Gewisse Dinge bleiben manchmal ein Rätsel. Die folgende Erzählung handelt von einer Arztpraxis, die dringend eine Aktualisierung ihrer Arztsoftware benötigte, um ihre Quartalsabrechnungen durchzuführen. Warum ich über eine solche alltägliche Angelegenheiten schreibe? Nun, lassen Sie mich Ihnen den Verlauf schildern …
Das Update der Arztsoftware
Seit einigen Wochen hörte ich am Rande davon, dass ein Kunde Schwierigkeiten hatte, die besagte Software zu aktualisieren. Ohne die vierteljährliche Aktualisierung schien es unmöglich, die Abrechnungen mit der Kassenärztlichen Vereinigung abzuschließen. In zahlreichen technischen Sitzungen mit dem Hersteller der Software wurde versucht, das Problem zu lösen. Allerdings ohne meine Unterstützung, die der Hersteller beharrlich als unnötig erachtete. Nun ja, ich wollte mich keineswegs aufdrängen.
Als jedoch das Ende des Quartals nahte und die Aktualisierung noch immer nicht erfolgt war, sodass die Abrechnung in Gefahr geriet, wurde ich schließlich vom Kunden hinzugezogen, um das Problem genauer zu untersuchen.
Viele Fehler wurden vom Support nicht gesehen
Einige Probleme waren mir bereits durch Gespräche bekannt. Da ich selbst kein Experte für die Software bin und kein Protokoll der technischen Sitzungen vom Hersteller erhalten hatte, konnte ich nur einen Teil dieser Schwierigkeiten erfassen.
Es stellte sich heraus, dass die Software intern eigene Backups durchführen sollte, was jedoch seit geraumer Zeit nicht mehr geschah. Dies bemerkte ich während der regelmäßigen Wartung der Server und informierte den Kunden darüber. Erstaunlicherweise war dem Softwarehersteller selbst nach Wochen nicht aufgefallen, dass die Backups fehlten – trotz täglicher Fernwartung des Servers im Rahmen der Suche nach dem Aktualisierungsproblem. Nach der Entdeckung behauptete der Support, dass die fehlenden Backups der Grund für das Updateproblem seien. Es sei eine Sicherheitsmaßnahme: Mindestens zwei aktuelle Backups seien erforderlich, damit das Update durchgeführt werden könne. Die besagten automatischen Updates des Herstellers funktionierten nicht mehr, da ich das Administrator-Passwort (routinemäßig) geändert habe – eine absurde, aber letztlich amüsante Wendung.
Alle waren erleichtert und warteten zwei Nächte lang darauf, dass die Backups mithilfe der (nun neuen) Backup-Benutzer erstellt wurden.
Leider war dies nur einer von vielen Fehlern und das Update funktionierte weiterhin nicht.
Bei einer anderen Angelegenheit entdeckte ich in Textdateien auf dem Server Dateipfade, die entweder nicht stimmten oder gar nicht existierten. Nach erneuter Meldung an den Kunden stellte sich heraus, dass es erneut Installationsfehler waren. Selbst nach der Korrektur des Pfades funktionierte das Update immer noch nicht.
Da der Kunde nun langsam nervös wurde, bat er mich um Hilfe.
Administrator ist nicht gleich Administrator
Es stellte sich heraus, dass der Update-Benutzer keine Administratorrechte hatte, jedoch eine Fehlermeldung darauf hinwies, dass diese erforderlich seien. Sowohl der Support des Herstellers als auch ich selbst versuchten, dem Benutzer lokale Administratorrechte zu geben, was erneut zu einer Fehlermeldung führte.
Etwas an dieser Fehlermeldung irritierte mich. Also entschied ich mich spontan, den Namen des Benutzers in „Administrator“ zu ändern. Überraschenderweise funktionierte das Update daraufhin reibungslos.
Es stellte sich heraus, dass der Benutzer tatsächlich keine echten Administratorrechte benötigte – es reichte aus, dass sein Name entsprechend lautete.
Fazit
Grundsätzlich ist die Situation klar: Es handelt sich um einen Fehler, der vom entsprechenden Entwickler des Softwareherstellers behoben werden muss. Möglicherweise war die Absicht hinter der Namensüberprüfung, sicherzustellen, dass der Benutzer ein Administrator sein muss. Umgekehrt muss ein Benutzer mit dem Namen Administrator jedoch nicht zwangsläufig Administrationsrechte besitzen, um so benannt zu sein.
Dies stellt ein potenzielles Sicherheitsrisiko dar, da solche Updates nicht von jedem unbeabsichtigt eingespielt werden sollen. Es ist bemerkenswert, dass der Support dies nicht bemerkt hat.
Es lässt sich nur vermuten, dass dieses Problem bei allen Kunden auftritt oder jeder Kunde den Super-Admin unter Windows für solche Zwecke verwendet, und das Problem daher unbemerkt bleibt.
Dem Kunden wurde somit geholfen, die Abrechnung konnte erstellt werden. Die Kosten für den Herstellersupport (mehrere Stunden) musste der Kunde nicht übernehmen, da ein Programmfehler nachgewiesen werden konnte.