Helfer/Admin gesucht...
- Thread starter Roddi
- Start date
Joe User
Zentrum der Macht
An genau diesem halben Tag will ich meine fünf handbestickten Kopfkissen kaufen und kann es in meinem auserwählten Shop aber nicht, weil der mal wieder Offline ist, also kaufe ich woanders.
Das mag Dich und den Rest der Welt vielleicht nicht interessieren, den Inhaber des Shops, dem dadurch sein Monatsumsatz entgangen ist, hingegen schon. Das Ganze wiederholt sich unglücklicherweise drei mal im Jahr, immernoch Unsinn?
Wenn er mit seinen Kopfkissen 500 EUR Umsatz macht und der Admin der den Betrieb sicherstellt (was er nicht kann, weil so ein Server auch gerne mal ohne Verschulden des Admins kaputt geht) 3500 EUR im Monat kosten würde, muss man dieses Risiko wohl eingehen. Das Verhältnis muss halt stimmen.
Joe User
Zentrum der Macht
Wie ich bereits schrieb, hätte ein echter Businessplan dies bereits im Vorfeld verhindert, denn spätestens dort hätte "Webspace" statt "Server" stehen müssen.
Da dort aber Server stand, stand dort auch Admin und die entsprechenden Kosten, welche automatisch auf den VK aufgeschlagen wurden, wodurch ausreichend Budget für einen echten Admin vorhanden ist.
So einfach ist das und völlig unabhängig von der Unternehmensform und -Grösse. Basics, nichts als Basics.
Der Shop war schon zum Scheitern verurteilt, bevor er überhaupt eröffnet wurde und spätestens jetzt heisst es für den OP die Notbremse zu ziehen und zurück zu seinen Leisten zu kehren.
Da dort aber Server stand, stand dort auch Admin und die entsprechenden Kosten, welche automatisch auf den VK aufgeschlagen wurden, wodurch ausreichend Budget für einen echten Admin vorhanden ist.
So einfach ist das und völlig unabhängig von der Unternehmensform und -Grösse. Basics, nichts als Basics.
Der Shop war schon zum Scheitern verurteilt, bevor er überhaupt eröffnet wurde und spätestens jetzt heisst es für den OP die Notbremse zu ziehen und zurück zu seinen Leisten zu kehren.
M
Marentis
Guest
Das wäre doch mal eine Gelegenheit für den TE sich zu äußern, wie wäre es mit Webspace? Das hätte NUR Vorteile für ihn:
a) Webspace ist deutlich günstiger als ein Server
b) Für die Sicherheit sorgt der Anbieter
c) Für die Stabilität und Verfügbarkeit sorgt ebenfalls der Anbieter
d) Backups sind bei guten Anbietern ebenfalls schon dabei (wobei man natürlich trotzdem auch selbst Backups vorhalten sollte, sicher ist sicher...)
Da dann einen guten Anbieter gewählt und schon kann man sich auf das Wesentliche konzentrieren UND hat viel Geld gespart.
a) Webspace ist deutlich günstiger als ein Server
b) Für die Sicherheit sorgt der Anbieter
c) Für die Stabilität und Verfügbarkeit sorgt ebenfalls der Anbieter
d) Backups sind bei guten Anbietern ebenfalls schon dabei (wobei man natürlich trotzdem auch selbst Backups vorhalten sollte, sicher ist sicher...)
Da dann einen guten Anbieter gewählt und schon kann man sich auf das Wesentliche konzentrieren UND hat viel Geld gespart.
Ich finde es immer wieder erstaunlich, wie laut hier getrommelt wird wenn sich jemand an einen eigenen Server wagt, und wie ein managed Server oder Webspace dann als Allheilmittel gepriesen wird. In den 12 Jahren, die ich jetzt eigene Server betreibe, kann ich mich an keinen einzigen Fall erinnern, in dem eine mangelhaft oder gar nicht gepatchte Systemsoftware Ursache eines Einbruchs in einen Server war. Gefühlt würde ich sagen, es waren zu 90% durch Kunden nicht gewartete CMS und die anderen 10% waren bekannt gewordene FTP- oder Email-Passwörter.
Die hier genannten Punkte
die ein Admin für teuer Geld erledigen muss, treffen genau so zu, wenn sich der TE einen managed Server oder Webspace holt. Auch ein Magento will geupdated werden, was meiner Erfahrung nach deutlich zeitaufwändiger ist als ein Update des Apachen. Auch bei einem Webspace muss der Datenschutz sichergestellt werden und ggf. Optimierungen der Scripts vorgenommen werden, um bei höheren Besucherzahlen mithalten zu können.
