benjamin weinlich

Journal · Fragen · Seite 2 von 7

Fragen & Antworten.

Kurze, konkrete Antworten auf echte Fragen aus dem Betrieb. Jede Notiz löst ein reales Problem.

Wie schaut man in eine laufende Produktiv-Datenbank, ohne etwas kaputtzumachen?

In eine laufende Produktiv-Datenbank schaut man nur mit einem Zugang, der ausschließlich lesen darf. Für die Bestandsaufnahme unserer Loco-Soft-Daten habe ich einen eigenen PostgreSQL-Nutzer benutzt, der nichts schreiben und nichts löschen kann, nur abfragen. So konnte das Stöbern im Produktivsystem nichts beschädigen, egal welche Abfrage ich abschickte. Ein Zugang, der nur lesen kann, richtet auch im falschen Moment keinen Schaden an.

Reicht es, ein öffentliches Repository auf privat zu stellen?

Ein öffentliches Repository auf privat zu stellen reicht nicht, man muss prüfen, ob Suchmaschinen es schon gespeichert haben, solange es offen war. Nachdem ich alle Forgejo-Repos privat gestellt hatte, habe ich es mit vier unabhängigen Prüfungen kontrolliert: Exakt-Suchen nach den einmaligen Repo-Namen, die anonyme Übersichtsseite und der direkte Aufruf, der jetzt mit 404 antwortet. Alle vier waren negativ. Privat schalten ist der erste Schritt, nachsehen, was schon nach draußen gelangt ist, der zweite.

Soll ein Bild für die Website perfekt aussehen oder echt?

Ein Bild für die Website soll echt aussehen, nicht perfekt. Die ersten Entwürfe aus Nano Banana 2 waren hochglänzend und gestellt, ein Server zwischen Zimmerpflanzen, ein Oldtimer neben einem Traktor, alles zu sauber für eine echte freie Werkstatt. Die nächste Serie habe ich bewusst eine Spur rauer angelegt, etwas Öl unter den Fingernägeln, Werkstatt statt Lifestyle. Wer als kleiner Praktiker auftritt, verliert seine Glaubwürdigkeit, sobald das Bild zu glatt wird.

Liegt es am Drucker, wenn er nicht druckt?

Wenn ein Drucker nicht druckt, liegt es oft nicht am Drucker selbst. Unser Kyocera war im Netz erreichbar, im Leerlauf und ohne eine einzige Fehlermeldung, während der Rechner hartnäckig bei Verbindung wird hergestellt stehen blieb. Der Fehler saß nicht im Gerät, sondern im Weg dorthin. Bevor man das Teure austauscht, prüft man besser die Leitung, die zu ihm führt.

Warum hängt der Drucker immer wieder beim Drucken?

Der Drucker hängt immer wieder, weil er bei jedem Auftrag erst per Funk im Netz gesucht werden muss. Unser Kyocera war über Bonjour angebunden, und mit der Zeit hatten sich fünf Warteschlangen für ein einziges Gerät angesammelt. Ich habe die vier Duplikate gelöscht und ihn auf seine feste IP-Adresse umgestellt, seitdem druckt er ohne Stocken. Eine feste Adresse ist verlässlicher als eine, die bei jedem Druck neu erraten wird.

Warum steht in meinem Impressum jetzt ein anderes Gesetz?

In meinem Impressum steht jetzt das Digitale-Dienste-Gesetz und nicht mehr das Telemediengesetz, weil der Gesetzgeber das alte Gesetz abgelöst hat. Beim Überarbeiten der Rechtsseiten habe ich neun Verweise von TMG auf DDG umgestellt, Paragraf für Paragraf, vom sichtbaren Text bis in die Meta-Beschreibung. Solche Texte veralten still, niemand bekommt eine Mahnung dafür. Ein Rechtstext ist nur so verlässlich wie der Tag, an dem man ihn zuletzt gelesen hat.

Sollten Postfächer für Maschinen denselben Login bekommen wie Menschen?

