{"id":860,"date":"2026-02-22T14:24:46","date_gmt":"2026-02-22T13:24:46","guid":{"rendered":"https:\/\/brinkhaus-gmbh.de\/?p=860"},"modified":"2026-02-22T14:28:18","modified_gmt":"2026-02-22T13:28:18","slug":"ein-serverumzug-mit-claude-code-was-ging-was-ging-nicht-und-was-das-fuer-kleine-firmen-heisst","status":"publish","type":"post","link":"https:\/\/www.brinkhaus-gmbh.de\/en\/ein-serverumzug-mit-claude-code-was-ging-was-ging-nicht-und-was-das-fuer-kleine-firmen-heisst\/","title":{"rendered":"Ein Serverumzug mit Claude Code – Was ging, was ging nicht und was das f\u00fcr kleine Firmen hei\u00dft"},"content":{"rendered":"\n

Ausgangslage<\/strong><\/h3>\n\n\n\n
\n

Ich leite ein kleines Ingenieurb\u00fcro. Wir machen IoT, Maschinenanbindung, Software-Entwicklung. F\u00fcnf Leute, keine IT-Abteilung. Die IT-Abteilung bin ich, abends und am Wochenende.<\/p>\n\n\n\n

Unser VPS bei Strato lief seit sieben Jahren. Docker-Container \u00fcber Container, Start-Skripte aus verschiedenen Epochen, ein Backup-Konzept, das man wohlwollend als \u201egewachsen” bezeichnen konnte. Manches lief noch, manches war seit Jahren gestoppt und lag einfach nur noch rum. Der Server funktionierte, aber wenn mich jemand gefragt h\u00e4tte, was da eigentlich alles drauf ist \u2014 ich h\u00e4tte raten m\u00fcssen.<\/p>\n\n\n\n

Der Umzug auf einen neuen VPS stand seit Monaten an. Bessere Hardware, aktuelleres Ubuntu, die Gelegenheit, mal auszumisten. Aber ein Serverumzug mit dutzenden Docker-Containern, VPN, Backups, Sicherheitskonfiguration \u2014 das ist ein Wochenende Arbeit. Mindestens. Und ich hatte dieses Wochenende seit Monaten nicht.<\/p>\n<\/div>

\"\"<\/figure><\/div>\n\n\n\n

SSH-Zugang und \u201eArbeite dich ein”<\/strong><\/h3>\n\n\n\n

Ich nutze Claude Code seit einiger Zeit f\u00fcr Softwareentwicklung. Irgendwann kam der Gedanke: Wenn das Ding per Terminal arbeitet und mein SSH-Key auf dem Server liegt \u2014 warum soll es nicht auch Serveradministration k\u00f6nnen?<\/p>\n\n\n\n

Der Anfang war simpel: Neuen VPS bestellt, Claude den SSH-Key auf den neuen Server kopieren lassen. Ab diesem Moment hatte die KI denselben Zugang wie ein Systemadministrator. Per SSH, mit Root-Rechten.<\/p>\n\n\n\n

Aber ich habe nicht mit \u201emigriere alles” angefangen. Der erste Auftrag war: \u201eArbeite dich auf dem alten Server ein.”<\/strong><\/p>\n\n\n\n

Claude sollte die Struktur unter `\/var\/dockerdata` analysieren. Jedes Verzeichnis durchgehen, herausfinden, welche Container noch aktiv sind, wie sie gestartet werden, welche Daten wo liegen. Die Backup-Skripte lesen und verstehen.<\/p>\n\n\n\n

Das Ergebnis war eine Dokumentation, die ich selbst nie geschrieben h\u00e4tte. Nicht aus Faulheit \u2014 sondern weil man als Betreiber eines Servers vieles im Kopf hat und es nie aufschreibt. Claude hatte keinen Kopf, in dem etwas implizit vorhanden war. Also schrieb es alles auf.<\/p>\n\n\n\n

Diese Dokumentation landete als README.md direkt in `\/var\/dockerdata`, neben der Infrastruktur selbst. Kein externes Wiki, kein separates Repo. Die Doku dort, wo die Sachen sind.<\/p>\n\n\n\n

Aufr\u00e4umen, dann umziehen<\/strong><\/h3>\n\n\n\n

Vor dem Umzug kam das Ausmisten. Container, die seit Jahren nicht mehr liefen \u2014 Gitea, Spacedeck, ein alter Build-Slave, ein aufgegebenes Monitoring \u2014 wurden nicht gel\u00f6scht, sondern mitsamt ihrer Daten nach `\/old` verschoben. Raus aus der aktiven Struktur, aber wiederherstellbar. Das war mir lieber als endg\u00fcltiges L\u00f6schen.<\/p>\n\n\n\n

Das lief iterativ. Claude schlug eine Struktur vor, mir gefiel nicht alles, ich korrigierte, Claude passte an. Normaler Arbeitsprozess, wie mit einem Mitarbeiter.<\/p>\n\n\n\n

Neuer Server: Zielbild statt Schritt-f\u00fcr-Schritt<\/strong><\/h3>\n\n\n\n

Auf dem neuen Server habe ich Claude nicht Schritt f\u00fcr Schritt angewiesen, sondern ein Zielbild beschrieben:<\/p>\n\n\n\n

