Archiv des Autors: Jörg Kastning

Erkundung von Red Hat Insights — Advisor

In der Einführung in Red Hat Insights habe ich kurz umrissen, worum es sich bei dieser SaaS-Anwendung handelt und wie man RHEL-Systeme einrichtet, um den Dienst nutzen zu können. Dieser Artikel widmet sich dem Menüpunkt „Advisor“ im Insights-Dashboard.

Das Insights-Dashboard ist erreichbar unter der URL: https://cloud.redhat.com/insights/dashboard

shows-rh-insights-dashboard
Bild 1: Übersicht im Insights Dashboard

Das Dashboard gibt einen Überblick darüber, wie viele Systeme aktuell in Insights eingebunden sind, ob es Probleme mit bekannten Systemen gibt, den Patch-Status, Schwachstellen, Compliance-Status, durchgeführte Remediations und Advisor recommendations. Letztere sind Gegenstand dieses Artikels und werden im Folgenden einer genauen Betrachtung unterzogen.

Advisor recommendations bedeutet auf Deutsch soviel wie „Empfehlungen eines Ratgebers“. Der Ratgeber (Advisor) ist in diesem Fall die Firma Red Hat, welche mit Machine Learning Algorithmen, ihrer Erfahrung und dem aus Kunden-Support-Fällen gesammelten Wissen, Ratschläge zur Systemkonfiguration und Hinweise auf Konfigurationsfehler unterbreitet.

Das Dashboard in Bild 1 zeigt, dass Insights für die 13 verbundenen Systeme insgesamt 5 Empfehlungen bereithält, mit denen die Systemkonfiguration verbessert werden kann.

Über das Menü am linken Rand oder den Link im Feld der Advisor recommendations gelangt man auf die Unterseite des Ratgebers, welcher die Empfehlungen in einer Übersicht mit Bewertung darstellt (siehe Bild 2).

Show Advisor recommendations view
Bild 2: Übersicht der Advisor Recommendations

Die tabellarische Übersicht in Bild 2 zeigt die Empfehlungen mit einer kurzen Beschreibung, seit wann diese Empfehlung im Insights existiert, eine Risikobewertung, wie viele Systeme davon betroffen sind und ob ein Ansible-Playbook existiert, mit dem das beschriebene Problem in der eigenen Infrastruktur behoben werden kann.

Auf die einzelnen Funktionen der Seite aus Bild 2 werde ich im Folgenden näher eingehen, während ich eine Bewertung der angezeigten Empfehlungen vornehme.

Als erstes sticht mir der zweite Punkt ins Auge. Mit einem Klick auf den Pfeil vor der Beschreibung werden weitere Details eingeblendet (siehe Bild 3). Hier erfährt man, dass es vermutlich kein Problem darstellt, wenn man zum jetzigen Zeitpunkt kein In-Place-Upgrade auf RHEL 8 durchführt und dass ein Upgrade vermutlich ein Wartungsfenster mit Downtime benötigt. Weitere Informationen bietet der verlinkte Knowledge-Base-Artikel.

Zeigt wie ein Eintrag deaktiviert werden kann
Bild 3: Detailansicht eines Eintrags und Funktion zum Deaktivieren dieser Empfehlung

Ich persönlich bewerte die in Bild 3 ausgewählte Empfehlung als unnütz. RHEL 7 ist immer noch ein Release unter Wartung, welches Sicherheits-Aktualisierungen erhält. Dass RHEL 8 inzwischen in Version 8.2 erschienen ist und mit neuen Funktionen und Verbesserungen aufwartet, ist bekannt, aber kein Grund für übereilte Upgrades. Darüber hinaus führen wir im BITS in der Regel keine In-Place-Upgrades durch. Stattdessen installieren wir eine neue virtuelle Maschine (VM), migrieren Daten und Dienste und schalten anschließend den alten Host ab.

Zum Glück muss man sich von unbedeutenden Meldungen nicht ewig nerven lassen. Wie in Bild 3 zu sehen, bietet Insights die Möglichkeit, Meldungen einfach zu deaktivieren. Sehr schön empfinde ich dabei, dass man einen Grund angeben kann (siehe Bild 4). So wird man auch nach Wochen oder gar Monaten daran erinnert, warum man einen Eintrag deaktiviert hat.

Shows justification note dialog
Bild 4: Insights bietet die Möglichkeit einen Grund für die Deaktivierung einer Empfehlung anzugeben

Anschließend wird der Eintrag in der Übersicht nicht mehr angezeigt (vgl. Bild 5).

Show only enabled recommendations
Bild 5: Mit dem automatisch aktivierten Filter werden nur noch aktive Einträge angezeigt. Deaktivierte Elemente werden ausgeblendet.

Nach dem Deaktivieren eines Eintrags kam mir sofort die Frage in den Sinn, wo ich diese denn wohl wiederfinden kann. Dies ist über die Filtereinstellungen im oberen Bereich der Seite möglich (siehe Bild 6).

Show disabled recommendations
Bild 6: Anzeige der deaktivierten Elemente

An dieser Stelle möchte ich erwähnen, dass das Insights-Team die entsprechende Empfehlung nach meiner Rückmeldung komplett aus Insights entfernt hat. Schön, dass man als Kunde hier Gehör findet.

Bewertung der weiteren Empfehlungen

Es bleiben noch vier weitere Empfehlungen, die ich im Folgenden für meine konkrete Umgebung bewerten will. Alle vier haben gemein, dass ich vermutlich nie bewusst nach diesen Konfigurationseinstellungen gesucht hätte. Und zumindest zwei sind dabei, bei denen ein genauerer Blick lohnt. Und mit diesen fange ich an.

OS boot failure occurs due to uncertain disk discovery order when /dev/sdN format device names are used in /etc/fstab

Hier wird auf eine Konfiguration hingewiesen, die im ungünstigsten Fall den Bootvorgang eines Hosts verhindert. Eine Einstufung als „Important“ ist daher nachvollziehbar. Lässt ein System, das nicht startet, doch regelmäßig den Puls und Adrenalinspiegel eines Sysadmin steigen.

Um mir das (mögliche) Problem näher erläutern zu lassen, rufe ich aus der Detailansicht den dort verlinkten Knowledge-Base-Artikel auf. Dabei fällt mir auf, dass, obwohl ich ausschließlich RHEL 7 Systeme verwende, auf einen Artikel verlinkt wird, der nur für RHEL 6 gilt. Immerhin findet sich in diesem eine Referenz zum entsprechenden Artikel für RHEL 7. Hier hätte man gleich passend verlinken können.

Wie ist dieser Eintrag nun für uns zu bewerten?

Die beiden betroffenen Systeme sind schon einige Zeit in Betrieb und haben bereits mehrere Neustarts ohne Probleme überstanden. Das potenzielle Problem scheint sich zumindest in unserer Umgebung nicht negativ auszuwirken.

