Online-Workshop ‘Neue Website’, Folge 18 Technik und Sicherheit im laufenden Betrieb

roter Notfallordner

Sollte zu jeder Website gehören: der rote Notfallordner!

Endlich steht die neue Website, das Projekt ist beendet, alle Arbeit getan. Aber halt, noch nicht ganz: Neben dem initialen Aufwand für einen neuen Webauftritt gibt es natürlich auch im laufenden Betrieb das eine oder andere zu tun. Darum geht es in diesem Artikel.

Nicht alle besprochenen Punkte sind dabei für jeden gleichermaßen relevant. Dies hängt beispielsweise davon ab, wie umfangreich und unternehmenskritisch die Website ist und welche Entscheidungen Sie beim Thema Hosting getroffen haben. Dennoch sollten Sie bei jedem der folgenden Themen einmal überlegen, wie es Ihre neue Website im zukünftigen Betrieb betrifft.

Verantwortlichkeiten regeln – Kommunikation etablieren

Wenn eine Website vom Projektstatus in den Betrieb übergeht, gibt es in aller Regel Änderungen in den Verantwortlichkeiten. Vielleicht haben Sie einen Dienstleister für das Projekt engagiert, der sich nach getaner Arbeit und erfolgreicher Abnahme verabschiedet. Oder in Ihrem Unternehmen wechselt die Website die zuständige Abteilung. Oder Sie haben alles alleine zusammen mit einem Hoster gemacht und wenden sich nun neuen Aufgaben zu. In jedem Fall sollten Sie sich folgende Fragen stellen:

Wer ist der ‚Owner‘ der Website? Also wer hat die Gesamtverantwortung und übernimmt die Koordination, z.B. wenn eine größere Änderung oder ein Update ansteht?

Wer ist für die Inhalte verantwortlich? Wen kann man anrufen, wenn Inhalte durcheinandergeraten sind? Und wer ist die Vertretung?

Wer ist für den technischen Betrieb verantwortlich? Wer ist zuständig, wenn statt der Site nur noch eine Fehlermeldung kommt? Auch hier: unbedingt eine Vertretungsregelung etablieren (wenn nicht eine ganze Abteilung verantwortlich ist).

Wie ist die Schnittstelle zwischen technischem Betrieb und Hoster geregelt? Meist gibt es technische Dinge, die innerhalb Ihrer Firma erledigt werden und andere, die ein Dienstleister –  z.B. der Hoster – tut (siehe dazu auch Folge 6 dieses Workshops). Hier ist äußerst hilfreich, wenn es klare Regelungen dazu gibt. Typische Fragen:

  • Wer macht Betriebssystem-Updates? (z.B. Linux/Windows, Apache, PHP, Datenbank)
  • Wer macht Applikations-Updates? (CMS, Plugins, etc.)
  • Wer macht die Datensicherung auf Systemimage-Ebene?
  • Wer macht die Datensicherung auf Datenbank-Ebene?
  • Wer macht die Datensicherung auf Content-Ebene? (z.B. innerhalb CMS)

Außerdem sollte an dieser Schnittstelle eine gute Kommunikation ‚auf Arbeitsebene‘ etabliert werden. Dies ist im Ernstfall meist der wichtigste Faktor für die schnelle Lösung eines Problems.

Wer muss wen in welchem Fall informieren? Überlegen Sie sich, in welchen Fällen Dinge koordiniert werden müssen. Beispiele: Macht die interne IT oder der Hoster Updates einfach dann, wenn es ihm passt? Oder fragt er vorher beim Owner nach, ob zu dem Zeitpunkt gerade eine Präsentation läuft, in der die Website unbedingt funktionieren muss? Ist die Website nach einem CMS-Update wochenlang unbemerkt verunstaltet, oder wird dies anschließend von jemandem systematisch getestet? Wird vor einem Update immer eine Sicherung gefahren?

Dokumentation geordnet ablegen – oder: erstellen

Natürlich gehört zu einem erfolgreichen Website-Projekt auch eine vollständige Dokumentation:

  • Wie genau wurde das System aufgesetzt, welche Besonderheiten (z.B. Plugins) werden benutzt, wie ist alles parametrisiert.
  • Auf welcher Hardware bzw. virtuellen Umgebung läuft das Ganze?
  • Wie ist der Admin-Zugang zum System?
  • Welche System-Passwörter wurden gesetzt?
  • Wie laufen die Datensicherung und das Restore technisch ab?

Nachdem dies alles aufgeschrieben wurde, ist es wichtig,

  1. die Information so abzulegen, dass sie jederzeit schnell wieder auffindbar ist
  2. dass jemand die Dokumentation pflegt, wenn sich etwas ändert (der ‚Dokument-Owner‘)
  3. dass jede Veränderung zum Initialzustand als Logeintrag im Anhang des Dokuments aufgenommen wird.

