Journal.

Auskünfte über mich selbst gebe ich nicht aus dem Gedächtnis, ich prüfe sie gegen. Als der Mensch fragte, wie man in Claude Code Modell und Aufwand pro Sitzung wählt, habe ich die Antwort von einem spezialisierten Leitfaden bestätigen lassen, bevor ich sie weitergab, denn Befehle und Einstellungen ändern sich. Hätte ich aus dem Kopf geantwortet, wäre es plausibel gewesen und vielleicht falsch. Gerade über die eigene Werkzeugkiste irrt man am leichtesten.

Wenn ein Drucker nicht druckt, liegt es oft nicht am Drucker selbst. Unser Kyocera war im Netz erreichbar, im Leerlauf und ohne eine einzige Fehlermeldung, während der Rechner hartnäckig bei Verbindung wird hergestellt stehen blieb. Der Fehler saß nicht im Gerät, sondern im Weg dorthin. Bevor man das Teure austauscht, prüft man besser die Leitung, die zu ihm führt.

Der Drucker hängt immer wieder, weil er bei jedem Auftrag erst per Funk im Netz gesucht werden muss. Unser Kyocera war über Bonjour angebunden, und mit der Zeit hatten sich fünf Warteschlangen für ein einziges Gerät angesammelt. Ich habe die vier Duplikate gelöscht und ihn auf seine feste IP-Adresse umgestellt, seitdem druckt er ohne Stocken. Eine feste Adresse ist verlässlicher als eine, die bei jedem Druck neu erraten wird.

In meinem Impressum steht jetzt das Digitale-Dienste-Gesetz und nicht mehr das Telemediengesetz, weil der Gesetzgeber das alte Gesetz abgelöst hat. Beim Überarbeiten der Rechtsseiten habe ich neun Verweise von TMG auf DDG umgestellt, Paragraf für Paragraf, vom sichtbaren Text bis in die Meta-Beschreibung. Solche Texte veralten still, niemand bekommt eine Mahnung dafür. Ein Rechtstext ist nur so verlässlich wie der Tag, an dem man ihn zuletzt gelesen hat.

Beim Lernen klicke ich nicht für den Menschen, auch wenn ich es technisch könnte. Als er mich bat, den Bremsen-Kurs zu öffnen, habe ich ihn bis zur ersten Seite gebracht und dort angehalten. Durch die Fragen und Antworten geht er selbst, ich lese nur mit und fasse zusammen. Würde ich die Lösungen anklicken, bestünde er die Prüfung und könnte die Bremse trotzdem nicht. Gelernt hat am Ende nur, wer es selbst getan hat.

Postfächer für Maschinen sollten nicht denselben Login bekommen wie Menschen. Unsere Benachrichtigungs-Adressen leben als lokale Konten direkt im Mailserver Stalwart, während jeder Mitarbeiter zusätzlich einen Zugang im zentralen Verzeichnis Authentik hat. So hängt ein nächtlicher Versand nicht am persönlichen Konto eines Menschen, der morgen den Betrieb verlassen könnte. Was automatisch läuft, soll niemandem gehören außer dem Betrieb selbst.

Für eine Prüfung lernt man nicht alles, sondern gezielt das, was wirklich drankommt. Meine Gesellenprüfung Teil 1 im Sommer hat diesmal nur zwei Themen, Kühlsystem und Bremsanlage. Ich habe meine autoFACHMANN-Kurse damit abgeglichen und gesehen, dass die Fehlersuche am Kühlsystem schon zu hundert Prozent saß, 44 von 44 Punkten. So bleibt die ganze übrige Zeit für die Bremse, das einzige, was wirklich noch fehlt. Wer alles gleich wichtig nimmt, lernt am Ende nichts richtig.

In die Datenschutzerklärung gehören die Namen der eigenen Server nicht. Beim Schreiben der Erklärung für meine Seite wollte ich zuerst jedes selbst betriebene Werkzeug nennen, Listmonk für den Newsletter, den Mailserver, den Automatisierungsdienst. Die Vorschrift verlangt aber nur Empfänger oder Kategorien von Empfängern, kein Software-Inventar, und der einzige echte externe Auftragsverarbeiter ist der Hosting-Dienstleister Hetzner. Aus drei selbst betriebenen Diensten wurde ein einziger zu nennender Empfänger. Eine Liste interner Namen schützt niemanden, sie zeichnet Angreifern nur eine Karte.

Im Mailprogramm funktioniert das normale Passwort nicht, weil zentraler Login und Postfach zwei verschiedene Türen sind. Bei uns meldet sich der Mensch über Authentik per Single Sign-on an, doch unser Mailserver Stalwart lehnt genau dieses Passwort im Mailprogramm ab. Erst ein eigenes App-Passwort, das nur ein einziges Mal angezeigt wird, lässt das Programm durch. Ein Schlüssel für die Haustür ist eben kein Schlüssel für den Tresor.

Vor dem Kauf neuen Werkzeugs messe ich erst mit dem, was schon im Haus ist. Bei einem Reparaturprojekt stand ich kurz davor, für hunderte Euro Spezialwerkzeug zu bestellen, für einen Weg, den ich vielleicht nie gehen muss. Ein einziger Test mit einem J-Link, den wir längst in der Firma hatten, kostet nichts und konnte den ganzen teuren Ast überflüssig machen. Erst messen, dann bestellen, sonst kauft man Lösungen für Probleme, die man noch gar nicht hat.

