IT-Infrastruktur der Piratenpartei (Symbolbild I): So...

Warum Spendenaktion und Konzept der Piratenpartei-Bundes-IT falsch sind – Und: Ein Lösungsvorschlag 14


Die Zuver­läs­sig­keit der IT-Infra­struk­tur der Pira­ten­par­tei bie­tet noch Mög­lich­kei­ten zur Opti­mie­rung. Web­site und Wiki waren in der Ver­gan­gen­heit oft sehr lang­sam und mehr als ein­mal hat es Aus­fäl­le über Stun­den oder sogar Tage gege­ben. Die „Bun­des-IT” betreut für die Bereit­stel­lung der Diens­te meh­re­re Ser­ver und ruft momen­tan – auf der Web­site der Pira­ten­par­tei pro­mi­nent ver­linkt – zu Spen­den auf. 10.000 EUR Bud­get sei­en nicht genug, wenigs­tens wei­te­re 50.000 EUR sei­en nötig, um die geplan­te Infra­struk­tur mit eige­nen Ser­vern, die in einem Rechen­zen­trum unter­ge­stellt wer­den, zu finanzieren.

IT-Infrastruktur der Piratenpartei (Symbolbild I): So...

IT-Infra­struk­tur der Pira­ten­par­tei (Sym­bol­bild I): So…

Ich hal­te die­sen Ansatz für den völ­lig fal­schen Weg. Neben eini­gen tech­ni­schen Pro­ble­men, die zu einem nen­nens­wer­ten Teil auch Kom­mu­ni­ka­ti­ons­pro­ble­men mit dem Hos­ter geschul­det sein dürf­ten (36 Stun­den bis mal einer den Reset-Knopf am Rech­ner gedrückt hat…) ist das Haupt­pro­blem mei­nes Erach­tens, dass sich der gewünsch­te und nöti­ge Grad an Aus­fall­si­cher­heit durch ein Team von Ehren­amt­li­chen auch bei größt­mög­li­chem Ein­satz nicht errei­chen lässt. Des­halb plä­die­re ich ganz im Gegen­satz zu den Plä­nen der IT-Ver­ant­wort­li­chen dafür, die von der Par­tei selbst zu erbrin­gen­den Leis­tun­gen zurück­zu­fah­ren und ver­stärkt auf exter­ne, pro­fes­sio­nel­le Dienst­leis­ter zu setzen.

Ein ent­spre­chen­des Kon­zept­pa­pier habe ich vor knapp zwei Wochen den Ver­ant­wort­li­chen der Bun­des-IT über­sandt. Ich doku­men­tie­re die­ses Kon­zept jetzt noch­mals öffent­lich. Ich hal­te es für wich­tig zu zei­gen, dass sich die Pro­ble­me der IT-Infra­struk­tur der Pira­ten­par­tei auch anders lösen las­sen als dies momen­tan von den Ver­ant­wort­li­chen geplant ist – und das die­se Lösun­gen mei­ner Mei­nung nach nach­hal­ti­ger sind.

Ser­ver­kon­zept Pira­ten­par­tei: Stei­ge­rung der Aus­fall­si­cher­heit durch exter­nern Dienstleister

Nach­dem ich letz­tens deut­li­che Kri­tik an der IT-Infra­struk­tur der Pira­ten­par­tei geäu­ßert habe, wur­de ich gebe­ten, mich an der Dis­kus­si­on dar­um zu betei­li­gen, wie die Orga­ni­sa­ti­on in Zukunft bes­ser lau­fen könn­te. Hier also eini­ge Über­le­gun­gen und Lösungsvorschläge:

Mei­nes Erach­tens ist das Kern­pro­blem, dass wir einer­seits Diens­te haben, deren Ver­füg­bar­keit extrem kri­tisch ist, für die wir aber ande­rer­seits kei­ne Sys­tem­war­tung zur Ver­fü­gung stel­len kön­nen, die die­sem Hoch­ver­füg­bar­keits­an­spruch gerecht wird. Dafür gibt es – wie­der­um mei­nes Erach­tens – zwei Gründe:

  1. Wir arbei­ten mit sehr kom­ple­xen Sys­tem­um­ge­bun­gen, die tech­nisch weit fort­ge­schrit­ten sind (Vir­tua­li­sie­rung, ver­teil­te Ser­ver), aber einen erhöh­ten Ein­rich­tungs- und War­tungs­auf­wand benö­ti­gen und zudem von den Admi­nis­tra­to­ren viel Detailwissen.
  2. Das hete­ro­ge­ne Admi­nis­tra­to­ren­team besteht aus­schließ­lich aus Ehren­amt­li­chen. Im Fal­le von aku­ten Schwie­rig­kei­ten muss des­halb zunächst der Zustän­di­ge ein Zeit­fens­ter für sich schaf­fen, um dann das Pro­blem anzu­ge­hen. Zudem muss viel Arbeit in Abend- und Nacht­stun­den stattfinden.