Insights bietet für diesen Fall die Erstellung eines Ansible-Remediation-Playbooks an, mit welchem das Konfigurationsproblem behoben werden kann. Da ich in diesem Fall nicht der System-Betreiber für die beiden aufgeführten Systeme bin, kann ich dies jedoch nicht ohne Rücksprache mit dem entsprechenden Kollegen zur Ausführung bringen.

Ich habe den entsprechenden System-Betreiber über dieses Ereignis benachrichtigt, ihm die mögliche Lösung weitergeleitet und ihm die Entscheidung überlassen, wie er weiter damit verfahren möchte. Dieser hat sich für den Hinweis bedankt und das Problem sofort behoben.

In einem späteren Artikel werde ich mich noch damit beschäftigen, wie ich Kollegen Zugriff auf das Insights-Dashboard gewähren kann, so dass diese ihre Systeme darin selbst verwalten und untersuchen können.

Traffic occurs or services are allowed unexpectedly when firewall zone drifting is enabled

Dies ist aus meiner Sicht wirklich ein interessanter Fund. Denn er weist darauf hin, dass womöglich Kommunikation durch die lokale Host-Firewall erlaubt wird, obwohl dies nicht beabsichtigt ist (vgl. Bild 7).

Show further details of a recommendation
Bild 7: Recommendations lassen sich über den Pfeil am Anfang einer Zeile aufklappen, um weitere Informationen zu sehen.

Auch hier liefert der verlinkte Knowledge-Base-Artikel ausführliche Informationen.

Ich werde diesen Punkt auf jeden Fall mit dem betroffenen Kollegen thematisieren. Ich denke, dass hier ein kleiner Wissenstransfer angebracht ist, da nach meiner Einschätzung auch weitere Kollegen sich des konkreten Verhaltens nicht bewusst sind. Von daher bewerte ich diesen Ratschlag als gut und sinnvoll.

Ein Punkt übrigens, der mir am Insights-Dashboard allgemein gut gefällt, ist, dass ich jederzeit anzeigen lassen kann, wie viele Systeme betroffen sind und noch wichtiger, welche dies sind (siehe Bild 8).

Show affected systems
Bild 8: Ansicht der betroffenen Systeme

Decreased security: httpd serving unencrypted (HTTP) traffic

Dies ist eine Meldung mit niedriger Risiko-Einstufung und so werden wir sie auch behandeln. Bei den betroffenen Systemen handelt es sich um Test-Systeme. Der System-Betreiber hat hier bewusst auf die Implementierung von TLS/SSL verzichtet.

Decreased security: Yum GPG verification disabled (third-party repos)

Dieser Punkt stellt sich wider Erwarten als interessant heraus. Wir betreiben eigene Repositories, welche nur innerhalb unserer Einrichtung verwendet werden. Um den Aufwand zu minimieren, verzichten wir bei diesen auf die Signierung der Pakete.

Überraschend ist jedoch der Umstand, dass bei einigen Hosts auch die GPG-Signatur-Überprüfung für ein gespiegeltes RHEL-Repo deaktiviert ist. Um dies herauszufinden, muss man sich nicht erst zu einem betroffenen System verbinden und dies untersuchen. Es genügt ein Klick auf den Hostnamen in der Liste der betroffenen Systeme (vgl. Bild 8), um zu einer Ansicht zu gelangen, die neben einer ausführlichen Beschreibung auch einen Lösungsweg anbietet.

Insights bietet nicht nur Unterstützung dabei herauszufinden, was falsch ist, sondern auch wie man das Problem abstellt. Ich werde im Laufe des Tests fortlaufend überprüfen, wie häufig Insights hier mit sinnvollen Lösungen aufwarten kann.

Slow system boot when storage devices do not support WRITE SAME command

Neu hinzugekommen und daher in obigen Bildern noch nicht enthalten ist dieser Hinweis auf ein Problem, welches die Leistung des Systems beim Bootvorgang reduzieren kann.

Insights hat diesen Incident erkannt, nachdem das betroffene System neugestartet wurde, der insights-client erneut gelaufen ist und Insights eine entsprechende Meldung in /var/log/messages gefunden hat.

Das Problem selbst ist uns seit langem bekannt. Es fällt allerdings in die Kategorie: „Gucken wir uns an, wenn wir mal Zeit haben.“ Also vermutlich nie. Zum Glück booten unsere VMs innerhalb weniger Sekunden und es wird hier kein Problem wahrgenommen.

Zwischenfazit

Ich stehe noch am Anfang unseres Tests. Die bisherigen Erkenntnisse lassen daher noch keine abschließende Bewertung zu, ob ein dauerhafter und ausgedehnter Einsatz von Insights gerechtfertigt ist.

Als erster Eindruck bleibt eine benutzerfreundliche Oberfläche, welche eine intuitive Bedienung gestattet. Der Advisor enthält bis jetzt neben einigen belanglosen Empfehlungen auch interessante Hinweise.

Einführung in Red Hat Insights

Bei Red Hat Insights handelt es sich um eine SaaS-Anwendung, welche Nutzern von RHEL-Subskriptionen kostenlos zur Verfügung steht.

Dieser Artikel bietet eine kurze Einführung in Red Hat Insights, zeigt, wie RHEL-Systeme in den Cloud-Dienst eingebunden werden und führt wichtige Dokumente und Quellen zum Dienst auf.

Hinweis: Ich teste den Dienst im Rahmen meiner beruflichen Tätigkeit im Bielefelder IT-Service Zentrum (BITS) der Universität Bielefeld. Dieser Artikel spiegelt meine persönliche Ansicht zu Red Hat Insights wider. Des Weiteren weise ich darauf hin, dass ich Mitglied der Red Hat Accelerators Community bin (siehe „Zu meiner Person“).

Was ist Red Hat Insights?

Red Hat Insights, im folgenden Text auch kurz Insights genannt, ist ein von der Firma Red Hat angebotener Cloud-Service, welcher der proaktiven Analyse von Umgebungen mit Red Hat Enterprise Linux (RHEL) dient. Als Ergebnis dieser proaktiven Analyse erhält der Systemadministrator Hinweise auf vorhandene Konfigurationsprobleme, Sicherheitslücken und Schwachstellen sowie Handlungsempfehlungen, wie diese behoben werden können.

An Insights angebundene Systeme werden vom lokal installierten Insights-Client gescannt und gegen ein Regelwerk abgeglichen, um potenzielle Risiken in Bezug auf die System-Leistung, Skalierbarkeit, Verfügbarkeit und Sicherheit zu identifizieren und zu melden. Red Hat ist dabei bestrebt, die Sammlung persönlicher Daten zu vermeiden.

Neben dem Reporting können über diesen Service auch Ansible-Playbooks zur Mitigation erkannter Probleme generiert und von einer on-premise vorhandenen Ansible Engine ausgeführt werden. Das Regelwerk wird von der Firma Red Hat gepflegt und stetig erweitert.

