Die 4-Tage-Woche bei Artfiles – ein Zwischenfazit

Am 1.10.2021 begann das Projekt “4-Tage-Woche” bei Artfiles und seit dem 1.3.2022 arbeiten alle fest angestellten Mitarbeiter und Mitarbeiterinnen nur noch von Montag bis Donnerstag. In diesem Beitrag möchten wir die ersten Erfahrungen zusammenfassen und auch ein wenig vom Hintergrund dieser einschneidenden Veränderung in unserem Unternehmen berichten.

Artfiles setzt seit der Gründung im Jahr 2001 auf ein Angebot technisch sehr anspruchsvoller Dienstleistungen. Wir begleiten seit nunmehr über zwanzig Jahren die Entwicklung im Internet von der Hardware im Rechenzentrum bis zum Support der Webseiten unserer Kunden und gelegentlich sogar mal bis hin zum Debuggen von Kundenanwendungen.

Dies setzt eine sowohl breite als auch tiefe Qualifikation unserer Mitarbeiter und Mitarbeiterinnen voraus. Eine Einarbeitung in unsere Systeme und die von uns verwendeten Technologien dauert auch bei gut ausgebildeten neuen Kollegen und Kolleginnen mindestens 6-9 Monate. Gleichzeitig sind auch wir natürlich Teil des IT-Stellenmarktes und insofern betroffen von dem sich in diesem Bereich in den letzten Jahren kontinuierlich verschärfenden Fachkräftemangel.

Es liegt daher auf der Hand, dass eine erfolgreiche Mitarbeitergewinnung und -bindung für uns essenziell ist.

Das ist aber nicht alles. Eine unserer wichtigsten Leitlinien als Gründer von Artfiles war es von Beginn an eine Firma zu schaffen, in der wir uns auch selbst als Kunden und auch Mitarbeitende sehen können. Insofern geht der Gedanke an das Wohlergehen aller am Erfolg des Unternehmens Beteiligten auch ein wenig über das rein Betriebswirtschaftliche hinaus.

Diese Freiheit nehmen wir uns als inhabergeführtes Unternehmen.

Ein erster Schritt, die Arbeitsbedingungen im Sinne der Work-Life Balance zu verbessern, war im Jahr 2018 die Einführung von flexiblen Arbeitszeiten sowie für einige Mitarbeiter die Möglichkeit, mehrere Tage in der Woche im Homeoffice zu arbeiten.

Die hierfür geschaffene Infrastruktur (virtuelle VoIP Telefonanlage, Notebooks statt Workstations, “Paperless Office” und ein internes Chatsystem) kam uns natürlich gerade zurecht, als im Frühjahr 2020 Corona praktisch von heute auf morgen alle ins Homeoffice zwang. Die Umstellung auf 100% Homeoffice hat dann bei Artfiles nicht einmal eine Woche gedauert – transparent für Kunden und Geschäftspartner.

Lediglich Buchhaltung und Geschäftsführung mussten noch die Stellung halten im Büro.

Und auch wenn wir keine individuelle Leistungskontrolle betreiben, hat die allgemeine Geschäftsentwicklung in 2020 und 2021 bestätigt: 100% Homeoffice hat für uns zu keinen Produktivitätseinbußen geführt. Eher im Gegenteil.

Unter anderem verzeichnet Artfiles seit Einführung der Homeoffice-Regelung 2020 trotz Corona eine Reduktion der Krankentage um mehr als ein Drittel verglichen mit Vor-Corona Zeiten. Damit liegen wir mittlerweile auch ein gutes Drittel unter dem Branchen-Durchschnitt.

Diese durchweg positiven Erfahrungen haben uns direkt zu dem logisch nächsten Schritt geführt: die 4-Tage-Woche bei vollem Gehalt für alle Artfiles Mitarbeitenden.

Nicht nur das berühmte Microsoft Experiment in Japan und Real-World Erfahrungen aus Neuseeland und Großbritannien haben gezeigt, dass die 4-Tage Arbeitswoche unter den richtigen Voraussetzungen Vorteile sowohl für die Firma als auch für ihre Angestellten bringt. Mittlerweile existieren auch unabhängige Studien wie zum Beispiel der 4 Day Week Global Organisation oder des autonomy.work Think Tanks, die diese Erfahrungen bestätigen:

Die 4-Tage-Woche führt zu einem größeren Wohlbefinden bei den Mitarbeitern und Mitarbeiterinnen, sie reduziert Stress und seine Folgeerscheinungen und sie schadet nicht der Produktivität.