Ins­be­son­de­re der zwei­te Punkt ist dabei aus­drück­lich kei­ne nega­ti­ve Kri­tik, son­dern eine Zustands­be­schrei­bung. Die Arbeit mit ehren­amt­li­chen Admi­nis­tra­to­ren war in der Ver­gan­gen­heit alter­na­tiv­los. Mitt­ler­wei­le ist durch das star­ke Wachs­tum und die viel­fäl­ti­gen Kom­mu­ni­ka­ti­ons­be­dürf­nis­se aber ein Punkt erreicht, wo die zwangs­läu­fi­gen Beschrän­kun­gen die­ses Ansat­zes in Sachen Ver­füg­bar­keit nicht mehr trag­bar sind.

IT-Infrastruktur der Piratenpartei (Symbolbild II): ...so...

IT-Infra­struk­tur der Pira­ten­par­tei (Sym­bol­bild II): …so…

Mein Ansatz arbei­tet des­halb mit fol­gen­den Grundgedanken:

  • Iden­ti­fi­zie­rung der­je­ni­gen Diens­te, die für die Kom­mu­ni­ka­ti­on die höchs­te Wich­tig­keit haben und auf Grund ihrer Kom­ple­xi­tät am kri­tischs­ten sind. Dies sind mei­ner Ein­schät­zung nach 
  • Ver­wen­dung von mög­lichst ein­fa­chen Set­ups und Serverstrukturen.
  • Aus­la­ge­rung der grund­le­gen­den Sys­tem­ad­mi­nis­tra­ti­on die­ser Diens­te an einen exter­nen Dienst­leis­ter, der auf Ver­trags­ba­sis die Ver­füg­bar­keit der Diens­te sicherstellt.

Die­ses Vor­ge­hen hat mei­nes Erach­tens für alle Betei­lig­te Vorteile:

  • Die Diens­te „Web­site” und „Wiki” sind mit garan­tier­ter Ver­füg­bar­keit ver­se­hen, wir geben uns an die­sen neur­al­gischs­ten Punk­ten kei­ne „Blö­ße” mehr.
  • Die hohe Betriebs­si­cher­heit die­ser Diens­te führt zu gestei­ger­ter Attrak­ti­vi­tät der Platt­form für alle Par­tei­glie­de­run­gen – auch Lan­des- und ande­re Ver­bän­de kön­nen (end­lich) auf der Bun­des­in­fra­struk­tur auftreten.
  • Der exter­ne Dienst­leis­ter kann nicht nur sei­ne Infra­struk­tur in Sachen Rund-um-die-Uhr-Sup­port nut­zen, son­dern auch das dort vor­han­de­ne Know-How für eine per­for­man­te Instal­la­ti­on der Softwarepakete.
  • Die Admins der Pira­ten­par­tei müs­sen sich nicht mehr mit so ermü­den­den Din­gen beschäf­ti­gen wie ein Media­wi­ki zu betüd­deln, son­dern kön­nen sich auf die „span­nen­den” Diens­te kon­zen­trie­ren, bei denen spo­ra­di­sche und even­tu­ell auch etwas län­ge­re Aus­fäl­le nicht so dra­ma­tisch sind.

„Web­site” und „Wiki” sind zudem die­je­ni­gen Diens­te, die mei­nes Erach­tens am wenigs­ten kri­tisch unter Daten­si­cher­heits­aspek­ten sind, anders als zum Bei­spiel „E‑Mail” oder „Mai­ling­lis­ten”. Letz­te­re haben sich zudem in der Ver­gan­gen­heit auch wesent­lich weni­ger als aus­fall­freu­dig dargestellt.

