Wer als Digitaldienstleister regelmäßig KMU und insbesondere Kleinstunternehmen betreut, ist manchen Kummer gewohnt. Dass bei zehn Angestellten kaum dieselben Sicherheits- und Compliance-Vorgaben einzuhalten sind wie in einem Großkonzern, liegt ja auf der Hand, und eigentlich erwartet das auch keiner. Denn offensichtlich kann eine interne IT-Abteilung, wie sie in Unternehmen ab 50 Mitarbeitern meist schon zu finden ist, mehr leisten als der einzelne Kollege in der Kleinstfirma, der die IT gewissermaßen nebenbei miterledigt.

Gerade das ist im Kontext der IT von Kleinunternehmen ja ohnehin die übliche Herausforderung: Die Nutzung digitaler Dienste ist gewünscht, oft sogar nötig, weil sie die Arbeit erleichtert und etwa die Kommunikation mit Lieferanten oder Kunden überhaupt erst ermöglicht. Weil die IT bei vielen KMU aber nicht der Kern des Unternehmens ist, läuft sie eben nebenbei mit. Gemacht wird, was technisch schnell geht, ein Problem ad hoc (vermeintlich) aus der Welt schafft und dafür sorgt, dass der Betrieb weitergehen kann. Dumm nur: Konzerne haben – auch in der IT – viele interne Regeln, die vermeiden sollen, dass Informationen nur bei einzelnen Mitarbeitern vorhanden sind. Weite Teile des Regelwerks von Großkonzernen sind darauf ausgelegt, einen Betrieb auch dann sicherzustellen, wenn ein katastrophales Ereignis eintritt.

Das kann ein digitaler Angriff sein, eine Naturkatastrophe oder auch das Ausscheiden eines Mitarbeiters aus dem Unternehmen, besonders das kurzfristige Ausscheiden ohne vorherige, geordnete Übergabe. Bei der Bastel-IT in vielen KMU fehlen diese Sicherheitsnetze des Konzerns. Kommt einer Firma der bisherige IT-Verantwortliche abhanden, herrscht deshalb nicht selten Panik. Und das völlig zurecht, wie der Autor dieses Artikels kürzlich selbst miterleben musste. Wenn plötzlich der IT-Mensch weg ist, kann das, wie in diesem Fall, sogar die Existenz des Unternehmens gefährden.

Dieser Artikel kommt in zwei Teilen daher: Der erste wagt eine Bestandsaufnahme und erläutert, was denn eigentlich alles schief gelaufen ist und an welchen Stellen sich besonders böse Fallstricke befanden. Darin enthalten ist ein Potpourri der IT-Horrorgeschichten: Zugenagelte Geräte, fehlende Zugänge für Kundencenter diverser Anbieter, nicht identifizierbare Telefonanschlüsse, ein komplettes Chaos bei Verträgen für Festnetz und Mobilfunk, uralte Hardware mit uralter Software ohne irgendwelche Backups, dafür aber mit direktem Zugang zum Internet und so weiter. Der zweite Teil geht die Sache in der nachfolgenden Ausgabe praktisch an und zeigt, welche Strategien in Frage kommen, um in der konkreten Situation Abhilfe zu schaffen und worauf Inhaber von KMU besser schon im Vorfeld achten, um das Worst-Case-Szenario von Anfang an zu vermeiden.

Die Ausgangssituation ist eigentlich nicht sonderlich spektakulär. Im Kern der Geschichte steht die Agentur Hansen, wie wir sie in unserem Beitrag nennen möchten – ein Kreditbeschaffer aus Niedersachsen. Deren Kerngeschäft ist die Beschaffung von Krediten: Konsumkredite, KFZ-Finanzierungen und Immobiliendarlehen stehen im Fokus. Das impliziert natürlich, dass durch die Hände der drei Angestellten in eben dieser Agentur durchaus sensible Daten gehen, darunter detaillierte Aufstellungen von Vermögenswerten und die Einkommenssituation der Kreditsuchenden. Ganz ohne jeden Zweifel also Informationen, die in die Kategorie der personenbezogenen Daten im Sinne der DSGVO fallen und die damit besonders schützenswert sind. Die EU-Verordnung macht diesbezüglich zwar keine klaren Vorgaben, legt aber immerhin fest, dass der Schutz dieser Daten zeitgemäß geschehen muss.