Fallen Sie beim Thema Dokumentation bitte nicht auf die typischen Ausreden herein! Meine in langjährigen Feldversuchen ermittelten Top 3:

  • Dazu haben wir keine Zeit / Geld!
  • Ist doch alles Standard!
  • Das ist doch sowieso veraltet, wenn man’s braucht!

Es geht nicht um ein 300-Seiten-Dokument. Vermutlich passt alles Notwendige auf drei bis zehn A4-Seiten. Entscheidend ist, dass diese Dokumentation zum Beispiel nach einem Jahr ggf. jemand anderen dazu befähigt, das System zu verstehen, Änderungen nachzuvollziehen und Probleme zu fixen.

Ein Zweitsystem kann sich lohnen

Bewährt hat sich übrigens, jemand anderen mit der erstellten Dokumentation ein Zweitsystem aufsetzen zu lassen. Damit haben Sie drei Fliegen mit einer Klappe geschlagen:

  • Sie haben die Dokumentation qualitätsgesichert
  • Sie können den Restore wirklich einmal testen, nämlich auf dieses Zweitsystem
  • Sie können zukünftig Ihre Updates und Anpassungen auf dem Zweitsystem testen, bevor Sie die produktive Website zerschießen.

Identity Management…

Natürlich ist es wichtig, dass nur berechtigte Personen Ihren Webauftritt verändern können.

Hilfreiche Fragen dazu:

  • Sind noch irgendwelche Standard-User aktiv, mit denen man in das Nun-Produktiv-System kann?
  • Sind Testuser-IDs mit leicht zu erratenden Passwörtern aktiv?
  • Können alle User-IDs das, was sie sollen, aber nicht mehr?

Und im laufenden Betrieb:

  • Werden User-IDs gesperrt, wenn ein Mitarbeiter das Unternehmen verlässt?
  • Wie läuft der Prozess dazu ab und wer macht dies?
  • Wer ist dafür verantwortlich? (Gut, wenn man oben einen Website-Owner definiert hat.)

…und Hardening-Massnahmen

In diesem Zusammenhang ist es auch sinnvoll, darüber nachzudenken, welche Schwachstellen das CMS an dieser Stelle von Haus aus hat und wie man diesen ggf. mit einfachen Maßnahmen entgegnen kann. Das kann über einfache Konfiguration laufen oder z.B. über Plugins. Typische Themen:

  • Wird der Account nach einigen Anmeldeversuchen mit falschem Passwort gesperrt (oder kommt ein Angreifer mittels Brute-Force schnell ins System)?
  • Wird ein Administrator automatisch bei Verdacht auf solche Angriffsversuche informiert? (Und reagiert er dann geeignet?)
  • Werden die User-IDs / Kennwörter immer verschlüsselt übertragen?
  • Welche Schwachstellen sind für das System bekannt (z.B. Default-Datenbanknamen) und welche Gegenmassnahmen gibt es?

Und auch immer wichtig in diesem Kontext:

  • Sind die User dazu sensibilisiert, starke Passwörter zu nutzen und diese z.B. nicht unverschlüsselt in ihrem Webbrowser zu speichern?

Vergegenwärtigen Sie sich, welchen Image-Schaden zum Beispiel ein tagelang unbemerktes Defacement – also eine Verunstaltung Ihrer Website – für Ihr Unternehmen bedeuten kann, bevor Sie solche Maßnahmen leichtfertig übergehen.

Monitoring der Verfügbarkeit

  • Wie lange dürfen Störungen Ihres Webauftritts unbemerkt bleiben?
  • Und wie lange könnte es im schlechtesten Fall dauern, bis Sie tatsächlich mitbekommen, dass etwas nicht stimmt?
  • Können Sie es sich leisten, dass Ihre Kunden Sie darauf aufmerksam machen, dass Ihre Website nicht verfügbar ist?

Die Beantwortung dieser Fragen gibt Ihnen ein Gefühl dafür, wieviel Verfügbarkeits-Überwachung Sie benötigen. Beim einen reicht es möglicherweise, wenn er jeden Morgen seine Website beim Browserstart lädt – und sieht, dass sie noch funktioniert. Der andere verlässt sich lieber auf ein professionelles Monitoring seines Hosters, der internen IT-Abteilung oder eines Drittanbieters. Auch einige kostenlose Angebote findet man dazu im Netz. Beachten Sie, dass es nicht reicht, wenn die Erreichbarkeit des Webservers über das Netzwerk geprüft wird („Ping“), idealerweise sollte auch das Vorhandensein der Inhalte gecheckt werden (z.B. Prüfung mittels HTTP-Request).

Haben Sie einen Notfallplan?