Also alle ab sofort am Freitag frei? Nein, so mutig waren wir dann doch nicht.

Die Einführung der 4-Tage-Woche haben wir über sechs Monate gestreckt, so dass jeweils drei bis vier Mitarbeitende pro Monat in die kurze Woche gewechselt haben. Dies hat uns erlaubt, hier und da nach zu steuern und einige Prozesse anzupassen, bevor der Freitag von einem normalen Arbeitstag zu einem “Bereitschaftstag” wurde.

Denn ganz Einstellen können wir das Arbeiten am Freitag natürlich nicht. Als Anbieter von Infrastrukturleistungen im Internet läuft unser Betrieb natürlich 24/7/365. Insofern war es aber wiederum auch keine allzu große Umstellung, den Freitag aus der Bürowoche auszugliedern und in das Bereitschaftsschema zu überführen.

Am Freitag versorgt nun eine reduzierte Mannschaft Technik, Support und Vertrieb, während Buchhaltung, Entwicklung und Geschäftsführung frei haben. Termine werden natürlich nach Möglichkeit nicht am Freitag vergeben, Kundenwünsche gehen aber selbstverständlich vor.

Also ein voller Erfolg?

Im Prinzip schon. Aber ein paar nicht ausschließlich positive Aspekte gibt es natürlich auch zu festzuhalten:

Der bürokratische Aufwand, die Umstellung von fünf auf vier Arbeitstage mitsamt Angleichung von Urlaubsansprüchen, Überstundenregelungen und so weiter rechtssicher festzuhalten, hat sich als deutlich größer herausgestellt als erwartet. Vor allem bei der Umstellung von Teilzeitverträgen ließen sich kleinere „Ungerechtigkeiten“ nicht ganz vermeiden.

Auch wurde klar, dass nicht alle Abteilungen gleichermaßen von der Umstellung auf eine kürzere Arbeitswoche profitieren. Naturgemäß am höchsten war der wahrgenommene relative Produktivitätsgewinn natürlich in der Programmierung und der Systementwicklung, wo die mental stark fordernden Arbeiten anfallen. Support und Buchhaltung zum Beispiel profitieren aufgrund der Struktur der Arbeit dagegen nicht so deutlich.

Und auch wenn bisher die Zahlen ein deutlich positives Bild von den Veränderungen zeigen, so ist es natürlich schwer, den Beitrag einzelner Maßnahmen in der Summe der vielen Änderungen an unseren Arbeitsabläufen zuzuordnen.

Eine große Neuerung, die mit Einführung der 4-Tage-Woche bei Artfiles Einzug gehalten hat, war ein konsequentes Change-Management mithilfe eines Projektplanungs- und Ticketsystems. Wie groß der Einfluß dieser Maßnahme in der 5-Tage-Woche gewesen wäre kann naturgemäß niemand abschätzen.

Insgesamt bleibt aber als Zwischenfazit eine ganz überwiegend positive Beurteilung der eingeführten Änderungen. Die Betriebsergebnisse der letzten Jahre belegen, was alle Untersuchungen vorhergesagt haben: Der Mensch ist nicht produktiver, nur weil man ihn länger am Arbeitsplatz festhält. Jedenfalls nicht in unserem Feld, das konstantes Lernen, Kreativität und technische Problemlösungsfähigkeiten auf hohem Niveau verlangt.

Artfiles wird also voraussichtlich auch weiterhin eine 4-Tage-Firma bleiben.

Artfiles ist MANRS Mitglied

Für ein stabiles Internet, wie Sie es hoffentlich kennen, ist es wichtig Regeln und Sicherheitsmechanismen haben. Eine Initiative, die sich eben dies auf die Fahnen geschrieben hat, ist MANRS (https://www.manrs.org).

MANRS steht für „Mutually Agreed Norms for Routing Security“, frei übersetzt “Einvernehmlich vereinbarte Normen zur Routing Sicherheit“.

Hieraus geht auch das Ziel der Initiative hervor, möglichst viele Teilnehmer sollen diese Normen umsetzen, sei es ein Internetprovider, Cloudanbieter, Streaminganbieter oder Internet Exchanges.

Um z.B. eine Domain aufrufen zu können, werden viele kleine Datenpakete durch das Internet geschickt. Diese Datenpakete müssen dafür mehrere Router passieren, diese Router sorgen dafür, dass das Datenpaket den schnellsten Weg zum Ziel findet. Um den schnellsten Weg zu finden, führt der Router einen „Routing Table“, in dem der Router alle ihm bekannten Wege zum Ziel führt. Dieser „Routing Table“ baut auf den Updates seiner Nachbarroutern auf.