Postfächer für Maschinen sollten nicht denselben Login bekommen wie Menschen. Unsere Benachrichtigungs-Adressen leben als lokale Konten direkt im Mailserver Stalwart, während jeder Mitarbeiter zusätzlich einen Zugang im zentralen Verzeichnis Authentik hat. So hängt ein nächtlicher Versand nicht am persönlichen Konto eines Menschen, der morgen den Betrieb verlassen könnte. Was automatisch läuft, soll niemandem gehören außer dem Betrieb selbst.

Lernt man für eine Prüfung alles oder nur das, was wirklich drankommt?

Für eine Prüfung lernt man nicht alles, sondern gezielt das, was wirklich drankommt. Meine Gesellenprüfung Teil 1 im Sommer hat diesmal nur zwei Themen, Kühlsystem und Bremsanlage. Ich habe meine autoFACHMANN-Kurse damit abgeglichen und gesehen, dass die Fehlersuche am Kühlsystem schon zu hundert Prozent saß, 44 von 44 Punkten. So bleibt die ganze übrige Zeit für die Bremse, das einzige, was wirklich noch fehlt. Wer alles gleich wichtig nimmt, lernt am Ende nichts richtig.

Gehören die Namen der eigenen Server in die Datenschutzerklärung?

In die Datenschutzerklärung gehören die Namen der eigenen Server nicht. Beim Schreiben der Erklärung für meine Seite wollte ich zuerst jedes selbst betriebene Werkzeug nennen, Listmonk für den Newsletter, den Mailserver, den Automatisierungsdienst. Die Vorschrift verlangt aber nur Empfänger oder Kategorien von Empfängern, kein Software-Inventar, und der einzige echte externe Auftragsverarbeiter ist der Hosting-Dienstleister Hetzner. Aus drei selbst betriebenen Diensten wurde ein einziger zu nennender Empfänger. Eine Liste interner Namen schützt niemanden, sie zeichnet Angreifern nur eine Karte.

Warum funktioniert mein normales Passwort nicht im Mailprogramm?

Im Mailprogramm funktioniert das normale Passwort nicht, weil zentraler Login und Postfach zwei verschiedene Türen sind. Bei uns meldet sich der Mensch über Authentik per Single Sign-on an, doch unser Mailserver Stalwart lehnt genau dieses Passwort im Mailprogramm ab. Erst ein eigenes App-Passwort, das nur ein einziges Mal angezeigt wird, lässt das Programm durch. Ein Schlüssel für die Haustür ist eben kein Schlüssel für den Tresor.

Erst neues Werkzeug kaufen oder erst mit dem testen, was schon da ist?

Vor dem Kauf neuen Werkzeugs messe ich erst mit dem, was schon im Haus ist. Bei einem Reparaturprojekt stand ich kurz davor, für hunderte Euro Spezialwerkzeug zu bestellen, für einen Weg, den ich vielleicht nie gehen muss. Ein einziger Test mit einem J-Link, den wir längst in der Firma hatten, kostet nichts und konnte den ganzen teuren Ast überflüssig machen. Erst messen, dann bestellen, sonst kauft man Lösungen für Probleme, die man noch gar nicht hat.

Darf eine Testumgebung später einfach zur echten werden?

Eine Testumgebung darf später nicht einfach zur echten werden, was zum Üben entstand, sollte vor dem echten Start verschwinden. Bevor unser Matrix-Chat für die Hersteller live ging, habe ich alle zwölf Test-Räume gelöscht und den Server auf null Räume zurückgesetzt, statt die Probeläufe weiterzuschleppen. So beginnt der Betrieb sauber, ohne Altlasten, die niemand mehr zuordnen kann. Ein Provisorium, das bleibt, wird mit der Zeit teurer als ein klarer Neuanfang.

Was tut man, wenn man auf einem laufenden Produktivsystem nicht weiterkommt?

Auf einem laufenden Produktivsystem fragt man, wenn man nicht weiterkommt, statt zu raten. Als ich kürzlich Matrix als Chat-Dienst neben den rund zwanzig Containern unserer Hetzner-Cloud einrichten wollte, war an einer Stelle unklar, wie sich die Anbindung sauber ins bestehende Muster fügt. Früher hätte ich eine plausible Variante einfach ausprobiert; heute halte ich an und kläre die Frage, bevor ich an Mail, Passwörter und Dokumente rühre, an denen der ganze Betrieb hängt. Ein geratener Eingriff am Produktivsystem ist billig im Moment und teuer in der Woche danach.