Die Kommunikation mit ihren Kunden wickelt die Agentur großteils digital ab. Dasselbe gilt für die Kommunikation mit den Finanzinstituten, bei denen das Unternehmen im Auftrag seiner Kunden nach Finanzierungen aller Art anfragt. Implementiert ist ein lokales NAS in Form eines Systems von QNAP, auf das die Geräte der Mitarbeiter zumindest teilweise Backups speichern. De facto ist das bereits mehr, als in vielen Kleinunternehmen an IT-Infrastruktur vorhanden ist. Für ihre E-Mails greift die Agentur auf die Dienste eines deutschen Mailhosters zurück.

Cloudangebote wie Google Workspace oder Microsoft 365 kommen nur bedingt zum Einsatz. Einen Administratoren-Account gibt es für Microsoft 365 aber immerhin. Ebenso ein Konto, das die Hoheit über den Mail-Account der Agentur hat, sowie einen Zugang für GMail. Die Speicherung von Daten in der Cloud vermeidet die Agentur ebenso wie die zentrale Verwaltung der genutzten Geräte. Hinzu kommt, und das wird sich im Verlauf der kommenden Monate noch als große Herausforderung entpuppen, dass es etliche Zugänge zu den Kundenportalen verschiedener Dienstleister gibt. So hat die Agentur Hansen zwei Internetverbindungen im Büro, um auch bei Ausfall eines Anbieters nicht offline zu sein. Mobilfunkverträge für die drei zur Agentur gehörenden Mitarbeiter existieren ebenso wie ein recht komplexes VoIP-Setup, das aus mehreren – teils alten, aber gut bekannten – Festnetzrufnummern besteht.

Digital am Leben gehalten hat die Agentur bisher ein Mitarbeiter, den wir Ole Lorenz nennen. Und das nicht etwa, weil er ausgewiesener IT-Experte wäre, sondern weil er sich in den vergangenen Jahren viele Dinge im digitalen Kontext selbst beigebracht hatte. Damit konnte er bereits auf deutlich mehr IT-Wissen zurückgreifen als seine Kollegen zusammen. Eine formale Ausbildung oder tiefergehendes Wissen rund um die Themen Sicherheit und Compliance hat Lorenz jedoch nicht. Ende Oktober dann die Katastrophe: Lorenz wird in einen schweren Verkehrsunfall verwickelt und liegt zwei Monate im Koma, bevor die Ärzte dazu raten, die lebenserhaltenden Maßnahmen einzustellen. Er stirbt, ohne zwischenzeitlich das Bewusstsein nochmal erlangt zu haben. Die Möglichkeit eines Austauschs mit Lorenz bestand nicht mehr.

Was diese menschliche Tragödie ganz konkret für das Unternehmen bedeutet, erfahren die beiden verbliebenen Angestellten in der Agentur Hansen recht schnell. Wenige Tage nach dem beschriebenen Unfall trudelt die Anfrage eines Kunden ein, den Lorenz bisher für die Agentur betreut hat. Dumm nur: Weil die E-Mail nicht auch an das Sammelpostfach der Agentur geht, erfahren die beiden anderen von ihr nie. Denn Lorenz' MacBook ist – wie es sein soll – mittels Zweifaktor-Authentifizierung gesichert. Sowohl das MacBook als auch Lorenz' iPhone sind für die Agentur Hansen aktuell aber, weil Lorenz' Passwörter und Zugangscodes in der Agentur unbekannt sind, nicht mehr als extravagante Briefbeschwerer.

Hinzu kommt, dass die Zugangscodes für das iPhone auch gar nicht so einfach zu bekommen sind. Denn das iPhone, das Lorenz bis zuletzt genutzt hatte, war ein privates Gerät. Selbst bei einer entsprechenden Anfrage würde Apple den Zugangscode also nicht herausrücken. Beim MacBook sieht das womöglich anders aus. Dieses gehört ganz offiziell der Agentur Hansen, ist aber – wie erwähnt – nicht in irgendeine zentrale Account-Verwaltung des Herstellers integriert, etwa den Apple Business Manager. Damit Apple das Gerät entsperrt, ist also viel Papierkram nötig.