    \n
  • Zentrale Ablage unter `\/var\/docker_data` f\u00fcr alle Container<\/li>\n\n\n\n
  • VPN-Verbindung zur Fritzbox in der Firma<\/li>\n\n\n\n
  • N\u00e4chtliche Backups zum Firmenserver \u00fcber das VPN<\/li>\n\n\n\n
  • Brute-Force-Schutz<\/li>\n\n\n\n
  • Automatische Updates f\u00fcr Docker-Images und OS-Pakete<\/li>\n\n\n\n
  • Laufende Dokumentation im selben Verzeichnis<\/li>\n<\/ul>\n\n\n\n

    Der letzte Punkt war wichtig. Ich sagte Claude: \u201eSchreib Dir selbst eine Dokumentation. Was ist eingerichtet, was fehlt noch, wie ist der Stand.” Das hatte einen praktischen Grund: Ein Serverumzug an einem St\u00fcck ist f\u00fcr einen Gesch\u00e4ftsf\u00fchrer unrealistisch. Es kommen Anrufe, Mails, Kundentermine dazwischen. Wenn ich nach drei Stunden Pause weitermachte, las Claude seine eigene Dokumentation und wusste, wo wir standen.<\/p>\n\n\n\n

    Nebenbei konnte ich Wartezeiten nutzen. W\u00e4hrend der Datentransfer vom alten Server lief \u2014 Gigabytes \u00fcber die Leitung \u2014 besprachen wir die VPN-Strategie oder das Update-Konzept.<\/p>\n\n\n\n

    Was Diskussion brauchte und was nicht<\/strong><\/h3>\n\n\n\n

    Eine Sache, die gut funktionierte: Claude unterschied von sich aus, was meine Meinung erfordert und was nicht.<\/p>\n\n\n\n

    Das VPN war ein echtes Diskussionsthema. WireGuard, IPSec, OpenVPN \u2014 jeder Ansatz hat andere Implikationen, abh\u00e4ngig von der Fritzbox-Konfiguration. Claude legte Optionen vor, erkl\u00e4rte Vor- und Nachteile, und wir entschieden gemeinsam f\u00fcr strongSwan mit IKEv1 (das, was die Fritzbox am zuverl\u00e4ssigsten kann).<\/p>\n\n\n\n

    SSH-H\u00e4rtung hingegen war kein Diskussionsthema. Fail2ban installieren, Passwort-Login deaktivieren, Key-Only-Auth erzwingen \u2014 das sind Best Practices, keine strategischen Entscheidungen. Claude richtete das ein und meldete das Ergebnis. Fertig, weiter.<\/p>\n\n\n\n

    Wo es schiefging: das Backup<\/strong><\/h3>\n\n\n\n

    Nicht alles lief glatt, und das geh\u00f6rt in einen ehrlichen Bericht.<\/p>\n\n\n\n

    Das Backup richtete Claude zun\u00e4chst mit rsnapshot ein \u2014 ein bew\u00e4hrtes Tool, das inkrementelle Backups \u00fcber Hardlinks macht. Die Sicherung lief n\u00e4chtlich per Cronjob \u00fcber das VPN auf den Firmenserver, montiert per CIFS.<\/p>\n\n\n\n

    Zwei Tage lang sah alles gut aus. Dann bat ich Claude, zu verifizieren, ob wirklich alle Dateien korrekt gesichert werden. Ergebnis: Symbolische Links wurden \u00fcber CIFS nicht korrekt \u00fcbertragen.<\/strong> Bei Docker-Containern, deren Verzeichnisstrukturen auf Symlinks angewiesen sind, ein echtes Problem.<\/p>\n\n\n\n

    Das war kein Fehler, den Claude h\u00e4tte vermeiden m\u00fcssen \u2014 rsnapshot \u00fcber CIFS ist eine valide Konfiguration, und dass Symlinks \u00fcber SMB-Mounts Probleme machen, ist eine jener Eigenheiten, die man kennt oder eben nicht. Aber es zeigt: Man muss die Ergebnisse pr\u00fcfen. KI-Arbeit ist nicht fehlerfrei, und Vertrauen ohne Kontrolle w\u00e4re fahrl\u00e4ssig.<\/p>\n\n\n\n

    Nach Beratung mit Claude sind wir auf Restic umgestiegen. Restic \u00fcbertr\u00e4gt die Daten als deduplizierte, verschl\u00fcsselte Bl\u00f6cke \u2014 das Dateisystem des Ziels spielt keine Rolle mehr. Symlinks, Berechtigungen, Hardlinks werden korrekt erfasst. Das Backup l\u00e4uft seitdem sauber.<\/p>\n\n\n\n

    H\u00e4tte ich das Problem ohne KI schneller gefunden? Vielleicht. H\u00e4tte ich es ohne die systematische Verifikation \u00fcberhaupt gefunden, bevor es im Ernstfall zu sp\u00e4t gewesen w\u00e4re? Vermutlich nicht.<\/p>\n\n\n\n

    Das Ergebnis<\/strong><\/h3>\n\n\n\n
    \n
    \n

    Der Umzug dauerte, verteilt \u00fcber mehrere Sessions, etwa zwei Nachmittage meiner Zeit. Die H\u00e4lfte davon war Diskussion und Entscheidungsfindung, nicht Handarbeit.<\/p>\n\n\n\n

    Am Ende steht ein Server mit:<\/p>\n\n\n\n