Aktive Softwarepflege ist gutes Risikomanagement

Aktive Softwarepflege ist Risikomanagement

Stiefkind Softwarepflege

Ob CMS für die WebSite, Groupware für die Unternehmensorganisation, Customer Relationship Management für die Kundenkommunikation oder Cloudservices für den unkomplizierten Austausch von Daten und Informationen – unsere Abhängigkeit von Online-Software Anwendungen wächst. Und immer wichtiger wird in diesem Zusammenhang die Frage der Stabilität und Sicherheit, insbesondere wenn es zum Beispiel um Content Management Systeme geht, einem neuralgischen Punkt jedes Unternehmens im eBusiness.

Die Software wird irgendwann gekauft, lizenziert oder wie im Falle der freien Software einfach installiert. Danach folgenden anwender- oder unternehmensspezifische Anpassungen wie Einrichtung der Nutzerdaten und -rechte, ergänzt um Funktionserweiterungen wie z. B. sogenannte „PlugIns“ oder spezielle Datenbank-/PHP-Funktionen, welche sehr häufig zusätzlich benötigt werden. Wir haben es dann nicht mehr nur mit einer Software zu tun, sondern mit einem Sammelsurium an Anwendungen, welche zwar aufeinander abgestimmt aber im einzelnen autark funktionieren. Vor allem in einer wichtigen Frage: wie hält man sie alle aktuell, verhindert Zusammenbrüche bzw. sorgt dafür dass das Gesamtsystem stabil und sicher weiterarbeitet?

Selbst Profis tun sich schwer, auf Dauer den Überblick zu behalten, welches Update bzw. welches Sicherheitspatch unbedingt durchgeführt werden muss und welche Auswirkungen dies auf die anderen Systemkomponenten hat. Daher wird das leidige Thema Softwarepflege gerne nur halbherzig angegangen. Für die oben genannten Software Anwendungen mögen kleinere Fehler, Sicherheitslücken oder Ausfälle zunächst nur lästig sein, tatsächlich wandeln sie sich aber mit fortlaufender Betriebsdauer zu tickenden Zeitbomben.

Sichere stabile Online-Software? Eine Frage der Pflege!

Alle Softwarehersteller arbeiten beständig an der Verbesserung und Erweiterung ihrer Produkte. Nicht alle sind sinnvoll oder hinreichend geprüft, aber eines haben sie gemeinsam: Erkannte Software-Fehler, sogenannte Bugs, die sich erst im Alltagseinsatz zeigen, müssen behoben werden, und Sicherheitslücken, die aufgrund von Aktivitäten wenig freundlich gesonnener Elemente im World Wide Web entstehen, geschlossen werden. Aus diesen Sicherheitsgründen sollten die von den Herstellern bereitgestellten Patches auf die Kundensysteme aufgespielt werden.

Das betrifft die eigentliche Anwendungssoftware (z.B. Typo3, WordPress, GroupOffice, Roundcube) und deren installierte Funktionserweiterungen, oft Extensions oder PlugIns genannt, PHP-Software-Module UND das im Hintergrund arbeitende Server-Betriebssystem. Zwischen all diesen Komponenten bestehen gegenseitige Abhängigkeiten, die bei der Pflege bedacht werden müssen. Erschwerend kommt hinzu, dass sie in einer jeweils sinnvollen Reihenfolge aktualisiert werden müssen. Neben dem Faktor Faulheit sorgt die Komplexität einer sorgfältigen Softwarepflege also leider häufig dafür, dass diese nicht kontinuierlich und problemfrei durchgeführt wird.

Komplexe Softwarepflege am Beispiel Typo3-Update

Ein typisches Beispiel aus der jüngsten Vergangenheit: Das Versionsupdate bei Typo3 von 4.7 auf 6.2. Hier wurde zunächst von der neuen Version eine sehr aktuelle PHP-Version verlangt. Allerdings kamen einige der installierten Extensions/Funktionserweiterungen mit der neuen PHP-Version nicht zurecht. Auch diese mussten entsprechend angepasst werden, um unschöne Funktionsfehler innerhalb der WebSite zu vermeiden. Bei einigen Kundeninstallationen war klar, dass das verwendete Server-Betriebssystem die brandneuen PHP- oder MySQL-Versionen nicht verkraften würde. In diesem Fall war ein einfaches Update gar nicht möglich, sondern musste ein spezielles Verfahren der Softwarepflege erarbeitet werden, um das Risiko zu minimieren, durch unerwartete Probleme während oder nach Updates eine nicht funktionierende Anwendung zu erhalten.

Wichtigste Schritte

Vor jedem Betriebssystem- oder Anwendungsupdate sollte eine komplettes Backup durchgeführt werden, das im Fehlerfall sehr schnell aktiviert werden kann. Anschließend sollte vor jedem Update von Anwendungen sowie deren Erweiterungen wenigstens ein Backup des Web-Filesystems und der Datenbank angelegt werden. Ideal ist natürlich, eine aktive „Reserve“ auf einem laufenden Server zu haben, das durch Umschalten aktiviert werden kann (Bsp.: Active Backup bei BB-ONE.net).

Update-Strategie als Basis für Riskomanagement

In jedem Fall sollte eine auf die jeweilige Software- und Betriebssystem-Umgebung abgestimmte Update-Strategie die Basis einer sinnvollen Softwarepflege bilden. Das derartiges nicht für ein paar Euro zu haben ist, sollte klar sein, ist aber gut investiertes Geld. Denn die Software-Pflege sichert die Arbeitsfähigkeit eines Unternehmens und sollte als Risikomanagement-Faktor ein wichtiger Bestandteil der fest eingeplanten Betriebskosten sein.