Der Kunde sitzt derweil auf heißen Kohlen: Er hat sein Traumhaus gefunden und braucht dringend die Zusage einer Finanzierung einer Bank. Alles Nachhaken per E-Mail bei Ole Lorenz hilft aber nichts: Die E-Mails laufen ins Leere. Zwei Tage später hat sich jemand anderes das Traumhaus des Kunden geschnappt und die Agentur Hansen einen Kunden weniger. Das Schauspiel wird sich in den kommenden Wochen so oder so ähnlich wiederholen. Denn gerade weil die Passwörter für alle wichtigen Dienste und Zugänge ausschließlich im iCloud-Schlüsselbund von Ole Lorenz zu finden sind, hat die Agentur Hansen darauf praktisch keinen Zugriff.

Konzernerfahrene IT-Verantwortliche werden an dieser Stelle bereits so heftig mit dem Kopf schütteln, dass die Gefahr eines Schleudertraumas im Raum steht. Ihnen sei gesagt: Gerade bei Kleinunternehmen, also Firmen mit weniger als 20 Mitarbeitern, die zudem keine direkte Verbindung zur Digitalbranche haben, ist die Situation der Agentur Hansen viel eher die Regel als die Ausnahme. Solche Firmen gibt es bundesweit zahllos.

Dass unter Umständen die Möglichkeit bestanden hätte, zumindest Zugang zum Laptop von Ole Lorenz über Apple zu erlangen, ist übrigens auch daran gescheitert, dass diese Option der Inhaberin der Agentur Hansen gar nicht bekannt war. Im Nachhinein hat sich herausgestellt, dass der Zugang zum Laptop aber auch nicht geholfen hätte. Denn Zugang zum iCloud-Account hätte das Unternehmen so kaum erhalten, dieser wäre aber für den Zugriff auf die Passwörter nötig gewesen.

Eine minimale Chance hätte vermutlich darin bestanden, hätte Lorenz' Witwe Apple die schriftliche Vollmacht zur Herausgabe der Daten als Erbin und Nachlassverwalterin erteilt. Wie lange es aber gedauert hätte, diesen Vorgang durch den Support bei Apple zu bugsieren, ist realistisch nicht abschätzbar. Zugleich wurde die Situation für die Agentur Hansen immer problematischer: Mittlerweile fehlten nicht nur Passwörter von Lorenz' iCloud-Schlüsselbund, sondern auch Unternehmensdaten sowohl vom MacBook als auch vom iPhone. Phasenweise war das Unternehmen mehr oder weniger im Blindflug unterwegs.

Das änderte sich erst durch einen buchstäblichen Zufall, in den der Autor dieses Textes verwickelt war. Er kannte die Agentur noch von einer Immobilienfinanzierung aus der Vergangenheit und wandte sich knappe vier Wochen nach Lorenz' Tod an sie, um die Konditionen für ein Kfz-Leasinggeschäft zu erfragen. Im Laufe des Gesprächs erfuhr er von der misslichen Lage und bot ob seiner Erfahrung mit entsprechenden Situationen seine Hilfe über sein eigenes IT-Dienstleistungsunternehmen spontan an. In diesem Moment begann unerwartet eine mehrmonatige Konsolidierungsaktion, deren technische Dimension sich erst nach und nach zu erkennen gab und die alle Beteiligten einiges an Kraft und Mühe kostete.

Zunächst gerieten die persönlichen Arbeitsgeräte von Ole Lorenz erneut in den Fokus. Diese schienen zwar ein vernageltes Einfallstor zu sein, die Hoffnung stirbt aber bekanntlich zuletzt. Und weil der erste Gedanke oft der richtige ist, war wenige Stunden später zumindest ein bisschen Licht am Ende des Tunnels zu erkennen. Entgegen sämtlicher Regeln der modernen IT-Sicherheit hatte Ole Lorenz nämlich als PIN-Kombination für sein iPhone sein eigenes Geburtsdatum gewählt. Nach drei falschen Eingaben lag das iPhone dann entsperrt vor. Und weil das iPhone als 2FA-Token für den iCloud-Account konfiguriert war, ließ sich über dieses schnell das Login-Passwort des MacBooks ändern und schließlich das iCloud-Passwort per Wiederherstellungsverfahren auf einen bekannten Wert setzen. Sämtliche Daten auf iPhone und MacBook sowie im iCloud-Schlüsselbund von Ole Lorenz waren damit verfügbar.

