E-Mail-Ausfall in München: Und wieder wars nicht Limux
Öffentlichkeitswirksam beschwerte sich der Oberbürgermeister Münchens, Dieter Reiter (SPD), über einen tagelangen Ausfall der E-Mail-Infrastruktur . Zwar werden unsere Anfragen dazu größtenteils beantwortet, technische Details werden aber kaum genannt. Doch die von uns gewonnenen Informationen deuten auf ein sehr schlechtes IT-Management und überforderte Admins hin. Statt aber dem Personalrat zu folgen, seine Kritik zu mäßigen und den Missstand bei den Beschäftigten zu beheben, scheint Reiter die Gelegenheit zu nutzen, erneut die Kritik an Limux aufleben zu lassen.
Keine externen E-Mails
Schriftlich bestätigt uns das Presse- und Informationsamt der Stadt, dass der " externe Zugang zu den städtischen E-Mail-Servern " seit vergangenem Freitag, dem 5. Dezember gegen 17:15 Uhr blockiert war. Erst am darauffolgenden Montag " gegen 10 Uhr " sei dies behoben worden. Die Auslieferung der bis dahin " aufgelaufenen externen E-Mails parallel zum Tagesgeschäft " belastete die Serverinfrastruktur darüber hinaus bis in den Montagabend.
Die interne E-Mail-Kommunikation der Mitarbeiter der Stadtverwaltung sei dadurch nicht betroffen gewesen. Wie Reiter der Münchner Abendzeitung(öffnet im neuen Fenster) sagte, betraf das Problem nicht nur " die Bürger, für die die Stadtverwaltung per Mail nicht zu erreichen war ", sondern auch 20.000 der 33.000 Mitarbeiter, die nicht erreichbar waren und auch keine E-Mails nach außen verschicken konnten.
Riesiger E-Mail-Header
Als Ursache dafür, dass der E-Mail-Dienst nicht genutzt werden konnte, wird eine einzelne eingehende E-Mail angeführt, deren Header durch einen ungewöhnlichen Betreff 7 MByte groß gewesen sei. Diese E-Mail habe den externen Zugang " vollständig ausgelastet ", ohne dass dieser Zugang dabei ausgefallen sei.
Dabei betont die Pressestelle explizit, dass alle Komponenten technisch funktioniert hätten, der externe Zugang aber ausschließlich mit dieser einen E-Mail beschäftigt gewesen sei. Von einem rein technischen Ausfall könne also nicht gesprochen werden. Was damit aber genau gemeint ist, bleibt unklar. Der Begriff Ausfall soll wohl eher Situationen wie Totalabstürzen, einer ausgefallenen Stromversorgung oder ähnlich gravierenden Problemen vorbehalten bleiben.
Mangelhafte Serververwaltung
Da der Zugang aber eben nicht ausgefallen, sondern weitergelaufen sei, " haben die Monitoring-Werkzeuge die Situation nicht erkannt ", schreibt die Pressestelle. Dementsprechend ist auch " die 24x7-Bereitschaft nicht alarmiert " worden. Deshalb ist der Fehler auch bis zum Montagmorgen nicht behoben worden.
Zum " Monitoring wird primär Nagios eingesetzt ", wie uns mitgeteilt wurde. Dass das Problem aber nicht entdeckt worden ist, kann keinesfalls auf die eingesetzte Software zur Systemüberwachung zurückzuführen sein. Software führt schließlich auch nur Anweisungen aus.
Vielmehr legt diese Stellungnahme eine eklatant falsche oder wenigstens lückenhafte Konfiguration nahe. Allein der totale Einbruch des E-Mail-Aufkommens hätte leicht bemerkt werden müssen. Hinzu kommen verschiedene ausgelastete Ressourcen oder die wachsende Menge an zwischengespeicherten E-Mails, die als Anzeichen für ein fehlerhaftes Verhalten dienen könnten.
Postfix lehnt zu große E-Mails ab
Weitere Einzelheiten zu dem Vorgang und vor allem zu der technischen Infrastruktur - wie zum Beispiel der eingesetzten Software - möchte die Stadt " aus Gründen der Sicherheit " nicht offenlegen. Aus den Headern der E-Mail-Kommunikation mit der Pressestelle geht allerdings hervor, dass Postfix(öffnet im neuen Fenster) verwendet wird.
In einem kurzen Test von uns mit einer entsprechend präparierten Nachricht lehnt Postfix diese als zu groß ab. Das gleiche Ergebnis liefert Courier(öffnet im neuen Fenster) . Zwar ist in den offiziellen Spezifikation zu E-Mails die maximal zu akzeptierende Größe nicht festgelegt, ein derartiges Verhalten wird aber empfohlen und sinnvollerweise auch umgesetzt.