Jetzt fallen diese Dinge aber auf einmal unter den Tisch und dem TE wird uneingeschränkt ohne jede Bedenken ein Webspace empfohlen. Ich habe das Gefühl, dass es bei diesen Argumentationen um nichts anderes geht, als die Leute von der Idee abzubringen, einen eigenen Server zu betreiben.
Versteht mich hier nicht falsch, ich will dem TE weißgott nicht dazu raten, sein Geschäft auf einen Server zu stützen, welcher für 20 - 30 EUR mtl. wahrscheinlich nicht die Liebe und Zuneigung erhält, die er braucht ;-)
Die hier genannten Punkte
die ein Admin für teuer Geld erledigen muss, treffen genau so zu, wenn sich der TE einen managed Server oder Webspace holt. Auch ein Magento will geupdated werden, was meiner Erfahrung nach deutlich zeitaufwändiger ist als ein Update des Apachen. Auch bei einem Webspace muss der Datenschutz sichergestellt werden und ggf. Optimierungen der Scripts vorgenommen werden, um bei höheren Besucherzahlen mithalten zu können.
Jetzt fallen diese Dinge aber auf einmal unter den Tisch und dem TE wird uneingeschränkt ohne jede Bedenken ein Webspace empfohlen. Ich habe das Gefühl, dass es bei diesen Argumentationen um nichts anderes geht, als die Leute von der Idee abzubringen, einen eigenen Server zu betreiben.
Versteht mich hier nicht falsch, ich will dem TE weißgott nicht dazu raten, sein Geschäft auf einen Server zu stützen, welcher für 20 - 30 EUR mtl. wahrscheinlich nicht die Liebe und Zuneigung erhält, die er braucht ;-)
danton
Debian User
Es muß ja nicht mal ein Einbruch sein. Es reicht ja schon aus, daß ein Update wichtige Teile des Kiste lahm legt - und dann geht es doch los:Ursache suchen, beseitigen, ggfl. Backup einspielen, etc. Da gehen schnell mal ein paar Stunden ins Land und das kann bei einem gut besuchten Shop zu erheblichen Umsatzeinbrüchen führen.
Und ob du nun Microsoft oder die großen Linux-Distributoren nimmst: Jeder hat schon mal bei Sicherheitsupdates nachbessern müssen, weil das Update neue Fehler mitgebracht hat.
M
Marentis
Guest
Verzeihung aber da sehe ich einen massiven Widerspruch in der Argumentationskette. Es ist also eine schlechte Empfehlung ihm zu Webspace zu raten, weil die Skripte und das CMS noch gepflegt werden müssen.
Stattdessen will man ihm nur Böses und rät ihm deshalb nicht zu einem Server, bei dem die Pflege der Skripte UND des Servers übernommen werden sollen? Das erscheint mir kein guter Tausch zu sein, besonders angesichts der geringen Margen verursacht ein Server deutlich höhere Kosten.
Ich habe SACHLICH dargelegt warum ein Webspace in DIESEM FALL günstiger und sicherer ist. Es kann also gar nicht die Rede von einer "Empfehlung ohne Not" sein. Es gibt tausende Gründe warum es ein Server sein muss, hier sehe ich aber keinen einzigen, dafür einen Haufen zusätzliche Kosten und Probleme (wie bereits dargelegt) für den TE, das sind also alles sachliche Argumente.
Diese sachlichen Argumente könntest Du sicherlich sofort beiseite wischen, wenn es mir nur darum ginge Leute von irgend etwas abzuhalten. Stattdessen könnte es auch einfach sein, dass es gute Gründe für meine Empfehlung gibt.
Also, meine Frage: Welchen Nachteil bringt ihm guter Webspace neben den ganzen Vorteilen? Das ist doch eine rein objektive Entscheidung. Unbedingt einen Server nutzen wollen ist dagegen eine subjektive Entscheidung, eine Entscheidung die in diesem Fall auch noch - unnötigerweise - viel Geld kostet.
Ps:
Ich habe ja auch explizit den TE gefragt, dass er sich äussern sollte, dann kann man seine Situation besser einschätzen, ob es ein Server sein muss.
Last edited by a moderator:
In den über 10 Jahren, die ich jetzt schon Auto fahre, kann ich mich an keinen Fall erinnern, in dem ich die Gurte gebraucht hätte. Also fahre ich ab morgen ohne das sinnlose Zeug?
Diese Einzelfall-Argumentation führt zu nix. Auch ich habe schon hornalte Server gesehen, wo ich quitschvergnügt durch fremde Accounts marschieren konnte, ohne dass ich die Bude gleich hochgenommen habe oder jemand anderes dran war. Trotzdem lesen wir hier wöchentlich von übernommenen Servern. Gerade Plesk und Konsorten sind immer wieder nahezu Garant dafür. Selbst wenn nur 10% aller schlecht administrierten Server gecrackt werden, kann ich doch nicht einfach zu einem solchen raten und sagen, statistisch gesehen bist du auf der sicheren Seite.