Die Agentur Hansen hatte wieder Zugriff auf ihre dringend benötigten Dokumente und startete unter anderem eine Kam-pagne, um sich bei jenen Kunden zu entschuldigen, deren E-Mails in Lorenz' Mailbox Staub gefangen hatten. Weil der iCloud-Schlüsselbund nun offen war und darin das Passwort für den Admin-Account des E-Mail-Dienstleisters lag, war es zudem möglich, das Firmenkonto von Lorenz an die Inhaberin der Agentur umzuleiten. So war sichergestellt, dass absehbar nicht wieder ein Kunde auf taube Ohren stieß.

Theoretisch könnte diese Geschichte an dieser Stelle zu Ende sein. Die Agentur Hansen hätte unter diesen Bedingungen einigermaßen sinnvoll weiterarbeiten können, vertrauend darauf, dass Ole Lorenz wohl an anderen Stellen mehr Sorgfalt hatte walten lassen als bei der Wahl seiner iPhone-PIN. Geheuer war die Sache aber insbesondere der Agenturinhaberin nicht. Weiter ging es deshalb mit einer Analyse der IT-Landschaft der Agentur und insbesondere der genutzten Geräte. Bei eben dieser taten sich bald Abgründe auf – Abgründe, die vielerorts bei der IT von Kleinunternehmen gang und gäbe sind. Am Anfang der Bestandsaufnahme erfassten wir zunächst die genutzten digitalen Dienste der Agenturinhaberin und ihrer verbliebenen Mitarbeiter.

Neben den schon zuvor beschriebenen Onlinediensten zog bald ein kleines und unscheinbares Gerät den gesammelten Argwohn des Autors dieses Artikels auf sich. In einem Schrank verstaut unter einem Schreibtisch werkelte ein NAS von QNAP vor sich hin. Damit kein falscher Eindruck entsteht: NAS-Laufwerke sind gerade in KMU an und für sich eine gute Angelegenheit, besonders als Ziellaufwerk für Backups. Darauf war im konkreten Fall aber der Nutzen des Gerätes nicht beschränkt. Stattdessen war Ole Lorenz der Versuchung erlegen und hatte vor Urzeiten mit wenigen Mausklicks eine Instanz von SugarCRM auf dem NAS installiert. Und eben die war quasi das Hauptverwaltungswerkzeug der Kundendaten der Agentur.

Ein Onlinebackup war allerdings nicht eingerichtet. Zwar gab es auf der Ebene des Geräts selbst Redundanz, denn die beiden integrierten Festplatten waren als RAID-1-Verbund konfiguriert. Wäre das Kistchen allerdings abgebrannt oder im Rahmen eines Einbruchs entwendet worden, hätte die Agentur auf einen Schlag ihre gesamten Kundendaten verloren. Das wäre nicht nur der Daten wegen eine Katastrophe gewesen, sondern auch wegen ihres mangelnden Schutzes: Datenverlust in dieser Dimension ist gegenüber den Landesbehörden für Datenschutz meldepflichtig, und die Sicherung auf einem alten und bereits vor SMART-Warnungen wimmernden Einzellaufwerk entspricht nicht mehr den Gepflogenheiten der Gegenwart beziehungsweise dem "Stand der Technik".

Schlimmstenfalls hätte ein Verlust eben dieser Daten also auch noch eine saftige Datenschutzstrafe nach sich gezogen. Erschwerend kam hinzu: SugarCRM existiert als freie Software längst nicht mehr. Die letzten Maintenance-Versionen der "SugarCRM CE", also der "Community Edition", sind 2017 erschienen. Und selbst diesen hing die lokale Variante von QNAP über vier Jahre hinterher. Die genutzte Version war SuiteCRM 6.1 mit dem letzten Update-Datum in 2013. Über zehn Jahre hatte dieses CRM also keine Updates mehr gesehen. Jeder, der auf das – nicht sonderlich gut gesicherte – WLAN der Agentur Zugriff hatte, hätte mit wenigen Handgriffen die Daten aus dem CRM abfischen können.