Seit 2019 ist Insights in allen aktiven RHEL-Subskriptionen enthalten. Somit entstehen keine zusätzlichen Kosten durch die Nutzung des Dienstes.
Insights kann in RHEL-Installation verwendet werden, unabhängig davon, ob diese on-premise, in privaten oder öffentlichen Clouds betrieben werden.

Die Produktdokumentation und eine FAQ-Sektion finden sich unter den folgenden URLs:

Wer noch keine Zugangsdaten für die vorstehend verlinkten Seiten besitzt, kann sich für eine kostenlose Red Hat Developer Subscription registrieren. Mit dieser erhält man auch Zugriff zur Red Hat Wissensdatenbank.

Ob Red Hat Insights den Mehrwert bietet, den es verspricht, versuche ich gerade in einem zeitlich und vom Umfang her begrenzten Test herauszufinden. Mit den folgenden Schritten könnt ihr euch auch selbst ein Bild davon machen.

Datenschutz und Datensicherheit

Für uns ist die Nutzung eines SaaS-Dienstes wie Insights nicht ganz unproblematisch. Wer die vorstehend verlinkte Dokumentation liest, wird schnell feststellen, dass zur Erbringung des Dienstes jeder angebundene Host eine Menge Daten sammelt und an den Cloud-Dienst überträgt. Dies ist einerseits erforderlich, damit der Service funktioniert. Denn ohne zu analysierende Daten kann es keine Hinweise und Empfehlungen geben. Anderseits kann man anhand der übertragenen Daten eine ziemlich genaue Karte der Netzwerkinfrastruktur zeichnen.

Insights selbst wird auf OpenShift Dedicated in AWS (US East) gehostet. Aktuell gibt es keinerlei Pläne, den Dienst in weiteren Regionen zu hosten.

Der insights-client bietet mit den Optionen --no-upload bzw. --offline die Möglichkeit, Daten lokal zu sammeln, ohne diese an den Cloud-Dienst zu übertragen. Als Sysadmin hat man so die Möglichkeit, im Vorfeld zu inspizieren, welche Daten gesammelt wurden. Dazu gibt es die Möglichkeit, eine Blacklist zu pflegen und zu spezifizieren, welche Daten von der Sammlung und Übertragung auszuschließen sind.

Die folgende Datei beinhaltet eine Baumansicht der Dateien und Informationen, die ein insights-client auf einem System mit installiertem MediaWiki gesammelt hat. Darunter befinden sich z.B. diverse Konfigurationsdateien und mit Hilfe verschiedener Kommandos gesammelte Informationen.

Stellt man sich den Betrieb von 100 RHEL-Servern vor, welche verschiedenste Dienste erbringen, wird jedoch deutlich, dass eine manuelle Kontrolle und Pflege individueller Blacklists für alle Systeme nicht leistbar ist. Zumal sich das Regelwerk, welches die zu sammelnden Daten bestimmt, dynamisch ändert und eine Prüfung vor jedem Upload erfolgen müsste.

Leider existiert Stand heute keine on-premise Appliance, welche die Nutzung des Dienstes innerhalb des eigenen Perimeters ermöglichen würde. Auch eine Whitelist für den insights-client existiert (noch) nicht. Letzteres würde dem Nutzer noch mehr Kontrolle über die Daten-Sammlung/-Übertragung geben. So könnte er einmal definieren, was übertragen werden darf und müsste nicht fürchten, dass bereits einige Tage später weitere Daten ohne sein Wissen gesammelt und übertragen werden.

Sowohl den Wunsch nach einer on-premise Appliance, als auch den Vorschlag zur Einführung einer Whitelist, habe ich dem Insights-Team gemeldet. Die Meldung wurde nach meinem Empfinden konstruktiv aufgenommen. Und auch wenn mein größter Wunsch nach der Appliance kurz- und mittelfristig nicht realisiert werden wird, fühle ich mich als Nutzer ernst genommen und habe das Gefühl, dass mein Feedback willkommen ist.

Red Hat beschreibt in oben verlinkter Dokumentation, dass der Dienst keine persönlichen Daten sammelt. So sind /etc/{passwd,group,shadow} sowie /home nicht in den gesammelten Daten enthalten. Auch werden keine vollständigen Logdateien an den Dienst übertragen. Generell legt Red Hat sehr viele Informationen über den Dienst offen und handelt hier sehr transparent. Das Unternehmen verhält sich in dieser Hinsicht vorbildlich.

Wenn ein Client keine Daten mehr übermittelt, werden die zuletzt von ihm empfangenen Daten nach 14 Tagen automatisch gelöscht. Wird ein Client aus Insights entfernt, werden die für diesen Client gespeicherten Daten ebenfalls gelöscht.

Nichtsdestotrotz verliert man die Gewalt über einmal übertragene Daten. Man muss dem Anbieter wie bei jedem SaaS-Dienst vertrauen, dass er sich an die eigenen Zusicherungen und Versprechen hält.

Möchtet ihr Insights in eurer Dienststelle oder eurem Betrieb testen, rate ich euch deshalb, sprecht zuerst mit der/dem Informationssicherheitsbeauftragten und Datenschutzbeauftragten und eurer/eurem Vorgesetzten über das Thema.

Trotz aller Bedenken bietet Insights die Chance, Kenntnis über Probleme und Schwachstellen zu erlangen, die bisher unbekannt sind und ein größeres Sicherheitsrisiko darstellen als die regelmäßige Datenübertragung an Insights. Ob der Nutzen überwiegt, muss allerdings jede Organisation für sich selbst beurteilen.

Einrichtung von Red Hat Insights auf Red Hat Enterprise Linux

Die folgenden Schritte setzen voraus, dass die verwendeten RHEL-Systeme registriert sind und über eine gültige Subskription verfügen.

Manuelle Einrichtung

Um den vollen Funktionsumfang von Insights nutzen zu können, werden die folgenden Pakete installiert:

$ sudo yum -y install openscap-scanner scap-security-guide insights-client

Die Installation des OpenSCAP-Scanners und des SCAP-Security-Guides sind optional. Diese Pakete sind erforderlich, um den Compliance Service nutzen zu können. Da der insights-client in RHEL 8 bereits integriert ist, muss dieser hier nicht gesondert installiert werden.

Um die Einrichtung des insights-client abzuschließen und gesammelte Daten an den SaaS-Dienst zu übertragen, genügt es, das folgende Kommando auszuführen:

$ sudo inights-client --register

Automatisierte Einrichtung mit Ansible

Um die notwendigen Schritte zur Einrichtung nicht auf jedem Host manuell ausführen zu müssen, kann folgendes Ansible-Playbook verwendet werden.

---
- hosts: rh-insights-poc # Gruppe aus dem Ansible-Inventory
  tasks:

  - name: Make sure required packages are present
    yum:
      name:
        - openscap-scanner
        - scap-security-guide
        - insights-client
      state: latest

  - name: Register insights-client
    command: insights-client --register

Für meine Zwecke reicht obiges Playbook. Alternativ gibt es auf Ansible Galaxy eine Rolle mit deutlich größerem Funktionsumfang: redhatinsights.insights-client

Sind die Systeme eingerichtet und registriert, ist es an der Zeit, sich unter der URL https://cloud.redhat.com einzuloggen und das Insights Dashboard zu erkunden.