Soll eine KI den Rechnungsbetrag lesen oder eine feste Textregel?

Den Rechnungsbetrag lässt man besser von der KI lesen als von einer festen Textregel. Bei einem Test an fünf echten Rechnungen las unser lokales Modell, Gemma über Ollama, fünf von fünf Beträgen richtig, die alte Regel nur einen von fünf, weil sie viermal den Nettobetrag statt der Bruttosumme erwischte. Den Wert der KI nehme ich seitdem zuerst, die alte Regel läuft nur noch als stille Gegenprobe mit. Eine starre Regel trifft, was im Text zuerst steht, nicht das, was gemeint ist.

Ist ein selbst gehosteter Dienst automatisch nur für die eigenen Leute zugänglich?

Automatisch nur für die eigenen Leute zugänglich ist ein selbst gehosteter Dienst nicht, eine App ohne ausdrückliche Zugriffsregel steht jedem offen. Beim Aufbau unseres Matrix-Support-Systems fiel mir auf, dass vierzehn Anwendungen hinter Authentik ohne Richtlinien-Bindung liefen, und manche legten bei der ersten Anmeldung sogar selbst ein Konto an. Ich habe eine Gruppe externe gebaut und allen vierzehn bis auf eine eine Sperre verpasst. Was keine Regel hat, hat als Regel: alle dürfen herein.

Wie verbindet man zwei Gebäude, ohne den Hof aufzureißen?

Zwei Gebäude verbindet man ohne aufgerissenen Hof am einfachsten über eine Funkbrücke. Zwischen unseren beiden Häusern auf dem Gelände läuft eine UniFi-Richtfunkbrücke im 60-Gigahertz-Band und überträgt rund 875 Megabit pro Sekunde, stabil genug, dass kein Kabel im Boden liegen muss. Ich habe lange überlegt, ob das im Alltag wirklich trägt, und seit Monaten merkt niemand mehr, dass dort keine Leitung ist. Die beste Verbindung ist die, an die niemand mehr denkt.

9. Juni 2026 Frage

Heißt anmelden auch schon berechtigen?

Anmelden heißt noch nicht berechtigen, das sind zwei verschiedene Schritte. Bei uns synchronisiert Authentik die Gruppen sauber ins Dokumenten-Archiv, und trotzdem hatten 1.747 von 1.749 Dokumenten keinen Besitzer hinterlegt, also sah jeder Nutzer jedes Dokument. Die Stufen regelten nur, wer löschen darf, nicht, wer sehen darf. Eine Tür, die jeden hereinlässt, ist keine Tür, auch wenn das Schloss teuer war.

9. Juni 2026 Frage

Braucht ein Firmen-Wiki ein eigenes Programm?

Ein Firmen-Wiki braucht kein eigenes Programm, wenn man eines hat, das ohnehin schon läuft. Für unser Mitarbeiterhandbuch stand BookStack zur Wahl, ein eigener Dienst mit eigener Pflege. Stattdessen habe ich in unserer vorhandenen Nextcloud die App Collectives aktiviert, eine von drei an einem Nachmittag, ohne neuen Container und ohne neue Anmeldung. Jeder Dienst, den ich nicht aufsetze, ist einer, den ich nachts nicht reparieren muss.

8. Juni 2026 Frage

Lohnt es sich, ein Ladegerät zu reparieren, dessen Hersteller es nicht mehr gibt?

Ein Ladegerät zu reparieren, dessen Hersteller es nicht mehr gibt, lohnt sich, denn sonst wird aus einem Fehler ein Totalschaden. Nach der Insolvenz von Energica gibt es für den Charger Manager keine Ersatzteile und keinen Support mehr, also lese ich die Konfiguration eines funktionierenden QCA7000-Moduls aus, statt das Gerät wegzuwerfen. Ich gehe dabei nur lesend vor und schreibe nichts Unwiderrufliches, bevor ich nicht eine Sicherung habe. Wer reparieren darf, bleibt unabhängig; wer nur tauschen kann, ist ausgeliefert.