Nicht sonderlich gut gesichert war das CRM, weil es noch WiFi-Verschlüsselung nach WPA2-TKIP-Prinzip nutzte und das Passwort darüber hinaus ebenfalls recht leicht zu erraten war. Freilich: Will die Chefin ihr neues iPhone ins WLAN integrieren, möchte sie nicht ein Passwort mit 32 Stellen eintippen müssen. Ein WLAN-Passwort mit sechs Zeichen, das sich trivial erraten lässt, ist dazu aber keine echte Alternative. Zumal über die Jahre mehrere Angestellte in der Agentur gekommen und wieder gegangen waren und alleine das de facto eine Änderung des Passworts erforderlich gemacht hätte.

Gerade weil das CRM auf wackligen Beinen stand und obendrein implizit unsicher war, wurde es schnell zur Prio 1 bei der Konsolidierung der Finanzagentur. Der Weg zum Erfolg war letztlich obskur: Zunächst entstand eine Art Klon des Setups vom CRM mit dessen originalen Nutzdaten auf einer gemieteten, aber noch zugenagelten VM im Netz. Diese entstand auf Grundlage von Debian GNU/Linux 9, das sich erstaunlicherweise noch immer installieren und dann Schritt für Schritt aktualisieren lässt. Dann erfolgte mit zum Teil aus dem Netz gefischten alten Tarballs von neueren SugarCRM-Editionen ein Update von einem SugarCRM-Major-Release auf das nächste.

Der inoffizielle Nachfolger von SugarCRM ist SuiteCRM, für das ein Updatepfad von SugarCRM 6.5.24 zur Verfügung steht. Von SuiteCRM 7 führte anschließend ein Weg zum aktuellen SuiteCRM 8. Nach den diversen CRM-Updates zogen der Datensatz aus MySQL, die Daten der CRM-Instanz sowie eine frische Installation von SuiteCRM 8 schließlich in eine neu aufgesetzte VServer-Instanz im Netzwerk um. Diese ist zudem nach allen Regeln der Kunst abgesichert und folgt modernen Standards der Systemadministration.

Weil im Unternehmen ohnehin bereits Microsoft 365 zum Einsatz kam, nutzte man die Gelegenheit auch gleich und errichtete eine zentrale Benutzerverwaltung auf Basis von Entra ID. Mittels SAML und OAuth ließ SuiteCRM 8 sich an diese problemlos ankoppeln, was gleich mehrere Probleme löste: Deaktiviert die Inhaberin der Agentur künftig einen Account, ist auch dessen Zugriff auf das CRM sofort abgeschaltet. Obendrein bietet das nun aus dem Internet erreichbare CRM die Möglichkeit, auch einigen externen Dienstleistern der Agentur unmittelbaren Zugriff zu gewähren.

Alleine in das Thema CRM flossen zu Beginn der IT-Konsolidierung allerdings fast zehn volle Tage an Aufwand. Verglichen damit war die Installation eines aktuellen WLAN-Netzwerks mit WPA3-Unterstützung praktisch eine Lappalie, denn diese war in wenigen Stunden komplett abgeschlossen. Praxistaugliche Möglichkeiten, auch das WLAN-Netz gleich an Entra ID anzukoppeln, gibt es jeoch für klassische SoHo-Anwendungsfälle praktisch nicht. Entweder schlagen sich Admins dann mit RADIUS und kompliziertem Zertifikate-Handling herum oder sie greifen gleich zu absurd teuren Nischenlösungen einzelner Anbieter.

Der Umstand, dass das CRM nicht lokal lief und durch echte Sicherheitsmechanismen geschützt war, nahmen der WiFi-Passwort-Problematik allerdings auch die Schärfe. Denn das NAS mit seinen Kundendaten darauf war zweifelsohne die fetteste zu holende Beute. Es versteht sich übrigens von selbst, dass für die frische virtuelle Instanz, die nun das CRM betreibt, umfassende Backupjobs hin zu verschiedenen Zielen eingerichtet sind, sodass die Daten mehrfach gegen Ausfälle geschützt sind.