Startseite unter https://cloud.redhat.com

An dieser Stelle lasse ich euch vorerst mit dem Dashboard allein. Im nächsten Artikel dieser kleinen Reihe werde ich mich mit dem Inisghts Advisor befassen.

CVE — Ist mein RHEL-System betroffen? Was kann ich tun?

Regelmäßig berichtet die IT-Fachpresse über neue Common Vulnerabilities and Exposures (CVE). Dieser Artikel möchte euch eine kleine Hilfestellung geben, um herauszufinden, ob euer RHEL-System von einem CVE betroffen ist.

In unserem Rechenzentrum betreibe ich ein Patchmanagement mit Ansible für unsere RHEL-Systeme. Dieses stellt sicher, dass einmal im Monat verfügbare Red Hat Security Advisories (RHSA) auf allen RHEL-Systemen installiert werden. Damit gewährleisten wir ein Mindestmaß an Sicherheit. Selbstverständlich können darüber hinaus alle System-Betreiber*innen zu jeder Zeit verfügbare Updates auf den von ihnen betreuten Servern installieren.

Wie eingangs erwähnt berichtet in der Regel die IT-Fachpresse über neue Sicherheitslücken und Schwachstellen. Diese Meldungen enthalten häufig auch die sogenannten CVE-Nummern, welche eine Schwachstelle/Sicherheitslücke eindeutig identifizieren. Mit Hilfe dieser Nummer könnt ihr feststellen, ob euer RHEL-System verwundbar ist und ob ggf. schon ein Patch existiert, welcher das Problem behebt.

Für diesen Text habe ich exemplarisch zwei Schwachstellen ausgewählt:

Nutzung der Red Hat CVE-Datenbank

Red Hat betreibt eine CVE-Datenbank unter der URL: https://access.redhat.com/security/security-updates/#/cve

Hier kann man nach einer CVE-Nummer suchen und zu weiterführenden Informationen zu einer Schwachstelle gelangen (siehe Abb. 1). Hinter dem Link in der Tabelle verbirgt sich eine Detail-Seite für den jeweiligen CVE.

screenshot-cve-database.png
Abb. 1: Screenshot der Red Hat CVE-Datenbank für CVE-2020-0543

Liefert eine Suche keine Treffer zurück, kann dies verschiedene Ursachen haben (siehe Abb. 2).

screenshot-rh-cve-2020-0595.png
Abb. 2: Red Hat CVE-Datenbank liefert nicht zu jeder CVE-Nummer einen Treffer

Nutzung des Paket-Managers auf der Kommandozeile

Mit Hilfe des Paket-Managers YUM kann für jedes System individuell geprüft werden, ob für einen CVE ein entsprechender Fix existiert. Der folgende Codeblock veranschaulicht dies:

$ sudo yum updateinfo list --cve CVE-2020-0543                                
[...]
RHSA-2020:2432 Moderate/Sec. microcode_ctl-2:2.1-61.6.el7_8.x86_64
updateinfo list done
$
$ sudo yum updateinfo list --cve CVE-2020-13777
Loaded plugins: langpacks, product-id, search-disabled-repos, subscription-manager
updateinfo list done
$

Die erste Abfrage nach CVE-2020-0543 zeigt, dass es ein Security-Advisory für ein installiertes Paket gibt, welches von der Schwachstelle betroffen ist. Gegen CVE-2020-13777 ist das System hingegen nicht verwundbar. Dies ist in diesem Fall der Tatsache geschuldet, dass GnuTLS auf dem genutzten System nicht installiert ist.

Mit Hilfe des folgenden Befehls lassen sich auch auf der Kommandozeile weitere Informationen zu einem CVE abrufen:

$ sudo yum updateinfo info --cve CVE-2020-0543 
Loaded plugins: langpacks, product-id, search-disabled-repos, subscription-manager

===============================================================================
  Moderate: microcode_ctl security, bug fix and enhancement update
===============================================================================
  Update ID : RHSA-2020:2432
    Release : 0
       Type : security
     Status : final
     Issued : 2020-06-09 18:20:28 UTC
       Bugs : 1788786 - CVE-2020-0548 hw: Vector Register Data Sampling
	    : 1788788 - CVE-2020-0549 hw: L1D Cache Eviction Sampling
	    : 1827165 - CVE-2020-0543 hw: Special Register Buffer Data Sampling (SRBDS)
       CVEs : CVE-2020-0543
	    : CVE-2020-0548
	    : CVE-2020-0549
Description : Security Fix(es):
            : 
            : * hw: Special Register Buffer Data Sampling
            :   (SRBDS) (CVE-2020-0543)
            : 
            : * hw: L1D Cache Eviction Sampling (CVE-2020-0549)
            : 
            : * hw: Vector Register Data Sampling
            :   (CVE-2020-0548)
            : 
            : For more details about the security issue(s),
            : including the impact, a CVSS score,
            : acknowledgments, and other related information,
            : refer to the CVE page(s) listed in the References
            : section.
            : 
            : Bug Fix(es):
            : 
            : * Update Intel CPU microcode to microcode-20200602
            :   release, addresses:
            :   - Update of 06-2d-06/0x6d (SNB-E/EN/EP C1/M0)
            :     microcode from revision 0x61f up to 0x621;
[...]

CVE durch Update schließen

Ich persönlich empfehle in der Regel, das gesamte System mittels sudo yum -y upgrade zu aktualisieren und so alle installierten Pakete auf den aktuellsten Stand zu bringen. Es ist jedoch auch möglich, nur die Updates zu installieren, die notwendig sind, um eine spezielle Schwachstelle zu schließen. Auch hierfür wird wieder die CVE-Nummer genutzt:

$ sudo yum upgrade --cve CVE-2020-0543
Loaded plugins: langpacks, product-id, search-disabled-repos, subscription-manager
 --> mock-2.2-1.el7.noarch from @epel removed (updateinfo)
 --> unbound-libs-1.6.6-3.el7.x86_64 from @rhel-7-server-rpms removed (updateinfo)
 --> mock-2.3-1.el7.noarch from epel removed (updateinfo)
 --> unbound-libs-1.6.6-4.el7_8.x86_64 from rhel-7-server-rpms removed (updateinfo)
1 package(s) needed (+0 related) for security, out of 3 available
Resolving Dependencies
--> Running transaction check
---> Package microcode_ctl.x86_64 2:2.1-61.el7 will be updated
---> Package microcode_ctl.x86_64 2:2.1-61.6.el7_8 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

==============================================================================================================================================================
 Package                              Arch                          Version                                   Repository                                 Size
==============================================================================================================================================================
Updating:
 microcode_ctl                        x86_64                        2:2.1-61.6.el7_8                          rhel-7-server-rpms                        2.6 M

Transaction Summary
==============================================================================================================================================================
Upgrade  1 Package

Total size: 2.6 M
Is this ok [y/d/N]:

Obigem Code-Block ist zu entnehmen, dass Updates für insgesamt drei Pakete zur Verfügung stehen. Um CVE-2020-0543 zu schließen, wird jedoch nur das Paket microcode_ctl aktualisiert. Die beiden anderen Pakete werden nicht verändert.

