Ideen zur Update-Politik

Wie unsere Basiswartung funktioniert

Lesedauer: 10 Minuten

In den letzten Wochen häufen sich Anfragen unserer Kunden dazu, wie wir Updates installieren und ob es wirklich sein muss, den Rechner danach autonatisch neu starten zu lassen.

Bevor ich auf technische Hintergründe eingehe und wir uns in Details vertiefen, nehme ich das Wichtigste vorweg.

Welche Optionen hinsichtlich nötiger Neustarts gibt es?

Kurzum: wenige. Zwei bis drei an der Zahl.

Neustarts zwangsweise durchführen

  • keine Ausfallzeiten während der Arbeit
  • Die sogenannte „Anwendung von Updates“ von Windows 10 Rechnern läuft zu 90% nachts und nicht erst, wenn man den Rechner das nächste Mal startet
  • Rechner sind immer auf aktuellen Stand
  • Sicherheitsniveau ist stets gewährleistet
  • Microsoft Zwangsupdates stören nur in ganz seltenen Fällen (näher dazu weiter unten)
  • keine weiteren Kosten für Behebung von Updatefehlern weil es eben alles funktioniert
  • Reports für Betriebsprüfungen oder Datenschutzaudits zeigen ein gutes Allgemeinbild der IT-Struktur

Diese Variante ist unsere eindeutige Empfehlung. Steht ein wichtiger Termin an oder sollen aus irgend einem anderen Grund ausnahmsweise keine Updates durchgeführt werden, genügt eine kurze E-Mail an uns und wir lassen diesen Rechner vorübergehend aus. Dann erfolgt auch kein Neustart.

Updates zwar nachholen, falls Rechner ausgeschaltet sind, aber danach nicht neu starten

  • kaum Ausfallzeiten während der Arbeit
  • Die sogenannte „Anwendung von Updates“ bei Windows 10 Rechnern läuft zu 100% erst dann, wenn der Benutzer den Rechner das nächste Mal startet. Und das kann gut und gerne mal 1-2 Stunden dauern, in denen der Rechner nicht verwendet werden kann. Dieser Prozess kann nicht abgebrochen oder unterbrochen oder aufgeschoben werden!
  • Rechner sind selten auf aktuellem Stand (Erfahrungswert aus vielen, vielen Jahren IT Support – ausführlich dazu weiter unten)
  • Sicherheitsniveau ist definitiv nicht gewährleistet
  • Microsoft Zwangsupdates pfuschen tagsüber völlig unerwartet rein und starten ggf. auch einfach mal nachmittags den Rechner neu (auch dazu technisch im Detail weiter unten)
  • Behebung von Updatefehlern durch uns kostet Ihre Arbeitszeit und Ihr Geld
  • Reports für Betriebsprüfungen oder Datenschutzaudits können Sie sich sparen, die will kein Datenschutzbeauftragter sehen. Da ist es noch besser zu behaupten, man hätte so etwas nicht.

Updates nicht nachholen

  • in meinen Augen keine Option, dann können Sie sich die Kosten für unsere Wartung auch gleich sparen und es sein lassen 🙂

Eine klare Tendenz, wie wir die Sache sehen, ist wohl nicht zu übersehen. An der Stelle möchte ich aber ganz deutlich betonen, dass wir hier nur Empfehlungen aussprechen möchten. Die Entscheidung muss die Firma treffen. Es gibt bestimmt Situationen, in denen zum Beispiel die zweite Variante sinnvoll sein mag. Zwecks Festlegung einer unternehmensweiten sicheren Einstellung aber sehen wir das als nicht praktikabel an. Wenn man dem Benutzer die Möglichkeit gibt Sicherheitsfunktionen auszuhebeln, dann wird er davon früher oder später Gebrauch machen. Vielleicht liegt das auch einfach in der Natur des Menschen.

Ausnahmen bestimmen die Regel

Anhand einiger Beispiele möchte ich noch etwas näher darauf eingehen, welche Gründe uns gegenüber oft genannt werden und welch so einfache Möglichkeit wir haben, um solche Probleme völlig auszuschließen.

  • „Ich musste eine unglaublich wichtige Präsentation halten und dann startet die Kiste nach drei Minuten neu, das kann doch nicht sein“. Meine Antwort: Wenn die Präsentation so dermaßen wichtig war, dann starte ich den Rechner nicht erst fünf Sekunden vor Beginn der Präsentation.
  • „Ich habe zwei Tage lang an einem Plan gearbeitet und dann war die ganze Arbeit von zwei Tagen verloren“. Tja… klassisches PEBCAK Problem. Der Fehler sitzt vor dem Rechner. Wer zwei Tage lag seine Arbeit nicht ein einziges Mal gespeichert hat, der hat irgend etwas nicht verstanden.

Im Zweifel kann man uns immer rechtzeitig Bescheid geben, dass ein wichtiger Termin ansteht und dann aktualisieren wir diesen Rechner einen Mittwoch ausnahmsweise nicht. Viele Kunden nutzen diese Option regelmäßig.

Und nun ausführlich: Warum empfehlen wir dringend, den automatischen Neustart zwangsweise durchführen zu lassen?

In den vergangenen Jahren haben wir sehr vieles ausprobiert. Wie einer meiner Kollegen heute so treffend formulierte, haben wir uns schlussendlich für die beste Option unter vielen schlechten Möglichkeiten entschieden.

Als Patchday gilt Mittwoch Nacht praktisch als anerkannt. Alle großen Hersteller veröffentlichen jeweils Mittwochs viele Updates und so empfehlen wir unseren Kunden, sich am Mittwoch Abend nur vom Rechner abzumelden und diesen über die Nacht laufen zu lassen. Von uns für Mittwoch Nacht freigegebene Updates werden so automatisch installiert und die Rechner starten bei Bedarf sowie nach erfolgreicher Installation von Updates automatisch neu.

Das hat eine ganze Reihe von Vorteilen: Updates werden außerhalb der Nutzungszeit installiert, Neustarts beeinflussen den Benutzer nicht und es erscheinen auch keine nervigen Meldungen am Bildschirm, die einen ständig zum Neustart auffordern. Falls etwas schief läuft bekommen wir das außerdem in aller Regel mit und können handeln, lange bevor der Mitarbeiter wieder am Rechner sitzt.

Was passiert, wenn der Rechner am Mittwoch Abend oder auch über einen längeren Zeitraum ausgeschaltet ist?

Das ist nun die große Frage aller Fragen, die leider immer wieder für Verwirrung oder auch mal Unmut sorgt. In der Standardeinstellung ist es so, dass die Rechner dann die Updates automatisch nachholen, sobald sie wieder am Netz hängen. Neustart eingeschlossen.

Wir haben es jahrelang anders versucht: die Installation aufgeschoben, die Neustarts beim Nachholen von Updates deaktiviert, den Kunden nur mit Warnhinweisen über nötige Neustarts bombardiert. Es hat alles nicht funktioniert.

Ich kann mich an nicht einen einzigen Kunden erinnern, bei dem damals die Update-Installationen reibungslos geklappt hätten. Seit wir es auf automatischen Neustart umgestellt haben… läuft die Kiste. Und zwar bei ausnahmeslos allen Kunden.

Die Probleme waren vielschichtig:

  • Die Benutzer weigerten sich, den Neustart durchzuführen.
  • Wir mussten die Aufforderung zum Neustart von möglichem zweimal verschieben immer mehr aufbohren, bis einige Kunden beliebig oft den Neustart aufschieben konnten.
  • Updates stauen sich auf.
  • Abhängigkeiten unter verschiedenen Updates wurden nicht erfüllt.
  • und irgendwann führte es immer dazu, dass entweder die Rechner nicht mehr starten wollten wenn man sie dann doch irgendwann einmal neu gestartet hat; oder aber Updates haben generell gar nicht mehr funktioniert (was kein Zustand ist).

Das ist der Grund dafür, dass wir eindringlich empfehlen, den automatischen Neustart durchzuführen wie es unserem Standard entspricht.

Wie installieren wir überhaupt Updates?

Da wir uns nicht nur um Microsoft Updates kümmern sondern um alles, was sich irgendwo auf dem Rechner befindet, verwenden wir hierzu eine eigene Software, eine sogenannte RMM Lösung („Remote Management and Monitoring“).

Wie ist der Ablauf bei der Installation?

Unsere Software analysiert permanent im Hintergrund, welche Softwareprodukte auf dem Rechner installiert sind. Dies wird dann mit eigenen Datenbanken abgeglichen um uns eine Vorschlagsliste für jeden einzelnen Rechner zu erstellen, was alles aktualisiert werden sollte.

Nun ist es aber beileibe nicht so, dass wir grundsätzlich alles und immer sofort aktualisieren. Ganz im Gegenteil, wir bewerten jedes einzelne Update im Kontext des jeweiligen Rechner:

  • Viele Spezialrechner unserer Kunden dürfen z. B. nicht jedes Windows Update installieren. So sind PCs für Röntgengeräte zertifiziert für eine exakte Betriebssystemversion, ein Update wäre fatal denn damit würde das Röntgen die Betriebserlaubnis verlieren.
  • Nicht jedes Update ist fehlerfrei. Wir betreiben unzählige eigene Testrechner (in Form von sogenannten virtuellen Maschinen und auch als physikalische Hardware), auf denen wir die Updates installieren und testen, ob denn überhaupt alles funktioniert. Daher resultieren auch die vielen Blogartikel auf unserer Webseite darüber, wenn man wieder ein Update alles kaputt macht. Unsere Testrechner sind die ersten, die das miterleben müssen.
  • Manche Updates sind nicht sicherheitskritisch, sondern fallen eher in den Bereich der sogenannten Bloatware. So bezeichnet man Software, die überhaupt keine neuen sinnvollen Funktionen mit sich bringt sondern nur lauter Zusatzfunktionen, die der Hersteller propagiert und für sinnvoll hält. Nur leider trifft das nicht für die Nutzer zu, denn die wollen in der Regel einfach nur eine funktionierende Software ohne viel Müll und Werbung.
  • Um Updates sinnvoll verteilen zu können, muss man seine Kunden kennen. Wir wissen, was unsere Kunden und so würden wir z. B. normalerweise einen SQL Server aktualisieren. Bei einer Softwareentwicklungsfirma jedoch würden wir nur darauf hinweisen, dass es ein SQL Service Pack gibt aber die Installation in jedem Fall erst mit dem Kunden abstimmen.

Und so kann das dann in der Praxis aussehen:

Dies wäre die Ansicht für einen einzelnen Rechner. Wir bewerten also, was sinnvollerweise auf genau diesem Rechner für diesen Kunden zu installieren ist und geben die Updates entsprechend frei. Wir könnten hier beispielsweise sagen, dass wir Java aktualisieren möchten, weil dies sicherheitskritisch ist und der Kunde ein Rechtsanwalt. Rechtsanwälte sind zur (mindestens passiven) Nutzung des beA Portals verpflichtet, um Gerichtskorrespondenz abzurufen. beA nutzt Java. Also aktualisieren wir Java. Und so geht das dann jede Woche auf’s Neue, für jeden einzelnen Rechner und jede einzelne Software auf diesem System:

Auch hier kommt wieder ein ganz entscheidender Punkt zum Tragen, weshalb ich so ausführlich auf die Hintergründe eingegangen bin. Ich denke es wird klar, dass der Prozess ziemlich komplex ist und viele, viele Abhängigkeiten untereinander hat.

Jetzt muss man dabei bedenken, dass wir im Gegensatz zu den meisten Anbietern und Systemen ja eben nicht nur Microsoft Produkte aktualisieren sondern auch alle anderen. Von FreeFileSync über 7-Zip bis hin zu irgend wlechen dubiosen Browser-Plug Ins. Die saubere Installation und Funktion können wir nur sicherstellen, wenn wir den Rechner nach der Fertigstellung neu starten und prüfen, dass alles funktioniert.

Drehen wir das doch einmal gedanklich um.

Wir installieren zig Programme, Komponenten, Treiber, Plug Ins und Service Packs. Am besten gleich noch ein Windows 10 Upgrade auf die neue Version dazu. Jau, der Rechner ist irgendwann fertig und will neu starten. Nö sagen wir per Richtlinie, das will der Kunde nicht. Läuft ja.

Denkste… Am Donnerstag Abend packt der Mitarbeiter sein Notebook ein und verabschiedet sich nach Hause. Beim nächsten Neustart der bekannte Bluescreen. Was glauben Sie, welche 24/7 Hotline derjenige dann abends um halb neun anrufen wird? Erraten 🙂

Warum SolarWinds RMM?

Bis Ende letzten Jahres nutzen wir hierzu ein Produkt namens Autotask Endpoint Management („AEM“). Seit der Übernahme von Autotask durch den selbsternannten Weltmarktführer datto hat sich leider nichts an dem Produkt verbessert. Schlimmer noch, es ging rapide bergab. Den Hersteller interessieren nur noch Verkaufszahlen. Die Produkqualität ist Nebensache, Kunden werden in keinster Weise ernst genommen und Kritik wird als unqualifiziert abgetan. Wir haben unzählige offene Supportfälle bei datto, die bis heute nicht gelöst wurden.

Aus diesem Grund haben wir uns nach ausgiebiger Recherche und vielen stundenlangen Tests für SolarWinds entschieden. Auch SolarWinds RMM ist nicht perfekt. Ich gewöhne mich aber daran, dass ich langsam alt werde und zu einer Generation gehöre, die noch eine Gegenleistung für ihr Geld erwartet. Diese Einstellung scheint generell aus der Mode zu kommen.

Bei SolarWinds haben wir aber einige Vorteile gesehen, mit denen andere Hersteller nicht aufwarten können:

  • kein direkter Herstellervertrieb sondern ausschließlich über Ebertlang, einen fachlich hochqualifizierten Lösungsanbieter für IT Systemhäuser (hat den Vorteil, dass Ebertlang auch daran verdienen möchte, dem Hersteller deshalb regelmäßig für uns in den Hintern tritt und ich das nicht alles als „kleines Lichtchen“ selbst machen muss)
  • Serverfarm in Deutschland (datto hat leider bis heute nicht verstanden, dass auch ein amerikanischer Anbieter im Höhenflug trotzdem die DSGVO einhalten muss; was ich von denen als Vertrag bekommen habe ist nicht einmal zum Toilettenpapier geeignet)
  • last but not least: es funktioniert.

Ich weiß, dieser Blogartikel ist recht lang und ausführlich, wohl kaum jemand wird ihn von Anfang bis Ende lesen. Aber wenn doch, dann freut es mich, dass es offenbar nicht alles langweilig war und vielleicht hat es ja auch ein bisschen mehr Einblick darin verschaffen können, was es alles mit diesen lästigen Updates auf sich hat.

Bei Fragen hierzu stehen wir unseren Vertragskunden selbstverständlich jederzeit gerne wie gewont zur Verfügung.

patrick.ruppelt