Gerade für die Handelnden in der Agentur ergaben sich aus der weiteren IT-Konsolidierung im Anschluss etliche tiefgreifende Veränderungen des Alltags. Anstelle uralter und hart an der Lastgrenze laufender Klappernotebooks mit Windows 7 wurden MacBooks angeschafft. Die haben wie beschrieben den Vorteil, dass sie sich mittels Apple Business Manager zentral verwalten lassen. Zudem lässt ABM sich hervorragend mit Entra ID verkuppeln, sodass die im zentralen Verzeichnis vorhandenen Anwender gleich auch für die Anmeldung per Passwort auf den Macs zum Einsatz kommen können. Um die Management-Features von ABM sinnvoll zu nutzen, ist allerdings ein zusätzlicher Dienstleister nötig, etwa Jamf [1].

Das gibt es gerade für Kleinunternehmen zu akzeptablen Preisen. Obendrein ist es verhältnismäßig leicht zu bedienen. Dank Entra ID im Gespann mit ABM lässt sich Zweifaktor-Authentifizierung zentral ebenso erzwingen wie die Verschlüsselung des Datenträgers der Macs. Fällt ein Mac der Agentur künftig also in fremde Hände, ist er ein ebenso eleganter Briefbeschwerer für die Gauner wie das MacBook von Ole Lorenz es eingangs für die Agentur Hansen war. Mit dem Unterschied, dass das MacBook sich etwa aus der Ferne löschen lässt, wenn es unter der Kontrolle von ABM steht.

Der genutzte Mailanbieter bot leider keine native Schnittstelle zu Entra ID. Weil es wenig Sinn ergibt, die gesamte Mailinfrastruktur extern zu hosten, wenn ohnehin Microsoft 365 zum Einsatz kommt, stand im nächsten Schritt die Migration der Mailumgebung auf dem Plan. Das gelang dank praktischer Werkzeuge in Microsoft 365 gut und flott, sodass die gesamte Mailmigration ohne Ausfallzeit ablief und ohne, dass die Agentur auch nur kurz per E-Mail nicht zu erreichen gewesen wäre. Wichtig ist in diesem Kontext allerdings der Hinweis, dass im Rahmen der Mailmigration auch ein umfassendes Datenschutzkonzept für die Nutzung von Microsoft 365 einzuhalten war. Denn die Bedenken im Hinblick auf den amerikanischen CLOUD Act und Microsoft 365 oder anderen Clouddiensten sind ja nicht aus der Luft gegriffen.

Ganz im Gegenteil muss hier penibel dokumentiert sein, wer dank welcher Konfiguration Zugriff auf welche Daten hat und in der Vergangenheit hatte. In Summe bringt die Nutzung eines großen Hosters für E-Mails im konkreten Fall aber trotzdem enorme Vorteile mit sich, gerade im Vergleich mit einem autarken Mailsetup bei einem deutschen Anbieter. Denn die Agentur Hansen wird kaum dauerhaft und vor allem nicht regelmäßig Geld in die professionelle Pflege ihrer IT-Infrastruktur investieren können. Da hilft es, wenn ein einmal eingerichtetes Setup seitens des Anbieters in Sachen Sicherheit versorgt wird und sich nur selten ändert, während etwa die Account-Security ebenfalls Bestandteil des Anbieterpaketes ist. Die Kosten für ein Cloudkonto pro Mitarbeiter der Agentur sind zudem überschaubar – sie liegen so oder so deutlich unterhalb der Honorare, die IT-Dienstleister für die regelmäßige Account-Pflege in Rechnung stellen würden.