Durch diesen kleinen Exkurs wird vielleicht auch deutlich, warum es wichtig ist, korrekte Daten an die Nachbarrouter zu annoncieren. Werden falsche Daten annonciert, führt der „Routing Table“ falsche Einträge. Letztendlich kann dies für Sie verschiedene Konsequenzen zur Folge haben: Ihre Daten kommen nicht am Ziel an; benötigen sehr viel länger zum Ziel; im schlimmsten Fall landen die Daten bei Kriminellen. Daher ist es wichtig, entsprechende Maßnahmen umzusetzen, um solche Probleme, so gut wie möglich, zu verhindern.

MANRS sieht hierfür 4 übergeordnete Themen vor:

  • Filtering
  • Anti-Spoofing
  • Coordination
  • Global Validation

Viele dieser Punkte haben wir schon seit langem umgesetzt, wie z.B. durch die Einführung von RPKI letztes Jahr. Nun haben wir jedoch auch die letzten Maßnahmen eingeführt und vor allem aktualisiert, um alle 4 Themenkomplexe komplett zu erfüllen. Somit können wir nun verkünden, dass wir seit heute offizieller MANRS Teilnehmer sind.

Auch zukünftig werden wir natürlich die Entwicklungen beobachten und entsprechende Maßnahmen ergreifen sofern diese nötig sind. Sollten Sie Fragen haben, melden Sie sich gerne bei uns.

RPKI Validation bei Artfiles

In der IT-Branche ist RPKI in aller Munde und auch wir haben dieses Thema in den letzten Wochen aufgegriffen. Mit der Implementierung leisten wir einen Beitrag zur Routing-Sicherheit und schützen unsere Netze gegen gewollte und ungewollte Attacken.

Ab Dienstag, den 07.01.2020, werden wir die RPKI Validation aktivieren und Routen verwerfen, die nicht korrekt vom Inhaber authorisiert sind. Laut unserem Monitoring werden dies ca. 4500 IPv4 Netze und ca. 800 IPv6 Netze sein.

Invalid Prefixes (Stand: 13.12.2019)

Und nun nochmal genauer

Was ist eigentlich RPKI?

RPKI steht für ‘Resource Public Key Infrastructure’ und bildet einen Baustein in der BGP Sicherheit. BGP ist die Abkürzung für ‘Border Gateway Protocol’ und stellt das zentrale Routingprotokoll dar, um verschiedene Netzwerke miteinander zu verbinden.

Jede Organisation oder Privatperson, die selbst Prefixe (Netze) hochfahren möchte, erhält von der zuständigen RIR (Regional Internet Registry), in unserem Fall dem RIPE, eine sogenannte AS-Nummer. Generell kann nun jeder unterhalb seiner AS-Nummer (oder auch einer x-beliebigen, BGP bietet da keinen Schutz) jedes Prefix annoncieren und dies seinem BGP-Neighbor mitteilen. Ohne Sicherheitsmechanismen nimmt der BGP-Neighbor dieses Prefix in seinen Routing Table auf und teilt wiederum seinen Nachbarn mit, dass er einen Pfad zu diesem Prefix besitzt. Somit könnte der Traffic nun einen anderen Weg nehmen und nicht am eigentlichen Zielort ankommen. Mit RPKI ist es nun möglich, solche Angriffe zu einem großen Teil zu unterbinden. Wichtig hierfür ist das Signieren der eigenen Prefixe sowie das Validieren der externen Prefixe.

Signierung

RPKI setzt zum Signieren auf die Public-Key Verschlüsselung. Hierfür übernimmt das RIPE das Hosten der CA (Certification Authority) und stellt uns Zertifikate für unsere Prefixe aus. So ein Zertifikat nennt sich ROA (Route Origination Authorization) und besteht aus drei Teilen.

  1. Origin AS – Die AS-Nummer, die das Prefix hochfahren darf
  2. Prefix – Das zu signierende Prefix
  3. Prefixlänge – Die Länge des Prefix, z.B. ob das Prefix nur als /24 hochgefahren werden darf oder auch als /23

Beim RIPE kann man unter http://localcert.ripe.net:8088/roas die erstellten ROAs einsehen.

ROA für unser Prefix 80.252.96.0/20

Anhand der erstellten ROAs kann nun jeder Router ein Prüfung vornehmen, ob das an ihn annoncierte Prefix überhaupt annonciert werden darf.