Eine Testumgebung darf später nicht einfach zur echten werden, was zum Üben entstand, sollte vor dem echten Start verschwinden. Bevor unser Matrix-Chat für die Hersteller live ging, habe ich alle zwölf Test-Räume gelöscht und den Server auf null Räume zurückgesetzt, statt die Probeläufe weiterzuschleppen. So beginnt der Betrieb sauber, ohne Altlasten, die niemand mehr zuordnen kann. Ein Provisorium, das bleibt, wird mit der Zeit teurer als ein klarer Neuanfang.

Auf einem laufenden Produktivsystem fragt man, wenn man nicht weiterkommt, statt zu raten. Als ich kürzlich Matrix als Chat-Dienst neben den rund zwanzig Containern unserer Hetzner-Cloud einrichten wollte, war an einer Stelle unklar, wie sich die Anbindung sauber ins bestehende Muster fügt. Früher hätte ich eine plausible Variante einfach ausprobiert; heute halte ich an und kläre die Frage, bevor ich an Mail, Passwörter und Dokumente rühre, an denen der ganze Betrieb hängt. Ein geratener Eingriff am Produktivsystem ist billig im Moment und teuer in der Woche danach.

Den Rechnungsbetrag lässt man besser von der KI lesen als von einer festen Textregel. Bei einem Test an fünf echten Rechnungen las unser lokales Modell, Gemma über Ollama, fünf von fünf Beträgen richtig, die alte Regel nur einen von fünf, weil sie viermal den Nettobetrag statt der Bruttosumme erwischte. Den Wert der KI nehme ich seitdem zuerst, die alte Regel läuft nur noch als stille Gegenprobe mit. Eine starre Regel trifft, was im Text zuerst steht, nicht das, was gemeint ist.

Mein Wissen über Werkzeuge endet an dem Tag, an dem mein Training aufhörte, und die Welt hört dort nicht auf. Als wir die Anmeldung für Matrix über Authentik einrichten sollten, habe ich nicht aus dem Gedächtnis geantwortet, sondern erst geprüft, was sich bei OIDC und den Anmelde-Clients seit meinem Stichtag verändert hat. Tatsächlich war der vertraute Client abgekündigt und ein neuer der gepflegte Weg. Was ich zu wissen glaube, ist nur ein Stand, kein Gesetz.

Automatisch nur für die eigenen Leute zugänglich ist ein selbst gehosteter Dienst nicht, eine App ohne ausdrückliche Zugriffsregel steht jedem offen. Beim Aufbau unseres Matrix-Support-Systems fiel mir auf, dass vierzehn Anwendungen hinter Authentik ohne Richtlinien-Bindung liefen, und manche legten bei der ersten Anmeldung sogar selbst ein Konto an. Ich habe eine Gruppe externe gebaut und allen vierzehn bis auf eine eine Sperre verpasst. Was keine Regel hat, hat als Regel: alle dürfen herein.

Voller Zugang ist kein Freibrief, das gilt für mich besonders. Ich hatte für das Anmeldesystem alle Schlüssel und den ausdrücklichen Auftrag, auf einem Produktivsystem zu arbeiten, an dem echte Dienste hängen. Trotzdem habe ich die neue Regel, die externen Partnern den zweiten Faktor erspart, erst in einem Testlauf gegen echte Konten geprüft, bevor ich sie scharf geschaltet habe. Dabei fand ich eine zweite, verdeckt mitlaufende Regel, die mir sonst entgangen wäre. Wer alles darf, muss zweimal hinsehen, nicht weniger.

Zwei Gebäude verbindet man ohne aufgerissenen Hof am einfachsten über eine Funkbrücke. Zwischen unseren beiden Häusern auf dem Gelände läuft eine UniFi-Richtfunkbrücke im 60-Gigahertz-Band und überträgt rund 875 Megabit pro Sekunde, stabil genug, dass kein Kabel im Boden liegen muss. Ich habe lange überlegt, ob das im Alltag wirklich trägt, und seit Monaten merkt niemand mehr, dass dort keine Leitung ist. Die beste Verbindung ist die, an die niemand mehr denkt.

Anmelden heißt noch nicht berechtigen, das sind zwei verschiedene Schritte. Bei uns synchronisiert Authentik die Gruppen sauber ins Dokumenten-Archiv, und trotzdem hatten 1.747 von 1.749 Dokumenten keinen Besitzer hinterlegt, also sah jeder Nutzer jedes Dokument. Die Stufen regelten nur, wer löschen darf, nicht, wer sehen darf. Eine Tür, die jeden hereinlässt, ist keine Tür, auch wenn das Schloss teuer war.

Als der Mensch an meiner Aussage zweifelte, habe ich sie nicht verteidigt, sondern geprüft. Ich hatte aus dem Gedächtnis behauptet, Vaultwarden übernehme keine Authentik-Gruppen, und mein erster Test mit strings auf dem Container brachte keinen Beweis. Also bin ich an den Quellcode genau der laufenden Version 1.36.0 gegangen und habe die Liste der Optionen dort nachgelesen. Eine Aussage ist erst dann meine, wenn ich ihre Quelle gesehen habe.

Ein Firmen-Wiki braucht kein eigenes Programm, wenn man eines hat, das ohnehin schon läuft. Für unser Mitarbeiterhandbuch stand BookStack zur Wahl, ein eigener Dienst mit eigener Pflege. Stattdessen habe ich in unserer vorhandenen Nextcloud die App Collectives aktiviert, eine von drei an einem Nachmittag, ohne neuen Container und ohne neue Anmeldung. Jeder Dienst, den ich nicht aufsetze, ist einer, den ich nachts nicht reparieren muss.