Übrigens: Im Rahmen der Umstellung der Arbeitsplatzgeräte auf Macs stand kurzfristig die Frage im Raum, ob es denn Spezialsoftware gibt, die mit diesen möglicherweise nicht kompatibel ist. Die Sorge entpuppte sich aber als unbegründet. Denn die allermeisten Anwendungen der großen Banken etwa sind heute webbasiert und mittels Chrome, Firefox oder Edge von einem Mac aus hervorragend aufzurufen. Zusammen mit der Anschaffung der neuen Macs investierte die Agentur Hansen zudem in zusätzliche Hardware wie neue, große Displays. Die wären zwar nicht zwingend nötig gewesen, erleichtern dem dortigen Personal nun aber ganz erheblich die Arbeit und machen diese zudem angenehmer. In Summe präsentiert sich das IT-Setup der Agentur Hansen heute jedenfalls viel homogener und damit implizit auch einfacher zu warten als zuvor.

Als weiteres Problem entpuppte sich relativ schnell die Tatsache, dass Ole Lorenz zwar die Zugangsdaten zu praktisch sämtlichen Kundenportalen hatte, die die Agentur Hansen irgendwie nutzte. Allerdings hatte nur er diese, zum Großteil im Schlüsselbund seines iCloud-Zugangs. MacOS bietet ab Version 13 die Möglichkeit, die Passwörter daraus vom Mac gesammelt als CSV-Datei zu exportieren und auszudrucken. Ein entsprechender Ausdruck landete bald im Safe der Agentur.

Gleichzeitig entstand eine zweite Liste mit zentralen Zugängen, etwa zum Kundencenter von Magenta-T, über das sich die Rufumleitung der Telefonnummer der Agentur steuern ließ. Die Passwörter für eben diese Dienste wurden obendrein auf generische Werte geändert und in einem zentralen Passwortspeicher abgelegt, auf den der Zugriff nur mit gültigem Microsoft-365-Account möglich ist. Nicht auszuschließen ist, dass sich künftig weitere Zugänge finden, für die die Logindaten noch nicht auf eine neuen Wert geändert wurden. Dafür aber gibt es ja im Notfall den Ausdruck der ursprünglichen Liste von Passwörtern in Papierform.

Nachdem die Kühe CRM und Mailsetup vom Eis waren, stand noch die weitere Konsolidierung der Begebenheiten vor Ort auf dem Plan. Hier gab es mehrere Baustellen. Die unangenehmste war ein relativ unkonventionelles Setup im Hinblick auf die Internetverbindung der Agentur. Denn die, so wollte es die Inhaberin selbst, sollte redundant ausgelegt sein. An und für sich ist das löblich: Für ein Unternehmen, das mit seinen Geschäftspartnern beinahe ausschließlich digital kommuniziert oder telefoniert, ist der Ausfall der Internetverbindung ein Problem. Denn dann funktioniert sowohl das Internet nicht als auch die Telefonie, die ja heute überwiegend SIP-basiert ist. Business Continuity ist auch bei Kleinunternehmen ein Thema, oft sogar mehr als beim Großkonzern.

Allerdings war das Internet in der Agentur eine seltsame Mischung aus einer Fritzbox mit DSL-Anschluss und einem Kabelmodem, das im Bridge-Modus lief und eine zweite Verbindung aufbaute. Fritzbox und Kabelmodem waren jedoch nicht miteinander verbunden. Wozu auch: Fritzboxen bieten samt und sonders keine Funktionen für Redundanz auf der Verbindungsebene. Ole Lorenz hatte mal irgendwann dokumentiert, wie die Kabel im Falle eines Ausfalls der DSL-Hauptleitung umzustecken sind, um wieder Internetzugriff zu erhalten. Die Beschreibung allerdings war längst nicht mehr aktuell, was im Grunde auch egal war, weil die Leute in der Agentur sie nach Lorenz' Ausfall ohnehin nicht verstanden hätten.

Das Problem: Router, die redundante Uplinks abbilden können, existieren am Markt nicht gerade im Überfluss. Hier ist eine Option, auf Basis von OpenWRT eine eigene Lösung zu basteln. Die aber wäre selbst für andere IT-Dienstleister kaum einfach so zu betreiben und zu warten. Die Lösung kam schließlich von der Deutschen Telekom aus ihrem SoHo-Sortiment: Dort gibt es einen Router, der auf den sperrigen Namen "Digitalisierungsbox 2 Premium" hört und der zumindest zwei parallele Uplinks mit Loadbalancing bespielen kann. Fällt eine Leitung aus, nutzt das Gerät automatisch bloß noch die andere.