Gesucht ist also ein exter­ner Dienst­leis­ter, der eine Ser­ver­in­fra­struk­tur für die Web­site und das Wiki bereit­stellt, also eine Drup­al- und eine Media­wi­ki-Instal­la­ti­on. Lei­der gibt es sol­che Dienst­leis­ter nicht „wie Sand am Meer”. Gefun­den habe ich den Hos­ting­dienst­leis­ter Mitt­wald, der genau das bie­tet was ich mir vorstelle:

  • Mana­ged Ser­ver mit instal­lier­tem Linux
  • Drup­al und Media­wi­ki (und ein grö­ße­res Bün­del ande­rer Soft­ware) als instal­lier­ba­re Pake­te mit vom Dienst­leis­ter bereit gestell­ten Update­pa­ke­ten, die sich über die Manage­ment­funk­tio­nen des Ser­vers ein­spie­len lassen
  • Diver­se wei­te­re Funk­tio­nen zur Auf­tei­lung von Zugrif­fen und Zustän­dig­kei­ten auf das Sys­tem („Agen­tur­funk­tio­nen”)
  • Dienst­leis­ter küm­mert sich um Hard­ware, Hard­ware­aus­fäl­le etc. mit 24-Stunden-Support
  • Dienst­leis­ter küm­mert sich um Soft­ware­up­dates, Betriebs­sys­tem etc.

Nach mei­ner letzt­lich nicht wirk­lich fun­dier­ten Ein­schät­zung wäre für uns das Paket „XL 5.0” oder „XXL 5.0” pas­send. Wich­tigs­te Beschrän­kung ist höchst­wahr­schein­lich das Trans­fer­vo­lu­men (2 TB bzw. 5 TB), hier könn­te ich mir aber vor­stel­len, dass sich die Trans­fer­last auf dem Ser­ver mit­tels vor­ge­schal­te­ter Squids mas­siv sen­ken lässt. Mit einem pas­send ein­ge­rich­te­ten „XL”-Server kämen wir auf monat­li­che Kos­ten von etwa 200,- EUR, was 1/4 des Bud­gets ent­spricht. Ein „XXL”-Server wür­de mit ca. 300,- EUR/Monat etwa 1/3 des Bud­gets der Tech­nik kosten.

IT-Infrastruktur der Piratenpartei (Symbolbild III): ...oder doch lieber so.

IT-Infra­struk­tur der Pira­ten­par­tei (Sym­bol­bild III): …oder doch lie­ber so.

Bild­quel­le: Wiki­pe­dia, Lizenz, CC-BY-SA 3.0/GNU-FDL‑1.2

Ich hal­te die­sen Weg des Sys­tem­de­signs für den bes­ten, die wich­tigs­ten IT-Diens­te der Par­tei lang­fris­tig sicher bereit­ge­stellt zu bekom­men, ohne dass wir den bis­he­ri­gen ste­ti­gen Ver­schleiß an Per­so­nal haben, das sich im Span­nungs­feld von Erwar­tun­gen und Mög­li­chem auf­reibt. Aller­dings ist es sicher­lich ein erheb­li­cher Para­dig­men­wech­sel und vor wei­ter­ge­hen­den Über­le­gun­gen bezüg­lich der Umsetz­bar­keit müs­sen wir erst­mal klä­ren, ob die­ser Weg über­haupt gewünscht ist oder nicht. Ich den­ke aber, dies könn­te ein Weg sein, erheb­li­chen Druck von der IT zu neh­men und dort den Kopf für ande­re Din­ge freizubekommen.

So weit mein eige­ner klei­ner Bei­trag zu der wohl ewig wäh­ren­den Dis­kus­si­on um die IT-Infra­struk­tur der Piratenpartei.


Schreibe einen Kommentar zu Jens Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

14 Gedanken zu “Warum Spendenaktion und Konzept der Piratenpartei-Bundes-IT falsch sind – Und: Ein Lösungsvorschlag

  • Sleepy

    Ahoy Dirk, Du sprichst mir aus der See­le, ich ver­tre­te auch schon seit län­ge­rem die Mei­nung „Pro­fes­sio­nel­les Auf­tre­ten ver­langt auch pro­fes­sio­nel­les Han­deln” und das ist eben mit einer ehren­amt­li­chen IT nicht zu schaf­fen. Im Ehren­amt kann ich nun­mal kei­ne SLAs ver­lan­gen. Und der­zeit machen wir uns als die „ITler Par­tei” gegen­über den ande­ren regel­mä­ßig lächer­lich, denn deren Web­Auf­trit­te, so schlecht sie teil­wei­se vom Inhalt her auch sein mögen, wer­den pro­fes­sio­nell betrie­ben und fal­len nicht alle 3 Tage aus.
    Und nein, ich fin­de es nicht pein­lich wenn wir das nicht sel­ber machen, son­dern eher im Gegen­teil, weil wir wis­sen wie IT pro­fes­sio­nell betrie­ben wer­den muss, sind wir so kon­se­quent die­se auch ent­spre­chend zu betrei­ben bzw. betrei­ben zu lassen.
    Und hier jetzt anhand von Prei­sen eines Hos­ters das gan­ze direkt Tot zu Reden hal­te ich auch für unprofessionell.
    1. Anfor­de­rungs­ka­ta­log an die Sys­te­me aufstellen
    2. Ausschreibung
    3. Ange­bo­te prüfen
    4. jetzt erst dis­ku­tie­ren was, wie bezahl­bar oder eben nicht ist.