Weitere Informationsquellen zu diesem Thema

Firefox-Profil auf neue Rechner/Installationen umziehen

Es ist eigentlich so einfach und doch suche ich jedes Mal erneut danach. Deshalb möchte ich hier kurz die Links zu den deutschsprachigen Mozilla-Artikeln festhalten, welche den Umgang und Umzug von Firefox-Profilen erläutern.

Thunderbird-Daten auf neue Rechner/Installationen übertragen

Es ist so einfach und doch suche ich jedes Mal erneut. Darum verlinke ich hier die deutschsprachige Anleitung von Mozilla: Thunderbird-Daten auf einen neuen Rechner übertragen

Ergänzend zu obiger Anleitung dokumentiere ich an dieser Stelle, wie die Einstellungen des Add-Ons Enigmail zur Übertragung auf einen neuen Rechner gesichert werden können.

Dazu geht man in die Add-On-Einstellungen von Enigmail und öffnet die Registerkarte „Einstellungen übertragen“. Anschließend lässt man sich vom Export-Assistenten durch den Prozess führen.

Elektrisch höhenverstellbarer Schreibtisch für das Arbeitszimmer

Die Corona-Pandemie hat auch meinen Arbeitsplatz verändert und ich arbeite seit März im Homeoffice.

Nun zähle ich bereits zu den Glücklichen, die ein eigenes Arbeitszimmer und einen ordentlichen Schreibtisch haben. Beim Thema Bürostuhl habe ich mir beholfen, indem ich meinen Stuhl aus der Dienststelle mit heim genommen habe. Anmerkung: Fragt im Zweifel eure Vorgesetzten um Erlaubnis. Doch ein guter Bürostuhl ist für eure Gesundheit sein Gewicht in Gold wert.

Um nun nicht die gesamte Arbeitszeit im Sitzen zu verbringen, beschäftige ich mich mit dem Gedanken, für daheim ein elektrisch höhenverstellbares Tischgestell anzuschaffen, auf das ich eine meiner vorhandenen Arbeitsplatten montieren kann.

Rahmenbedingungen

desk-at-the-home-office
Die Arbeitsplatte rechts im Bild soll zu einem elektrisch höhenverstellbaren Tisch umgerüstet werden.
  • Vorhandene Arbeitsplatte mit dem Maßen (BxT) in cm: 150×80
  • Höhe obere Kante (sitzend): 74 cm
  • Meine Größe: ca. 188 cm
  • Wunscharbeitshöhe (stehend): ca. 114-120 cm
  • Abstand Tischbeine: 127,5 cm

Bei der Wunscharbeitshöhe (stehend) bin ich mir noch unsicher. Dies kann ich vermutlich erst dann wirklich beurteilen, wenn ich einige Stunden an einem entsprechenden Tisch gearbeitet habe.

Objekte der Begierde

Nach einer Internetrecherche habe ich folgende drei Tischgestelle ins Auge gefasst:

  1. Das FlexiSpot E5, welches mir von einem Arbeitskollegen empfohlen wurde
  2. Das Boho Office® Basic Line von Boho Möbelwerkstatt
  3. Das OFFICE ONE, von moebel-eins

Die drei genannten elektrisch höhenverstellbaren Tischgestelle sind für Preise zwischen 319 € und 399 € im Internet zu finden und werden in der Regel frei Haus geliefert. Alle drei passen grundsätzlich zu oben genannten Rahmenbedingungen und kommen daher prinzipiell in Frage.

Für das FlexiSpot-Gestell spricht, dass es im Internet bereits für 319 € zu bekommen ist (Stand 10.04.2020) und eine mir bekannte Person damit zufrieden ist. Für mich haben Empfehlungen von Bekannten stets mehr Gewicht, als Bewertungen Unbekannter. Meine vorhandene Tischplatte liegt mit ihren 80 cm Tiefe zwar an der Grenze, jedoch noch im Toleranzbereich.

Für das Tischgestell der Boho Möbelwerkstatt spricht, dass es zusätzlich über einen Kollisionsschutz verfügt und die Firma in Rietberg ansässig ist. Der Ort liegt bei mir quasi um die Ecke und ich könnte mit einem Kauf ein Unternehmen aus der Region unterstützen. Gegen das Modell spricht für mich nur der Preis, welcher mit 399 € am oberen Rand liegt und die Aussage, dass eine Belastung mit 80 kg empfohlen wird, obwohl er auch 120 kg ausreichend stabil sei.

Die Nummer drei aus obiger Liste stammt ebenfalls von einem Unternehmen aus Deutschland, bietet ebenfalls einen Kollisionsschutz und liegt preislich mit 369 € im Mittelfeld. Mit den angegebenen 130 kg bietet dieses Modell die größte Belastbarkeit. Im Gegensatz zu den anderen beiden Modellen bietet der Hersteller keine Garantie, die über die gesetzliche Gewährleistung hinausreicht.

Entscheidung für Nummer 3…

…wenn da nicht noch die Varianten für elektrisch höhenverstellbare Eck-Tischgestelle wären, die optimal zu meinem Schreibtisch passen würden.

  1. Boho Office Basic Line 90
  2. Office One elektrisch höhenverstellbares Eck-Tischgestell

Mit diesen könnte ich den gesamten Tisch in der Höhe verstellen und hätte keine Lücke zwischen der höhenverstellbaren Platte und dem Rest des Tisches.

Allerdings sind 559-649 € schon eine andere Hausnummer.

Zwischenfazit

Aktuell ist das Homeoffice bis zum 30. April mein regelmäßiger Arbeitsplatz. Ob diese Regelung verlängert wird oder ich danach von einer Homeoffice-Regelung profitieren kann ist ungewisst.

Ich würde dazu tendieren, in ein elektrisch höhenverstellbares Eck-Tischgestell zu investieren. Doch nicht in einer Situation, in der nicht sicher ist, auch regelmäßig daran arbeiten zu können.

Daher zögere ich eine Entscheidung hinaus, bis ich Klarheit über eine mögliche Homeoffice-Regelung habe.

Ich werde euch auf dem Laufenden halten, wie es mit der Entscheidungsfindung weitergeht.

Spielerei mit DNS-Abfragen

Vor Kurzem fragte mich ein Freund, welchen DNS-Server ich ihm empfehlen könne. Zuerst war ich verwirrt und verstand die Frage nicht. Mein Freund sagte daraufhin, dass der DNS-Server seines Internet Service Provider (ISP) Anfragen nur schnarch-langsam beantwortet. Da ich mir nicht vorstellen konnte, dass dies eine allzu große Rolle spielt, war es Zeit für eine kleine Spielerei.