Die Funktionalität beider Uplinks überwacht die weiße Kiste dabei regelmäßig. Wer Produkte der Deutschen Telekom aus grauer Vorzeit kennt, erwartet nicht viel, und wird in diesem Fall sehr positiv überrascht: Nicht nur war das Gerät einfach in Betrieb zu nehmen, sondern es entpuppte sich auch als überaus funktional. Die integrierte Telefonanlage ermöglichte es, die Fritzbox vor Ort vollumfänglich zu ersetzen. Die zweite Internetleitung verband die Agentur mit dem "WAN"-Port des Gerätes, konfigurierte die DHCP-Verbindung für den Kabelanschluss und hatte kurz danach echtes redundantes Internet.

Eine Stolperfalle gibt es hier allerdings: Wer bei der Telekom, bei Vodafone oder bei Pÿur nicht den richtigen VoIP-Tarif bucht, bekommt kein "SIP Nomading". Dann lassen sich SIP-Zugänge eines Anbieters nur über dessen eigene Netzwerkverbindung nutzen. Setzen IT-Verantwortliche stattdessen auf einen SIP-Trunk, funktionieren Telefonnummern der Telekom auch klaglos an einem Vodafone-Zugang. Die Trunk-Option ist bei den Geschäftskundentarifen der meisten Internetanbieter für relativ kleines Geld verfügbar.

Und apropos Geld: Eine der skurrilsten Entdeckungen nach dem Abschluss der Konfiguration des Telekom-Routers war die Erkenntnis, dass die Agentur Hansen über fast 20 Jahre ein absurdes Chaos aus Mobilfunk-SIMs, Festnetznummern und Internetzugängen angesammelt hatte. Diese verschlangen monatlich ordentlich Geld, ohne für das Unternehmen eine sinnvolle Gegenleistung zu bieten. Durch eine Optimierung des Mobilfunktarifes der Agentur ebenso wie durch die Abschaltung eines komplett nutzlosen, nur für eine alte Telefonnummer überhaupt verwendeten zweiten DSL-Anschlusses ließen sich die monatlichen Kosten insgesamt um über 130 Euro drücken.

Gerade dieser Telefonanschluss sorgte indes für einen heiteren Moment und ließ den lokalen IT-Dienstleister eine kurze Weile an seinen Fähigkeiten zweifeln: Just in dem Moment, in dem ein Neustart der DSL-Verbindung des Büros bei Arbeiten vor Ort stattfand, klingelt in der Agentur nämlich ein einzelnes Handgerät des DECT-Telefons. Nur so kamen die Verantwortlichen dem "Piratentelefon" im Betrieb überhaupt auf die Schlichte, das im Übrigen an einer komplett autarken zweiten Telefonleitung hing und an einer Fritzbox, die in einem Regal hinter etlichem Unrat verstaut war.

In Summe hat es fast drei Monate gedauert, bis die Agentur Hansen in Sachen Digitalisierung nach dem Ausfall von Ole Lorenz so fit war, dass sie sinnvoll auf eigenen Beinen stehen konnte. Stemmbar war das zum Teil nur deshalb, weil der Autor dieses Artikels mit der Inhaberin der Agentur seit langem gut befreundet ist und den größten Teil der Arbeiten zum Pauschalpreis übernommen hat. Die professionelle Beauftragung etwa eines Systemhauses hätte spielend eine Rechnung von mehreren zehntausend Euro produziert, die die Agentur kaum jemals hätte stemmen können.

Viel Aufwand, der im Rahmen der Sanierung der digitalen Dienste der Agentur als Kleinunternehmen angefallen ist, hätte sich durch kluge Planung im Vorfeld allerdings verhindern lassen. So dient die Agentur Hansen vor allem als Negativbeispiel, bei dem fast alles schief lief. Wie Kleinunternehmen ihre IT sinnvoller gestalten und worauf sie schon im Vorfeld achten sollen, damit die ganz großen Katastrophen gar nicht erst eintreten, ohne dabei pleite zu gehen, verrät der zweite Teil dieses Artikels in der kommenden Ausgabe des IT-Administrator.