    CU
    Sleepy !

  • Jan Schejbal

    So, und zu den 300 EUR monat­lich fügen wir nun hinzu:
    – 30 EUR für „Moni­to­ring Plus”, weil auch weni­ger offen­sicht­li­che Aus­fäl­le ein­zel­ner Diens­te zügig bemerkt wer­den müssen
    – 20 EUR, da wir ger­ne mehr als nur einen Tag Back­up haben wollen
    – 10 EUR für die Fire­wall, um zumin­dest etwas gegen den DDoS machen zu können
    – 40 EUR, wenn wir „nur” ein Jahr (statt drei!) Ver­trags­lauf­zeit haben wol­len, falls sich der Anbie­ter doch als unge­eig­net erweist

    Macht erst­mal 400 EUR. Aber da kommt noch die Mehr­wert­steu­er oben­drauf. Macht 476 EUR.

    Davon, was bei Traf­fic­über­schrei­tung pas­siert, will ich gar nicht erst spre­chen. 2,90 EUR pro GB kön­nen bei einem TB Übertraf­fic (Wahl!) ganz schnell das Bud­get fressen.

  • Punky260

    „Es ist schon pein­lich, wenn gera­de die PP auf exter­ne Dienst­leis­ter aus­wei­chen sollte”
    Wie­so denn das ?! Im Gegen­teil, wie schon mehr­fach erwähnt ist hier mit ehren­amt­li­chen Mit­ar­bei­tern kei­ne ver­nünf­ti­ge Ver­sor­gung ermöglicht.
    Eine pro­fes­sio­nel­le Lösung, auch bei einem ande­ren Anbie­ter, zu wäh­len ist da kei­ne Schan­de und btw. völ­lig unin­ter­es­sant für irgend­wel­che poli­ti­schen Bilder.

    Ob die so vor­ge­schla­ge­ne Lösung schon „Umset­zungs­fä­hig” ist sei mal dahin­ge­stellt. Aber ganz klar ist das 50k Euro zuviel für die IT ist.
    UND
    Wir bezahl­te Kräf­te brau­chen die sich um unse­re Web­sei­te küm­mern. Solan­ge die Web­sei­ten als „Hob­by” (kei­ne Kri­tik!) betrie­ben wer­den kann auch kei­ne pro­fes­sio­nel­le Leis­tung erwar­tet werden.

  • peter

    Hi,

    an sich gut, aber bei einem pro­fes­sio­nel­len Hos­ter (der zwei unab­hän­gi­ge Strom und Netz-Feeds bereit­stel­len kann), kann man jedem Dienst mit zwei Ser­vern (die dann jeweils an einen oder bei­de Feeds ange­bun­den sind) schon eine gute Erreich­bar­keit ver­pas­sen. Ich den­ke über meh­re­re Rechen­zen­tren clus­tern ist wohl eher nicht nötig. Gut, das Housing wür­de schon ein biss­chen was kos­ten und man ist dann locker mit 500‑1000€ im Monat dabei (je nach Sym­pa­thie des Hos­ters zur PP). Außer­dem braucht man ordent­li­che Hard­ware. Aber ich den­ke mit eige­ner Hard­ware und Ser­vice auf Abruf durch ein ehren­amt­li­ches Eska­la­ti­ons­team das bei Bedarf noch Pro­fis anspre­chen kann, kommt man auch lang­fris­tig gut klar.
    Wenn die Erreich­bar­keit nicht reicht, kann man auch mal sehen ob man Tei­le der Diens­te (z.b. die Web­site) irgend­wie in Ama­zons Cloud umzie­hen kann?

    Vie­le Grüße,
    Peter

  • bmstettin

    Ahoi Dirk,
    die Idee ist zwar recht inter­es­sant, aber ent­hält eine Rei­he von Punk­ten die Dage­gen sprechen.
    Mit die­sem Auf­bau stellt man die gesam­te It Infra­struk­tur so auf das Sin­gle Point of Fail­ure gibt.

    Wenn wir nur einen Ser­ver neh­men und die­ser Crasht sind die Sei­ten erst­mal off­line, da es kei­ne Reser­ve gibt.

