Infrastrukturaufgaben fallen nicht auf, solange alles funktioniert und keiner danach fragt. Erst wenn der Server ausfällt oder Daten weg sind kommt er, der Vorwurf: Wann wurde eigentlich zuletzt ein Backup gemacht?
Wenn der Admin (mit anderen Dingen) beschäftigt ist
In den meisten Teams gibt es ihn – „den Admin”. Eine Person, die gleichzeitig für Drucker, Laptops, VPN und Softwarelizenzen zuständig ist. Da hat der fehlerhafte E-Mail-Abruf eines Kollegen natürlich Vorrang. Redmine läuft still im Hintergrund – und das seit Monaten überfällige Update auch.
Das Problem: „läuft” bedeutet nicht „ist sicher”, „ist aktuell” oder „lässt sich im Ernstfall wiederherstellen”.
Sicherheitsupdates wurden nicht eingespielt, weil nie Zeit dafür war. Backups laufen irgendwie, aber ob sie wirklich funktionieren, hat niemand getestet. Und wenn Kundenprojekte oder Mitarbeiterdaten in Redmine liegen, seid ihr als Unternehmen verpflichtet, deren Schutz nachzuweisen. Aber „der Admin schaut ab und zu drauf” ist kein dokumentierter Prozess.
Wer täglich mit operativen Aufgaben ausgelastet ist, kann nebenbei keinen professionellen Serverbetrieb leisten. Das ist keine Frage von Kompetenz, sondern von Kapazität.
Wenn Eigenentwicklungen zur (Kosten-)Falle werden
Ein anderes Muster verschärft das Problem: Eigenentwicklungen.
Ja, Redmine lässt sich anpassen, das ist einer seiner Vorteile. Teams oder Agenturen bauen individuelle Erweiterungen, die genau das liefern, was gebraucht wird. Einmalig bezahlt, funktioniert, erledigt. So denken viele Entscheider.
Was dabei selten berücksichtigt wird, sind die laufenden Pflegearbeiten:
- Wenn Redmine aktualisiert werden soll, läuft die Erweiterung plötzlich nicht mehr.
- Wer sie ursprünglich gebaut hat, ist vielleicht nicht mehr im Unternehmen, oder das Budget sitzt nicht mehr so locker wie vor einem Jahr.
Und hier liegt die eigentliche Kostenfalle: Die initiale Entwicklung wurde bezahlt – das fühlt sich abgeschlossen an. Dass Software laufend gepflegt werden muss, hat niemand im Hinterkopf. Mit absehbaren Folgen:
- Die Erweiterung wird nicht aktualisiert, alles bleibt auf dem alten Stand.
- Auch Redmine, egal wie viele Bugfix oder Sicherheitsupdates in der Zwischenzeit heraus kamen.
Nicht immer aus einer bewussten Entscheidung heraus, sondern weil es sich schwer begründen lässt, nochmal Geld auszugeben, wenn man doch schon bezahlt hat. So frieren Systeme über Jahre ein und mit ihnen alle ungepatchten Sicherheitslücken.
Was dagegen hilft: Klare Zuständigkeiten
Das sind zwei Muster, mit denen wir regelmäßig konfrontiert werden. Managed Hosting löst nicht jedes Problem, schafft aber genau das, was in beiden Szenarien fehlt: eine klare Verantwortung.
Wir sorgen dafür, dass der Betrieb überwacht wird, täglich Backups erstellt und verschlüsselt abgelegt werden. Wir wissen, wo sie liegen, wie man sie im Notfall einspielt – und kümmern uns zeitnah darum. Es geht weniger darum, den Admin zu ersetzen, als darum, eine Aufgabe zu übernehmen, die bislang niemand wirklich in der Hand hatte.
Fazit
Stellt euch zwei Fragen:
- Wann wurde bei uns zuletzt ein Backup gemacht – und ein Restore getestet?
- Wann wurde Redmine zuletzt aktualisiert? Oder gibt es Blocker, die das schon seit einer Weile verhindern?
Die Antworten sagen oft mehr als jede Risikoanalyse. Und wenn die Antwort “weiß ich nicht” oder “ja wir haben Gründe nicht zu aktualisieren” lautet, ist das ein guter Zeitpunkt, um das zu ändern.