Systemstörungen Veraltete Systeme erhalten in aller Regel keinen Support durch den Hersteller. Was der „Kosten-Sparer“ im Regelbetrieb billigend hinnimmt, kann bei unvorhergesehenden Störungen zumindest teuer werden: Die Ausfallzeiten verlängern sich, weil die Systeme zunächst auf den neuesten Stand gebracht werden müssen, bevor der Hersteller Unterstützung zu leisten bereit ist.

Im ungünstigsten Fall ist die Aktualisierung gar nicht möglich; dann muss es sich das Unternehmen leisten können, auf die ausgefallenen IT-Dienste dauerhaft zu verzichten oder die Zeit bis zur Inbetriebnahme von Nachfolgesystemen, gegebenenfalls ohne vollständige Datenübernahme, zu überbrücken. Was bei einer Software zu Reisekostenabrechnung nur lästig, aber hinnehmbar ist, kann das Unternehmen bei einem ERP-Ausfall in siner Existenz bedrohen. „Never Touch a Running System“ gleicht daher einem Spiel mit dem Feuer.

Innovationskraft und Zukunftsfestigkeit Globalisierung und Digitaler Wandel stellen die Unternehmen vor wachsende Herausforderungen. Die IT muss in der Lage sein, sich rasch auf immer neue Geschäftsanforderungen einzustellen. Eine agile, leistungsstarke und flexible IT ist gefragt, um Innovationen und Investitionen in digitale Geschäftsmodelle voranzutreiben. Cloud-Computing versetzt den Mittelstand, Deutschlands tragende wirtschaftliche Säule, in die Lage, leistungsfähige IT-Dienste zu konsumieren, die vor wenigen Jahren noch Großunternehmen vorbehalten waren. Kaum Kapitalanbindung und Abrechnung nach Verbrauch; Betrieb und Wartung durch den Cloud Provider, dadurch Einsparung bzw. Schonung eigener Ressourcen; hohe Skalierbarkeit und Agilität; gesteigerte Sicherheit und Verfügbarkeit; stetiger Einsatz der neuesten Technologie; schnelle Bereitstellung; ortsunabhängige Nutzung… Die Cloud ist da und wird bleiben, daran besteht kein Zweifel.

IT-Systeme, die im Unternehmen betrieben werden, stehen heute im Wettbewerb mit den Vorteilen, die Cloud-Lösungen bieten. Aus verschiedensten Gründen ist oftmalks eine Verlagerung bestimmter IT-Dienste in die Cloud noch nicht möglich. Das Management muss jedoch die systematischen Nachteile von Inhouse-IT im Auge behalten, Chancen und Risiken gegeneinander abwägen und den Wechsel in die Cloud perfekt timen, um die eigene Innovationsfähigkeit nicht zu gefährden. „Never Touch a Running System“ ist somit auch aus unternehmensstrategischen Überlegungen heraus wenig sinnvoll.

Fazit

Es liegt in der Natur der Sache, dass Change-Prozesse Risiken bergen. Erfolgreiches Veränderungsmanagement zeichnet sich durch klar definierte Ziele, einen durchdachten Aktionsplan, ausreichende Ressourcen und frühzeitige Information der Stakeholder aus. Die Definition (und Kommunikation!) von regelmäßigen Wartungsfenstern, Systemredundanzen, kontinuierliche Snapshots und zeitnahe Backups sowie die Quasi-Hochverfügbarkeit virtualisierter IT-Infrastrukturen ermöglichen es, jederzeit einen Fallback auf den Ausgangszustand zu ermöglichen.

„You can’t stop the waves, but you can learn to surf.“ Die mit der Digitalen Transformation einhergehenden Veränderungen lassen sich nicht aufhalten, aber sie lassen sich managen. Eine leistungsfähige, agile IT-Umgebung ist heute ein strategischer Wettbewerbsfaktor. Die Ablösung von Zombie-Systemen zieht in aller Regel größere Betriebsunterbrechungen nach sich als ein proaktiv, sich an der prognostizierten Lebenserwartung orientierendes Ersatzinvestitionsprojekt. Darüber hinaus ist zu langes Abwarten deutlich unwirtschaftlicher. Kein Mensch käme auf die Idee, das Motoröl immer erst dann zu wechseln, wenn der Motor einen Kolbenfresser erlitten hat.