    Wei­ter­ge­hend wird es wohl recht Kos­ten­in­ten­siv wenn der Hos­ter Diens­te mit Instal­lie­ren soll die nicht Sei­nen Stan­dard Umfeld ent­spre­chen z.B. Aste­risk, Ldap, Ker­be­ros, Jab­ber, Mum­ble, Maillinglisten.

    Sol­ten wir weg­gen einer Wahl mal wie­der erhöh­ten traf­fic haben und über die 5000 GB gren­ze kom­men, Kos­tet jedes GB 3,52 Euro oder anders gerech­net 1 TB kos­tet mehr als ein 1/3 des It Bud­get (3618€).

    Soll­ten wir dann noch mit dem Traf­fic von uns die Per­for­mance von ande­ren Kun­den oder gar die Infra­struk­tur gefähr­den. Sind sie nach AGB §10 Absatz 2 sogar berech­tigt unse­re Diens­te abzu­stel­len, um die Betriebs­si­cher­heit zu gewährleisten.

    Zum drü­cken des Reset Knop­fes braucht man bei der eige­nen RZ lösung nie­man­den, das wird über das Hard­ware Manage­ment Kon­so­le im Ser­ver abge­deckt mit einer Ip Steck­do­sen­leis­te als Fallback.

    Wei­ter­hin Ist die fra­ge was es Preis­lich für einen Auf­schlag gibt bei einem SLA von 99,9. Ein SLA 99,0% wie von dem Hos­ter aus­ge­schrie­ben bedeu­ten 87,6 Stun­den erlaub­ter Aus­fall im Jahr.

    Wei­ter­hin ist unklar ob Das wir Spei­chern nicht Sie­gel gehal­ten wer­den kann. Dies müss­te im Vor­aus auch noch geklärt wer­den genau­so wie die Kos­ten für die optio­na­len Dienste.

    Ein Kon­zept ent­hält nicht nur eine Betrach­tung von aus­ge­wähl­ten Diens­ten, son­dern von allen Diensten.

    Gruß

    BM

  • Christian Mahlig

    Es ist schon pein­lich, wenn gera­de die PP auf exter­ne Dienst­leis­ter aus­wei­chen soll­te – die Kos­ten sind IMHO immer zu hoch. Für den recht nied­ri­gen Auf­wand einer „rich­tig” geplan­ten Infra­struk­tur könn­te man etli­che Root-Ser­ver „Clus­tern”, anstatt einen oder zwei Ser­ver mana­gen zu las­sen oder sogar noch mehr…

    Der admi­nis­tra­ti­ve Auf­wand steigt nur mit feh­len­den Fall­backs und Moni­to­ring-Tools – skrip­te inkl. Ich wür­de für eine Aus­la­ge­rung der Hard­ware inkl. 24/7 Turn­schuh-Admi­nis­tra­ti­on plä­die­ren und den Rest von Fach­leu­ten ein­rich­ten las­sen. Wäre echt scha­de, wenn das nicht in den eige­nen Rei­hen mög­lich sein sollte.

    • Jens

      „Es ist schon pein­lich, wenn gera­de die PP auf exter­ne Dienst­leis­ter aus­wei­chen sollte?”

      Ganz und gar nicht. So funk­tio­niert Wirt­schaft in der Infor­ma­ti­ons­ge­sell­schaft: Know-how als Pro­duk­ti­ons­mit­tel mit mas­si­ven Skaleneffekten.

      Aller­dings ist das auch ent­spre­chend teu­er, ja.

  • DerLhurgoyf

    Ich schlie­ße mich dem voll und ganz an. Die erfor­der­li­che Pro­fes­sio­na­li­tät und Erreich­bar­keit der Diens­te kann m.E. nicht mehr mit Ehren­amt­li­chen gedeckt wer­den. Was die Daten­si­cher­heit angeht ist es hier v.A. den geeig­ne­ten Hos­ter­ver­trä­gen geschul­det, dies zu garan­tie­ren. Eine 100%ige Sicher­heit ist nie mög­lich, auch bei Par­tei­in­ter­ner Infra­struk­tur (sie­he Forum-Eklat). Aber mit dem rich­ti­gen Rah­men­werk soll­ten sich die Risi­ken mini­mie­ren lassen.

  • anonym

    Hi ihr 2 und wer garan­tiert für die Daten­si­cher­heit, bei mana­ged-Hos­ting ist man ja nicht mehr Herr sei­ner Daten.

    Rest gelöscht wegen ver­schie­de­ner unbe­leg­ter Tatsachenbehauptungen