Mit keiner Silbe habe ich geschrieben oder gemeint, dass eine vernünftige Administration des Servers zu vernachlässigen ist. Ganz im Gegenteil, ich habe sogar geschrieben, dass ich dem TE auch nicht dazu raten würde, einen Server zu betreiben, der für 20-30 EUR im Monat wahrscheinlich eher schlecht als recht betreut wird. Mit meinem Fallbeispiel wollte ich auf die Sicherheitsrelevanz des eigentlichen Shopsystems hinweisen.
Darüber hinaus habe ich geschrieben, dass sich auch mit die Gründe für einen eigenen Server in diesem Fall noch nicht erschlossen haben.
Alles was ich angemerkt habe war die Tatsache, dass bei der Administration eines Servers mit Dingen wie Patchmanagement und Datenschutz ein irrsinnig hoher Kostenapparat zusammengeschustert wird und suggeriert wird, mit einem Webspace sei man auf der sicheren Seite. Dabei ist m.E. die Pflege und Wartung des eigentlichen Online-Shops mindestens genau so aufwändig und sicherheitsrelevant wie die des zugrunde liegenden Systems, wovon aber niemand spricht.
Ich hoffe damit ist etwas klarer geworden, worauf ich hinaus will ;-)
Darüber hinaus habe ich geschrieben, dass sich auch mit die Gründe für einen eigenen Server in diesem Fall noch nicht erschlossen haben.
Alles was ich angemerkt habe war die Tatsache, dass bei der Administration eines Servers mit Dingen wie Patchmanagement und Datenschutz ein irrsinnig hoher Kostenapparat zusammengeschustert wird und suggeriert wird, mit einem Webspace sei man auf der sicheren Seite. Dabei ist m.E. die Pflege und Wartung des eigentlichen Online-Shops mindestens genau so aufwändig und sicherheitsrelevant wie die des zugrunde liegenden Systems, wovon aber niemand spricht.
Ich hoffe damit ist etwas klarer geworden, worauf ich hinaus will ;-)
Nun die von Joe aufgestellten Anforderungen inkl. Zeitbedarf scheinen mir deutlich über das Ziel hinauszuschießen. In diesem Falle würde das Risikomanagement zum Selbstzweck.
Als Einzelunternehmer mit einem kleinen 0815-Onlineshop, muss ich sicherlich kein Patchmanagement streng ITIL V3 konform umsetzen. Auch das tägliche "Security-Audit" kann man auf ein deutlich geringeres Maß zurückfahren.
Selbstverständlich wäre im Falle des TE Webspace oder ein Managed Server die deutlich bessere Wahl, weil er sich so ganz auf sein Business konzentrieren kann. Aber bei dem einen oder anderen Teilnehmer scheint mir etwas das Augenmaß abhanden gekommen zu sein.
Ich zitiere mal aus dem IDW RS FAIT2: "Die konkrete Ausgestaltung des IT-Kontrollsystems zur Gewährleistung dieser Sicherheits- und Ordnungsmäßigkeitsanforderungen (Anm. siehe IDW RS FAIT 1) ist im Einzelfall festzulegen in Abhängigkeit von Risikosituation und dem daraus abgeleiteten Sicherheitskonzept, das den erforderlichen Grad an Informationssicherheit definiert."
Erkenntnis 1: Die Risikosituation eines Atomkraftwerkes, einer Bank und eines Onlineshops differieren sehr stark voneinander.
Erkenntnis 2: Ich darf Restrisiken akzeptieren, soweit wirtschaftlich vertretbar.
Als Einzelunternehmer mit einem kleinen 0815-Onlineshop, muss ich sicherlich kein Patchmanagement streng ITIL V3 konform umsetzen. Auch das tägliche "Security-Audit" kann man auf ein deutlich geringeres Maß zurückfahren.
Selbstverständlich wäre im Falle des TE Webspace oder ein Managed Server die deutlich bessere Wahl, weil er sich so ganz auf sein Business konzentrieren kann. Aber bei dem einen oder anderen Teilnehmer scheint mir etwas das Augenmaß abhanden gekommen zu sein.
Ich zitiere mal aus dem IDW RS FAIT2: "Die konkrete Ausgestaltung des IT-Kontrollsystems zur Gewährleistung dieser Sicherheits- und Ordnungsmäßigkeitsanforderungen (Anm. siehe IDW RS FAIT 1) ist im Einzelfall festzulegen in Abhängigkeit von Risikosituation und dem daraus abgeleiteten Sicherheitskonzept, das den erforderlichen Grad an Informationssicherheit definiert."
Erkenntnis 1: Die Risikosituation eines Atomkraftwerkes, einer Bank und eines Onlineshops differieren sehr stark voneinander.