Hinweis: Es handelt sich hierbei wirklich nur um eine Spielerei zum Zeitvertreib und keinen fundierten Test.

Wer sich die Funktionsweise des DNS noch einmal ins Gedächtnis rufen möchte, kann hier im Blog nachlesen.

Das Spielfeld

Die folgende Grafik zeigt das Spielfeld für unsere DNS-Abfragen:

Das Spielfeld für unsere DNS-Abfragen

Im Bild zu sehen ist ein WLAN-Router als zentrale Schaltstelle im Heimnetzwerk. Über WLAN mit der Connect Box verbunden ist ein Notebook, welches für unsere Spielerei als Client dienen soll. Mit einem LAN-Kabel angeschlossen ein Pi-Hole, als DNS-Resolver im LAN. Darüber hinaus halten noch der DNS-Server meines ISP, ein DNS-Server von Google (8.8.8.8) und einer von Cloudflare (1.1.1.1) für unsere Spielerei her. Insgesamt sind also vier DNS-Server am Spiel beteiligt.

Das Spiel

In diesem Spiel nutze ich das Kommando dig, um jeweils zwei Anfragen an jeden der vier DNS-Server zu senden. Zwei Anfragen deshalb, um jedem Resolver die Chance zu geben, mindestens eine Anfrage aus seinem Cache beantworten zu können.

Gegenstand der Abfrage wird ein A-Record meiner Domain „my-it-brain.de“ sein. Im Folgenden wird jeweils die gekürzte Ausgabe von dig wiedergegeben, welcher man die Zeit für die Abfrage entnehmen kann.

Nach jeder Abfrage werden noch 10 Pings an den jeweiligen DNS-Server gesendet, um die Zeit zu mitteln, die das Paket auf der Leitung unterwegs ist.

TL;DR

Wie zu erwarten war, hat der Pi-Hole das Spiel mit den kürzesten Antwortzeiten gewonnen. Die DNS-Server von Google und Cloudflare liegen ungefähr gleich auf, wobei der Server von Cloudflare meine Domain bei der ersten Abfrage vermutlich noch nicht im Cache hatte. Der vierte im Bunde ist ein DNS-Server, welcher nach Angaben meines ISP in Dortmund steht. Dieser ist von der Abfragezeit her nicht schlechter, als die Server von Google und Cloudflare. Sieht man sich die Ping-Statistik an, kann ich wohl froh sein, überhaupt eine Antwort erhalten zu haben.

Im Folgenden findet ihr die Ausgaben der einzelnen Kommandos.

@karl: Wie sieht das denn bei dir aus?

Die Ergebnisse

$ dig @192.168.11.3 -4 my-it-brain.de A
[...]
;; Query time: 6 msec
;; SERVER: 192.168.11.3#53(192.168.11.3)
;; WHEN: Mo Apr 06 22:53:43 CEST 2020

$ dig @192.168.11.3 -4 my-it-brain.de A
[...]
;; Query time: 8 msec
;; SERVER: 192.168.11.3#53(192.168.11.3)
;; WHEN: Mo Apr 06 22:54:55 CEST 2020
;; MSG SIZE  rcvd: 59

$ ping -c 10 192.168.11.3
--- 192.168.11.3 ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 21ms
rtt min/avg/max/mdev = 3.002/4.425/8.268/1.725 ms

$ dig @80.69.100.230 -4 my-it-brain.de A
[...]
;; Query time: 44 msec
;; SERVER: 80.69.100.230#53(80.69.100.230)
;; WHEN: Mo Apr 06 22:59:41 CEST 2020
;; MSG SIZE  rcvd: 87

$ dig @80.69.100.230 -4 my-it-brain.de A
[...]
;; Query time: 49 msec
;; SERVER: 80.69.100.230#53(80.69.100.230)
;; WHEN: Mo Apr 06 22:59:44 CEST 2020
;; MSG SIZE  rcvd: 87

$ ping -c 10 80.69.100.230
--- 80.69.100.230 ping statistics ---
10 packets transmitted, 5 received, 50% packet loss, time 119ms
rtt min/avg/max/mdev = 18.458/19.942/21.248/1.092 ms

$ dig @8.8.8.8 -4 my-it-brain.de A
[...]
;; Query time: 53 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mo Apr 06 23:01:09 CEST 2020
;; MSG SIZE  rcvd: 59

$ dig @8.8.8.8 -4 my-it-brain.de A
[...]
;; Query time: 49 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mo Apr 06 23:01:12 CEST 2020
;; MSG SIZE  rcvd: 59

$ ping -c 10 8.8.8.8
--- 8.8.8.8 ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 22ms
rtt min/avg/max/mdev = 18.120/20.722/23.760/1.554 ms

$ dig @1.1.1.1 -4 my-it-brain.de A
[...]
;; Query time: 89 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Mo Apr 06 23:03:26 CEST 2020
;; MSG SIZE  rcvd: 73

$ dig @1.1.1.1 -4 my-it-brain.de A
[...]
;; Query time: 48 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Mo Apr 06 23:03:28 CEST 2020
;; MSG SIZE  rcvd: 73

$ ping -c 10 1.1.1.1
--- 1.1.1.1 ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 23ms
rtt min/avg/max/mdev = 20.748/49.316/87.433/24.899 ms

Schlussworte

Ich persönliche ziehe es vor, einen DNS-Resolver möglichst in bzw. nah an meiner Infrastruktur zu nutzen.

Neben der Geschwindigkeit der Abfragen bekommt so auch niemand mit, wie oft ich eine Seite aufrufen möchte, da alle auf die initiale Abfrage folgenden Abfragen aus dem Cache beantwortet werden.

Bedenkt man, dass die Ladezeit von Webseiten teilweise im Bereich mehrerer Sekunden liegt, fallen die paar Millisekunden für die Namensauflösung aber eh nicht so schwer ins Gewicht.

Kommunikation im Homeoffice

Mit diesem Artikel möchte ich an „Wie die Corona-Pandemie den eigenen Arbeitsplatz verändert“ anknüpfen und meine Erfahrungen über die Kommunikation im Homeoffice mit euch teilen.

Die gute Nachricht vorweg: „So viel ändert sich im Vergleich zum Alltag im Büro gar nicht.“ Denn die folgenden Kommunikationsmittel stehen höchstwahrscheinlich unverändert zur Verfügung:

  • E-Mail
  • Ticket-System
  • Telefon
  • Chat
  • Videokonferenz

Was wegfällt, ist das persönliche Gespräch von Angesicht zu Angesicht und die spontanen Stand-Up-Meetings an der Kaffeemaschine.

Textbasierte Kommunikation

Hierunter lassen sich die Kommunikation via E-Mail, Ticket-System und Chat zusammenfassen. Wer diese Kommunikationsmittel bereits aus dem Büro kennt, für den ändert sich im Homeoffice im Prinzip nichts. Denn diese Werkzeuge werden hier in gleicher Art und Weise verwendet.