Wenn es zu Problemen im Betrieb Ihrer Website kommt, hilft gute Vorbereitung. Während bei den einen die operative Hektik beginnt, greifen andere zum roten Ordner und arbeiten routiniert ihren Notfallplan ab. Wie gehen Sie in einem solchen Fall vor? Je wichtiger Ihre Website ist, desto besser sollten Sie natürlich für Notfälle vorbereitet sein. Dabei hilft Ihnen vieles, was zuvor in diesem Artikel erwähnt wurde: Eine saubere aktuelle Dokumentation, Zugriff auf alle nötigen Kontaktinformationen, Klarheit bei den Verantwortlichkeiten, Gewissheit in Sachen Backup und Restore. Aber auch eine Liste mit Aktionen und Massnahmen, die Sie oder Ihre Vertretung abarbeiten können, ist Gold wert.

Und wenn das Problem nicht schnell zu lösen ist: Wieviel Zeit brauchen Sie, um eine Ersatz-Seite zu aktivieren, vielleicht erstmal mit reduziertem Funktionsumfang? Auch ein „Diese Website steht momentan wegen Wartungsarbeiten nicht zur Verfügung. Bitte probieren Sie es später nochmal.“ ist besser, als eine SQL-Fehlermeldung, ein Defacement oder eine gefälschte Newsmeldung, dass Ihr CEO zurückgetreten ist.

Fazit

Auch nachdem Sie Ihr Website-Projekt abgeschlossen haben, gibt es noch einiges zu tun. Der angemessene Umfang sieht natürlich bei der Website eines Selbstständigen anders aus als beim Firmenportal eines Großkonzerns. Trotzdem gibt es für jede Größenordnung im Prinzip die gleichen Punkte zu berücksichtigen. Hier zahlt es sich in der Regel aus, wenn man sich zu jedem Thema frühzeitig Gedanken macht und sinnvolle Massnahmen für seinen Website-Betrieb daraus ableitet.

Frank Herberg, Jahrgang 1969, lebt in Zürich und ist Informationstechnologie-Profi aus Leidenschaft. In seinen Spezialgebieten IT-Infrastruktur, Netzwerke und Security verfolgt er aktuelle Entwicklungen seit mehr als 15 Jahren. Sein Know-how setzte er in den vergangenen Jahren als Technologie-Berater und Projekt-Manager in verschiedenen internationalen IT-Projekten in die Praxis um. Zur Zeit genießt er ein Sabbatical. In seinem Techblog gibt er Anwendertipps und schreibt über Themen wie neue Technologien oder Internetsicherheit.

Nächste Folge:
19. Letzte Folge: … uuund los! (erscheint am Mittwoch, 27. Juli 2011)

Bisher erschienen:
Kostenloser Blog-Workshop “Neue Website”: Stellen Sie vorab Ihre Fragen, bitte!
1. Einleitung: So wird Ihre Website ein Erfolg
2. Strategie: Erst das Ziel, dann die Fahrkarte
3. Vorarbeit: Zeitplan und Entscheidungswege
4. Entscheidung: Website, Blog – oder beides?
5. CMS: Wie kommen Ihre Inhalte ins Netz?
6. Webhosting: Wo wohnt Ihre Homepage?
7. Design: Eine gute Website wie ein gutes Buch
8. Barrierefreiheit: Was bedeutet das?
9. Aufbau: Die Struktur folgt Ihren Zielen
10. SEO: Für Suchmaschinen optimieren
11. Webtexte: Für die richtigen Leser schreiben
12. Recht: Was dürfen Sie, was ist gefährlich?
13. Webshop: Verkaufen im Internet
14. Businessfotografie: Gute Bilder entscheiden
15. Videos: Mit Filmen für Ihr Unternehmen werben
16. Budget: Nicht an den falschen Stellen sparen
17. Social Web: Links und Spuren zu Ihrem Angebot
18. Technik und Sicherheit im laufenden Betrieb


Planen Sie die Website Ihres Unternehmens neu aufzubauen, anders zu gestalten oder textlich zu überarbeiten? Oder wollen Sie Ihre statische Website dynamischer machen und an das Social Web anbinden? Dann ist diese Serie für Sie interessant.
In Form eines Workshops – mit Fachbeiträgen und Checklisten – behandle ich viele verschiedene Aspekte, die für eine gute und funktionale Website essenziell sind. Fachleute aus verschiedenen Spezialgebieten tragen in Gastbeiträgen Insider-Tipps und wertvolles Wissen bei. – Der Workshop ist kostenfrei abrufbar, als offen hier im Blog publizierte Serie. Sie müssen sich nicht anmelden und sind an keine Zeiten gebunden. Bereits Veröffentlichtes bleibt online. Sie können also jederzeit von Anfang an einsteigen. Wenn Sie automatisch von diesen (und anderen) Beiträgen erfahren wollen, können Sie


Die Meinung der Gastautoren muss nicht mit der Meinung der Blog-Betreiberin übereinstimmen.

 

  1 comment for “Online-Workshop ‘Neue Website’, Folge 18 Technik und Sicherheit im laufenden Betrieb

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *