Ein Artikel wie dieser gibt schon schwer zu denken.
Dort wird beschrieben, dass ein Hersteller von Netzwerkkomponenten offenbar versehentlich virenversuchte Speicherkarten in seinen Netzwerk-Switches eingesetzt hat.
Das komplette Security-Bulletin des Herstellers findet sich hier.
Der Sachverhalt mag hier für genau einen Hersteller gelten. So ganz einmalig wird der Vorgang aber nicht sein. Die meisten Hersteller setzen in der Produktion auch IT-Systeme ein, die mit gewissen Risiken behaftet sind. Insofern halte ich den Vorgang an sich für nicht so kritisch, sondern eher für symptomatisch für die ganze IT-Branche.
Es stimmt mich aber nachdenklich, dass offenbar zentrale Netzwerkkomponenten ungeprüft verpackt und ausgeliefert werden. Dieser Fakt ist vermutlich dem herrschenden Preiskrieg und der spitzen Feder der meist rein BWL-lastigen Controller in Unternehmen zu verdanken. Es wird einfach gespart, weil der Kunde es ja „günstig“ haben will.
Auf den Kern reduziert, ist also eigentlich nicht der Hersteller der Hauptverantwortliche. Sondern der Kunde, er will die Ware ja „günstig“? Im Grunde kriegt der Kunde ja immer vorher vom Hersteller das auslösende Signal: Wir haben tolle neue Hardware! Und das zu einem ganz tollen, kleinen Preis.
Muss das so sein? Offenbar ja, denn der Hersteller muss seinen Aktionären Wachstum generieren.
Also wird auf die Rendite geschielt und verkauft, was eben geht. Und da der Vertrieb ja möglichst schnell die neuen Geräte verkaufen will, wird also nur das Gröbste geprüft.
Der Vertrieb will nicht warten, bis für die neuen Geräte alle internen Prozesse angepasst sind und die Firmware mehrfach in realen Szenarios geprüft ist. Oder man verlässt sich blind darauf, dass die internen Qualitätsmaßnahmen schon passen. Tun sie ja in 99% aller Fälle ja auch. Nur eben nicht immer.
Insgesamt gesehen ist der oben aufgeführte Einzelvorgang also nicht weiter erwähnenswert. Es ist schlichtweg ein Nebenschauplatz in der aktuellen IT-Welt.
Nähern wir uns doch mal sachlich. Da ist ein Virus ausgeliefert worden, der auf dem befallenen System nichts bewirkt.
Er verbreitet sich nur, wenn dieser die Flash-Card mit dem Systems des Netzwerkswitches für ein Update in den Rechner schiebt. Eigentlich auch ein minimales Risiko, da diese Update meist über TFTP oder Webbasierte Oberflächen passieren. Die Flash-Card wird also in 99,9% aller Fälle niemals den Netzwerkswitch verlassen.
Was mich deutlich aufhorchen lässt, ist die Tatsache, dass der Sachverhalt einem Jahr auffällt und dann aktiv kommuniziert wird. Das finde ich vom zeitlichen Ablauf eher negativ erwähnenswert, was mir aber positiv auffällt ist die Tatsache, des der Hersteller sich überhaupt äußert.
An dieser Stelle muss man nämlich vor dem Hersteller HP absolut den Hut ziehen. Er wagt es, den Sachverhalt offen zuzugeben und zu kommunizieren. Ein echtes Risiko in einer vom Share Holder-Value getriebenen Welt. Aber es zeugt von Verantwortung und Standing!
Also mehr Mut, mit solchen Pannen umzugehen und sie schnell und aktiv zu bearbeiten!
Es stellt sich nämlich wirklich die Frage, wie viele Netzwerkkomponenten noch in kritischen Infrastrukturen installiert sind und möglicherweise ebenfalls eine solch unerwünschte Fracht an Bord haben. Und zwar nicht nur bei HP. Andere Hersteller haben genau die gleichen Marktzwänge zu erdulden.
Überall wird von Qualitätsmanagement geredet, aber in der Endkontrolle der Fertigung scheint das noch nicht angekommen zu sein. Muss also jetzt der Kunde Neugeräte von Inbetriebnahme komplett zerlegen, um die Komponenten auf Herz- und Nieren zu prüfen?
Hier ist mehr Standing der Hersteller gefordert, die dem Kunden wieder klarmachen, dass vernünftige Endkontrolle Geld kostet, aber absolut sinnvoll ist. Und der Kunde muss das endlich wieder einsehen.
Gehen wir doch mal den jetzt eingeschlagen Argumentationspfad weiter.
Konkret nachgedacht, ist also nicht die Schadsoftware das Kernproblem in Unternehmen mit hoher IT-Durchsetzung. Das Kernproblem ist der IT-Einkäufer und die vorgesetzte Controlling-Abteilung. Beide achten fast immer nur auf den Anschaffungspreis, handeln aber oft gegen den (aus technischer Sicht sinnvollen) Wunsch ganzer IT-Abteilungen. So werden oft Update-Abonnements oder Hardware-Ersatz schlichtweg aus Kostengründen für unnötig erklärt.
Also ist der ganze Vorgang kein Problem der IT. sondern hat eher kaufmännische Ursachen.
Es bleibt nur ein Fazit: Die IT immer nur als Kostenstelle zu sehen und nicht als etwas, das dem ganzen Unternehmen dient, führt ins Abseits! Der Einkauf ist auch kein Kostenträger im klassischen Sinn. Er verringert möglicherweise die Kosten für den Materialeinsatz, aber das auch nur wenn man nicht die Mehrkosten bei Personal oder „After Sales Support“ mit einrechnet. Früher gab es zu Recht den Satz: Wer billig kauft, zahlt doppelt.
Das stimmt noch heute, fällt aber in einer gut angelegten Bilanz nicht mehr so auf.
Und es sei noch einmal gesagt: Kaufleute, hört auf die Techniker. Die wissen durchaus, wovon sie reden und warum sie bestimmte Dinge haben wollen. Rechnet bei „Total Cost of Ownership“ nicht nur Bankzinsen und Ersatzteile ein, sondern endlich auch einmal wieviel unnötigen Personalaufwand die Entscheidung über den Kaufpreis auslöst.
Wenn das Netzwerk das nächste Mal wieder nicht funktioniert, weil der Billig-Switch nur noch piept, ist genug Zeit dafür. Wie, das geht nicht? Ach so. Stimmt. Ohne den kaputten Switch kommt ihr nicht an Zahlen…