Erkenntnis 2: Ich darf Restrisiken akzeptieren, soweit wirtschaftlich vertretbar.
Genauso sehe ich es auch. Die Pflege des OS dürfte sogar eher einen Minderteil ausmachen.
Last edited by a moderator:
Joe User
Zentrum der Macht
Darf ich Dich an das "Debian-Debakel" erinnern? Ist keine 12 Jahre her und hatte mehrere 100k gehackte Systeme zur Folge.
Die diversen remote exploitable privilege escalations des Linux-Kernels hatten ebenfalls mehrere 100k gehackte Systeme zur Folge.
Oder die Hashtable-Bugs fast aller Scriptsprachen, oder die diversen Sec-Bugs der glibc oder anderer systemrelevanten Bibliotheken.
Hast Du die letzten 12 Jahre komplett verschlafen?
Oder um mal auf Dein Argument der Shopsoftware zurückzukommen:
News der letzten Tage gelesen? Hint: Magento.
Schaut bei anderen Shopsystemen nicht besser aus und Du bist garantiert einer der Ersten, die laut schreien, wenn ihre Daten durch eine der diversen Lücken in falsche Hände geraten.
Sorry, aber die von mir und anderen aufgezählten Punkte sind für jedes noch so kleine Business essentiell und keine Bagatelle.
Die meisten Shopbetreiber bekommen nichtmal das Patchmanagement für ihre Shopsoftware gebacken und Du willst ihnen dieses auch noch für das Gesamtsystem zumuten?
*kopfschüttel*
Das widerlegt meine persönlichen Erfahrungen, in denen es jedes mal ein geknacktes CMS oder ein wie auch immer bekannt gewordenes Passwort schuld war, genau in welchem Punkt? Ich habe doch nicht behauptet, dass es keine Sicherheitslücken in Betriebssystemen gibt. Ich habe gesagt, dass bei mir nie eine BS-Lücke zu einem Problem geführt hat. Außerdem ist es für mich äußerst fraglich, ob ein Admin für 3500 EUR diese Sicherheitslücke per Definition verhindert hätte. Ich glaube nicht.
Ja, genau das sage ich doch auch. Die eingesetzte Software ist meiner Meinung nach mindestens genau so wartungsintensiv und sicherheitsrelevant wie das System darunter.
Mit deiner Argumentation müsstest du folgerichtig dem Shopbetreiber auch zwingend dazu raten, seine Rechnungen lieber mit einer Schreibmaschine zu schreiben oder einen Admin einzustellen, der drei mal täglich den PC auf Herz und Nieren prüft. PCs werden nämlich auch zu hunderttausenden kompromittiert jedes Jahr.
Ich denke TerraX hat das Ganze nochmal gut auf den Punkt gebracht. Je nach Anwendungsfall und je nachdem, was dahinter hängt, ergeben sich völlig unterschiedliche Ansprüche an Sicherheit und Verfügbarkeit, aus denen dann entsprechende Maßnahmen abzuleiten sind.
Last edited by a moderator:
D
Deleted member 11740
Guest
Ja und?
Wenn es nach dir ginge, wohnten wir immer noch in Höhlen.
Seit wann ist durch Menschen erstellte Software sicher? Da brauchst du auch nicht 10 Jahre zurück zu gehen.
Ich habe so das Gefühl, dass du jemand bist, der sehr viel Know-How hat, sich aber nie traut irgendein Risiko einzugehen. Ein gesundes Mittelmaß von beiden Dingen wäre angebrachter.
Es ist ja noch nicht einmal dein Risiko. Ich möchte dich nur einmal an die EMV-Diskussion erinnern.
Joe User
Zentrum der Macht
Danke, auch wenn ich es selbst nicht als "sehr viel" einschätzen würde, dafür jedoch sehr breit.
Ich gehe selbst durchaus viele Risiken ein, aber deshalb muss ich nicht gleich andere Personen zum Eingehen von Risiken, deren Konsequenzen sie nichtmal abschätzen können, animieren oder gar drängen. Das ist nämlich auch eine Form von (sozialer) Verantwortung, welche ich für mich jedenfalls weiterhin in Anspruch nehmen werde.
Welche Du wohl noch immer nicht verstanden hast, sonst würdest Du sie nicht in diesem Zusammenhang erwähnen. Ich werde die EMV aber in diesem Thread nicht diskutieren, aber Du darfst gerne dazu einen Monolog führen...
Fakt bleibt, dass man (nicht nur) für businesscritical Systeme entsprechendes Know-How mitbringen, oder halt teuer einkaufen muss. Völlig unabhängig davon, ob man 5EUR/Monat oder 5kkEUR/Monat Umsatz macht.
Passendes Sprichwort: Schuster bleib bei Deinen Leisten.