Für manche mag der Chat als Kommunikationskanal neu hinzugekommen sein. Die Kommunikation per Chat ist in der Regel etwas schneller als per E-Mail und weiterhin bedeutend langsamer als per Telefon. Zum Teil lässt sich hierüber auch das „Geplapper“ an der Kaffeemaschine abbilden.

Um zumindest ein wenig Ordnung ins Chat-Chaos zu bringen, bieten alle gängigen Werkzeuge die Möglichkeit, Chats in Kanäle, Threads und Unterhaltungen zu untergliedern, welche sich jeweils wiederum verschiedenen Themen zuordnen lassen.

Nun kommt es hin und wieder vor, dass ein zu behandelndes Thema als Ticket oder E-Mail zum Leben erweckt wird. Dann setzt sich die Kommunikation plötzlich im Chat fort. Evtl. telefoniert man auch noch einmal dazu oder diskutiert das Thema in einer Videokonferenz. Am Ende sind die Informationen zum Thema über viele Kommunikationskanäle verteilt und lassen sich nur mit viel Aufwand wieder zusammenführen.

Daher ist mein Rat, versucht Medienbrüche so gut es irgendwie geht zu vermeiden. Erhaltet ihr auf ein Ticket oder eine E-Mail keine Antwort, innerhalb des euch angemessen erscheinenden Zeitraums, ist es legitim, per Telefon oder Chat nachzufragen, ob man von dem Ticket bzw. der E-Mail bereits Kenntnis erlangt hat. Die eigentliche Kommunikation sollte jedoch im ursprünglichen Medium zu Ende geführt werden.

Bedenkt, dass ihr dem Empfänger einer Nachricht auch Zeit zum Lesen, Denken und Handeln lassen müsst. Eine E-Mail zu versenden und den Empfänger 5 Minuten später per Anruf oder Chat-Attacke zu fragen, ob dieser die E-Mail schon gelesen und bearbeitet hat, gehört sich nicht. Und zwar unabhängig davon, ob man im Büro oder im Homeoffice sitzt.

Wir benutzen bei uns Rocket.Chat. Die Threads sind ein Alptraum, doch davon ab lässt es sich ganz gut damit leben. Welche Chat-Software ist bei euch im Einsatz und wie zufrieden seid ihr damit?

Telefon- und Videokonferenzen

Ich wünschte, ich hätte rechtzeitig Aktien der großen Anbieter von Videokonferenz-Anwendungen gekauft. Denn diese erleben in Zeiten der Corona-Pandemie einen Zulauf wie vermutlich selten zuvor.

Für uns steht seit längerem der Dienst DFNconf zur Verfügung. Da die deutschen Universitäten und Hochschulen verstärkt auf diesen zugreifen, hat dieser Dienst zuletzt seine Lastgrenze erreicht und ist zu Peak-Zeiten (ca. 9-11 Uhr und 13-17 Uhr) kaum nutzbar. Als Alternativen stehen uns seit kurzer Zeit nun auch Skype for Business und Zoom zur Verfügung. Besonders letzteres hat sich bisher durch Stabilität, Qualität und Einfachheit in der Benutzung bewährt.

Die genannten Anwendungen mögen dabei weder die Besten noch die Schönsten sein. Doch konnten sie schnell zur Nutzung bereitgestellt werden und funktionieren. Mal schauen, ob uns diese Anwendungen auch nach der Krise erhalten bleiben oder ob dann ein Wechsel auf eine andere Anwendung bevorsteht.

Tipp 1: Ein Headset muss nicht teuer sein und ist sein Gewicht in Gold wert. Es steigert die Sprachqualität in Videokonferenzen häufig signifikant.

Tipp 2: Wenn ihr an einer Videokonferenz teilnehmt und gerade nichts zu sagen habt, schaltet euer Mikrofon auf stumm. Nebengeräusche wie der Kriegsschrei der Kinder, Husten, Niesen oder der Rasenmäher des Nachbarn sind nur beim ersten Mal amüsant. Danach stören und verzögern sie eine Konferenz nur unnötig.

Doch gibt es ja noch zig weitere Anwendungen in diesem Bereich. Was nutzt ihr? Wo seht ihr Stärken und Schwächen der unterschiedlichen Anwendungen?

Last but not least ist dort ja auch noch das klassische Telefon. Da bis vor kurzem noch nicht abzusehen war, dass plötzlich ein Großteil der Belegschaft ins Homeoffice verlegt wird, verfügen wir bisher über keine Soft-Clients oder ähnliches, um von daheim so telefonieren zu können, als wären wir im Büro. Wir haben statt dessen Rufumleitungen von der Dienstnummer auf ein privates Endgerät eingerichtet. So ist die telefonische Erreichbarkeit sichergestellt. Ich selbst muss so gut wie nie heraustelefonieren. Für den Fall, dass dies doch einmal vorkommt, wähle ich mit unterdrückter Rufnummer. Damit schütze ich mich davor, dass mich wie früher plötzlich wieder dienstliche Anrufe nach Feierabend auf meiner privaten Nummer erreichen. Auch das geht in meinen Augen gar nicht.

Fazit

Alles in allem fühle ich mich gut gerüstet, um im Homeoffice mit den Kolleg*innen kommunizieren zu können. Hier und da hakt es noch manchmal ein wenig, doch ich bin guter Hoffnung, dass sich das noch einschleifen wird.

Ich wünsche euch, dass euch die passenden Kommunikationswerkzeuge zur Verfügung stehen, um auch im Homeoffice effektiv und effizient kommunizieren und arbeiten zu können.

tmux und tmux-xpanes

Die beiden genannten Anwendungen ergänzen erst seit kurzer Zeit meine SysAdmin-Werkzeugsammlung und werden im folgenden kurz vorgestellt.

Um Programme auch nach dem Beenden einer SSH-Sitzung weiterlaufen lassen zu können, habe ich in der Vergangenheit unter verschiedenen Distributionen das Programm screen verwendet. Mit dem Release von RHEL 7.6 (en) ist screen deprecated (en). Da es somit in RHEL 8 nicht mehr enthalten ist, wurde es Zeit, sich nach einer Alternative umzusehen, welche ich in tmux gefunden habe.

Mit tmux werden die gleichen Anforderungen erfüllt, welche ich an screen gestellt habe und ermöglicht es darüber hinaus, innerhalb eines Terminals oder einer Terminalemulation verschiedene virtuelle Konsolensitzungen zu erzeugen und zu verwalten. Sitzungen können getrennt („detach“) und später weitergeführt werden („attach“). Auch die Möglichkeit, ein Fenster vertikal und horizontal in mehrere „panes“ zu unterteilen, finde ich sehr praktisch.

Die Möglichkeit, ein tmux-Fenster in verschiedene Bereiche zu unterteilen, brachte mich zu der Frage, ob es damit nicht auch möglich ist ein weiteres Werkzeug aus meiner Sammlung abzulösen.