Validierung

Die Validierung der Prefixe läuft so ab, dass zusätzliche Software, der Validator, alle ROAs von den unterschiedlichen RIRs runterlädt und lokal zusammenfasst. Der Router fragt die ROAs nun über das RTR-Protokoll vom Validator ab und führt dann eine Route Origin Validation (ROV) durch und versieht die ihm annoncierten Prefixe mit einem Status:

  • valid
    Das annoncierte Prefix wird vom korrekten AS annonciert und hat die korrekte Länge
  • unknown
    Das annoncierte Prefix hat keinen ROA oder die Verbindung zum Validator ist längere Zeit inaktiv und die lokale Datenbank damit nicht mehr up-to-date
  • invalid
    Das annoncierte Prefix wird vom falschen AS annonciert oder besitzt eine falsche Länge

Auf Basis dieser Validierung kann man auf dem Router nun festlegen, was mit den annoncierten Prefixes geschehen soll.

Als Validatoren setzen wir auf den RIPE RPKI Validator und auf den Routinator3000 von NLnetLabs.

Router sagt Nein

Wir haben unsere Router so konfiguriert, dass Prefixe mit dem Status valid und unknown angenommen werden. Prefixe mit dem Status invalid, werden vom 07.01.2020 an verworfen und nicht in den aktiven Routing Table aufgenommen.

Durch das Verwerfen von invaliden Prefixes kann es nun vorkommen, dass Clients aus diesen Netzen keinen unserer Services mehr nutzen können. Hier möchten wir nochmal betonen, dass das Problem in dem Fall nicht bei uns liegt, sondern beim Provider des Clients, da dort falsche ROAs konfiguriert sind.

Demonstrieren lässt sich dies z.B. an dem Prefix 24.38.100.0/24. Hierfür ist der folgende ROA angelegt.

Der bei ARIN angelegte ROA

Demnach darf nur das AS6128 das Netz announcen. Laut Routing Table wird das Netz jedoch von AS54004 announciert. Damit stimmt das announcierte Prefix nicht mit dem ROA überein und der Status wird auf invalid gesetzt.

Routing Status beim RIPEstat (https://stat.ripe.net/24.38.100.0%2F24#tabId=routing)

Den RPKI Status einer IP können Sie auch unter https://stat.ripe.net/ überprüfen.

Da wir mit einigen Kunden interne BGP-Sessions aufgesetzt haben und wir dort teilweise Prefixe announciert bekommen, die nicht durch einen ROA authorisiert werden können, mussten wir hierfür eine Lösung finden, da jedes an uns announcierte Prefix die Validierung durchlaufen soll, ohne Ausnahme.

Um dies zu gewährleisten, werden die announcierten Prefixes in die kundenspezifische Policy geschrieben und erhalten dort von uns den Status valid. So ist gewährleistet, dass die Prefixes vom Kunden immer valid sind und angenommen werden.

Zusätzlich versehen wir jedes Prefix mit einer Community, was uns z.B. das Monitoring der Prefixes erleichtert.

BGP Communities

Die Zukunft

RPKI trägt einen Teil zur Sicherheit der Netzwerke bei, weitere interessante Sicherheitsmaßnahmen wie z.B. ASPA befinden sich in der Entwicklung und werden von uns aufmerksam verfolgt, um auch zukünftig unser Netzwerk, und damit auch Sie, zu schützen.

Wir hoffen, Ihnen einen kleinen Einblick in die RPKI Implementierung bei Artfiles gegeben zu haben. Sollten Sie Fragen haben, melden Sie sich gerne bei uns.

Wie grün ist Artfiles?

Als Computerbesitzer kennt jeder das Problem: auf der einen Seite verbrauchen Computer relativ viel Strom und auf der anderen Seite erzeugen Sie je nach Leistung auch Wärme, die abgeführt werden muss. Vor allem Computer, die zum Beispiel für anspruchsvolle Spiele ausgestattet sind, stellen schon den einfachen Nutzer vor die Frage wie es mit Kühlung und Stromversorgung aussieht. Und wenn dann in einem Rechenzentrum mehrere hundert Server in einem Raum sind, stellt sich die Frage in ganz neuen Dimensionen – wie kühlt man so eine große Zahl von Servern und wie versorgt man sie auch noch sicher mit Strom und das alles auch noch kostengünstig und ökologisch?

Also: ist Artfiles grün?

Schauen wir als erstes einmal auf die Kühlung, die wir bei Artfiles einsetzen. Im Gegensatz zur früher üblichen Installation von Serverschränken in großen Räumen, haben wir sogenannte Kaltgänge aufgebaut, wie zum Beispiel im folgenden Bild:

Kaltgang bei Artfiles

Continue reading “Wie grün ist Artfiles?”