Obskurer Spamfilter als wahrscheinlicher Verursacher
Als Verursacher des eigentlichen Problems kommt Postfix wohl also nicht infrage. Darüber hinaus deutet das Problembild aber auch auf eine Software hin, die mit der Verarbeitung der zu großen E-Mail überlastet ist, wie etwa typischerweise der Parser eines Spamfilters.
Tatsächlich findet sich in den E-Mail-Headern auch der Hinweis auf Uceprotect(öffnet im neuen Fenster) , das Anti-Spam-Lösungen anbietet. Als Referenzkunden werden von Uceprotect diverse bayerische Behörden genannt. Doch allein die Gestaltung der Webseite des Anbieters wirkt wenig seriös. Beispielsweise findet sich dort trotz gesetzlicher Pflicht kein Impressum, deren Domain in den USA auf eine Firma mit Sitz in der bayerischen Stadt Regen registriert ist. Die Stadt München bietet sogar einen Dienst an(öffnet im neuen Fenster) , die eigene E-Mail-Adresse wieder freischalten zu lassen, falls diese als Spamabsender gewertet wird. Diese obskur anmutende Auswahl der Software sowie deren Einsatz möchte die Stadt ebenfalls mit Verweis auf die Sicherheit nicht kommentieren.
IT-Angestellte ohne politischen Rückhalt
Behoben werden konnte das Fehlverhalten schließlich erst, als die verursachende E-Mail entfernt worden ist. Die " Analyse und Behebung haben am Montagmorgen zirka 3 Stunden benötigt ". Für die Administration der E-Mail-Infrastruktur ist der zentrale IT-Dienstleister IT@M(öffnet im neuen Fenster) zuständig.
Doch in einem offenen Brief an OB Reiter(öffnet im neuen Fenster) kritisiert Ursula Hofmann, die Vorsitzende des Gesamtpersonalrats der Verwaltung, dass " 20 Prozent der Stellen bei IT@M nicht besetzt " seien. Neben der technischen Ursache scheint diese Unterbesetzung wohl auch einer der Gründe für die langanhaltende Störung des E-Mail-Dienstes gewesen zu sein.
So ist es doch schwer nachvollziehbar, dass, wenn selbst der OB Reiter mit dem massiven E-Mail-Problem zu kämpfen hatte, niemand die Administratoren über den Vorfall informierte. Diese hätten doch per interner Kommunikation erreicht werden können. Ebenso sollte davon auszugehen sein, dass eine Rund-um-die-Uhr-Bereitschaft telefonisch zu erreichen sein sollte, was offenbar nicht geschehen ist.
Offiziell führt die Stadt die lange Dauer aber auf das fehlgeschlagene Monitoring zurück. Die naheliegende, aber fast schon zynische Interpretation der Beschreibung ließe jedoch den Schluss zu, dass wegen der Unterbesetzung einfach kein Administrator zur Verfügung stand oder gar auf die Zahlung eines Wochenend- oder Nachtzuschlags verzichtet werden sollte.
Unkenntnis oder politische Kalkül?
Reiter müssen der Missstand bei den Beschäftigten des IT-Dienstleisters und die Kritik durch den Personalrat daran bekannt sein. Immerhin zitiert ihn die Abendzeitung mit einer direkten Reaktion darauf. Ebenso sollte von dem OB zu erwarten sein, dass er in der Lage ist, klar zwischen der Backend-Infrastruktur und dem Limux-Projekt zu unterscheiden.
Denn einerseits ist Limux eindeutig auf die Erstellung und Pflege eines Desktopclients beschränkt und andererseits überführt die Stadt München in dem von Limux unabhängigen Projekt Migmak (Migration Mail- und Kalender-System) derzeit die E-Mail-Infrastruktur unter anderem mit Hilfe von Kolab(öffnet im neuen Fenster) auf die von dem Unternehmen angebotene freie Groupware-Lösung.
Zwar möchte Reiter seine Äußerungen nicht als " Misstrauensvotum gegen Limux " verstanden wissen. Immerhin trennt er die beiden Projekte auch gegenüber der Abendzeitung voneinander. Doch Reiter und der zweite Bürgermeister Josef Schmid (CSU) haben in der Vergangenheit mehrfach verschiedene Gelegenheiten genutzt, Limux und die Kritik an dem Projekt wieder ins Gespräch zu bringen. Und das, obwohl wie hier beschrieben oder vorher auch die eigentlichen Auslöser nicht ursächlich auf das Limux-Projekt zurückzuführen sind, sondern auf andere Probleme der Münchner IT.
Wohl auch deshalb wird beiden anonym von Mitarbeitern der Stadt und anderen Beteiligten vorgeworfen, an einer Demontage der Linux-Migration zu arbeiten .