Cluster SSH (en) ermöglicht es, auf einfache Weise parallele SSH-Sitzungen zu mehreren Hosts aufzubauen. Für jeden Host wird dabei ein eigenes xterm-Fenster geöffnet und Befehle können zeitgleich an alle verbundenen Hosts gesendet werden.

Zwar bietet auch tmux mit der Option „synchronize-panes on“ die Möglichkeit, Befehle gleichzeitig an mehrere „panes“ zu senden, doch müssen diese und die SSH-Sitzungen darin zuvor manuell hergestellt werden, was sich als recht umständlich erwies.

Hier betritt nun tmux-xpanes (en) von Yasuhiro Yamada die Bühne, welches diesen Arbeitsschritt enorm erleichtert.

Ich pflege recht umfangreiche ssh_config(5)-Dateien, welche sich hervorragend durch tmux-xpanes nutzen lassen. Folgendes Bild soll die Anwendungsmöglichkeiten veranschaulichen:

Quelle: https://raw.githubusercontent.com/wiki/greymd/tmux-xpanes/img/movie_v4.gif

Eine umfassende Beschreibung der hier vorgestellten Werkzeuge würde den Umfang eines Artikels sprengen. Daher sei für weiterführende Informationen auf die folgende Linksammlung verwiesen.

Linksammlung zu tmux und tmux-xpanes

Wie die Corona-Pandemie den eigenen Arbeitsplatz verändert

Für viele Arbeitnehmer*innen hat sich der Arbeitsplatz in den vergangenen Tagen drastisch verändert. Statt die tägliche Arbeitsleistung in der Firma, der Dienststelle oder dem Büro zu erbringen, ist nun Telearbeit, auch Homeoffice genannt, angesagt.

Seit Mitte März arbeite auch ich von daheim. An dieser Stelle möchte ich meine Erfahrungen mit euch teilen.

Doch zuerst möchte ich mich noch einmal ganz herzlich bei meinen Kollegen und Kolleginnen aus der Abteilung Desktop Services bedanken. Diese haben unter großer Anstrengung dafür gesorgt, dass wir kurzfristig mit adäquatem Arbeitsgerät ausgestattet wurden, um die nächsten Tage, Wochen oder sogar Monate von zu Hause aus arbeiten zu können. Vielen Dank!

Von daheim zu arbeiten ist für viele Kolleg*innen und mich eine völlig neue Situation. Stand die Möglichkeit der Telearbeit in der Vergangenheit doch nicht allen Mitarbeiter*innen offen und wurde nur genehmigt, wenn bestimmte Rahmenbedingungen erfüllt waren. Hinzukommt, dass plötzlich alles ganz schnell ging und kaum Zeit blieb, um eine Organisation mit mehreren tausend Beschäftigten geordnet und geregelt auf Telearbeit umzustellen. Meiner persönlichen Erfahrung nach hat es dennoch gut geklappt. Und so berichte ich nun aus meinem Arbeitszimmer.

Mein Arbeitsplatz bzw. mein Arbeitszimmer

Glücklich ist, wer ein Arbeitszimmer hat. Denn hier findet sich nicht nur entsprechendes Mobiliar und Platz für die notwendigen Arbeitsmittel. Es hilft mir auch dabei, Berufliches und Privates voneinander zu trennen.

So habe ich eine Arbeitsfläche auf meinem Schreibtisch von meinen Bastel-Projekten befreit und dort die Gerätschaften aufgebaut, die mein Arbeitgeber mir mitgegeben hat (außer dem Baby-Yoda, den meine Frau gehäkelt hat und der schicken R61-USB-Tastatur, das ist meine :D )

picture-of-workspace
Bild meines aktuellen Arbeitsplatzes

Ich habe den Platz so eingerichtet, dass von außen einfallendes Licht nicht blendet, ich jedoch gleichzeitig nicht im Dunkeln sitzen muss. Das künstliche Licht leuchtet das Arbeitszimmer bei Bedarf gleichmäßig aus, ohne zu blenden oder ungünstige Schatten auf meinen Arbeitsplatz zu werfen. So lässt es sich gut arbeiten, ohne allzu schnell zu ermüden.

Im Zusammenhang mit einem häuslichen Arbeitszimmer stellt sich oft die Frage, ob dieses steuerlich absetzbar ist. Diese Frage kann ich euch leider nicht beantworten. Ich habe hier ein paar Links zusammengesucht, welche eine erste Orientierung bieten können. Weitere Hilfe bieten die Steuerberater*innen und Lohnsteuerhilfevereine.

Rituale helfen, Beruf und Privatleben zu trennen

Vor dem Wechsel ins Homeoffice hatte ich ca. 40 Minuten Fahrtzeit mit dem Auto von der Dienststelle nach Hause. Zeit genug, um abzuschalten. Jetzt beträgt die einfache Wegstrecke zur virtuellen Dienststelle ca. 2,5 Meter.

Um nun dennoch möglichst schnell abschalten und ins Privatleben wechseln zu können, habe ich mir ein paar einfache Rituale angewöhnt, die mir helfen, mir Beginn und Ende meiner Arbeit bewusst zu machen.

Dazu gehört, dass ich jeden Morgen zum Arbeitsbeginn die Jalousie im Arbeitszimmer hochziehe, das Fenster zum Lüften öffne und mir ein frisches Glas mit Wasser zurecht stelle. Erst dann schalte ich das Notebook ein und beginne meinen Tag damit, dass ich meine Kolleg*innen in unserem Teamchat grüße und ihnen einen schönen Tag wünsche.

Zum Feierabend hin ist der Ablauf sehr ähnlich. Ich verabschiede mich aus dem Teamchat, beende die Verbindungen zu den Systemen, mit denen ich den Tag über gearbeitet habe, fahre das Notebook herunter, schließe die Jalousie des Arbeitszimmers, räume Gläser, Tassen und leere Flaschen ab und ziehe beim Verlassen des Arbeitszimmers die Tür hinter mir zu. Dies alles sind nur kleine und unscheinbare Tätigkeiten, doch helfen sie mir dabei, Beginn und Ende der Arbeit bewusst wahrzunehmen.

Rituale können besonders dann wichtig sein, wenn man kein separates Arbeitszimmer besitzt, bei dem man die Tür hinter sich zuziehen kann. Zum Beispiel, wenn der Arbeitsplatz in der Ecke des Wohnzimmers oder am Esszimmertisch existiert.

Schlussworte

Bisher empfinde ich die Arbeit von daheim als angenehm. ich kann weitgehend ungestört von äußeren Einflüssen arbeiten und der lange Arbeitsweg entfällt. So kann ich weniger Zeit auf der Straße und mehr Zeit mit meiner Familie verbringen.

Wie sieht es bei euch im Homeoffice aus? Besitzt ihr ein Arbeitszimmer oder wie habt ihr euch eingerichtet? Habt ihr ebenfalls Rituale rund um das Homeoffice? Wenn ja, wie sehen diese aus? Teilt eure Erfahrungen und Tipps gerne unten in den Kommentaren.