Herr Reinheimer, am 19. Juli warteten Zigtausende auf Flughäfen in aller Welt, waren Banken und Supermärkte lahmgelegt. Auch Kliniken mussten OPs verschieben, weil die Windows-gestützte EDV-Infrastruktur an vielen Stellen auf der Welt nicht in Gang zu bringen war. In den Schlagzeilen rund um das globale IT-Desaster machte der Name „CrowdStrike“ die Runde. Was genau ist geschehen?
Pascal Reinheimer: Zunächst zu CrowdStrike. Dabei handelt es sich um ein US- Unternehmen für Cybersicherheitstechnologie und Informationssicherheit in Austin/Texas. Dieser Anbieter hatte bislang einen sehr guten Ruf. Als Systemadministratoren von reinheimer systemloesungen in Darmstadt setzen wir andere IT-Security-Systeme ein. Zum Glück für unsere Kunden, wie man jetzt sagen muss.
Nach dem, was uns an Nachrichten vorliegt, war die Ursache für die weltweiten Systemabstürze offenbar ein fehlerhaftes Update der Software CrowdStrike Falcon, das automatisiert für IT-Netzwerke in aller Welt ausgerollt wurde. Das Bundesamt für die Sicherheit in der Informationstechnik, BSI, schreibt dazu: „Mit Hilfe der Channel-Dateien verteilt CrowdStrike dynamische Updates und Detektionsregeln.“ Weiter informiert das BSI: „Durch ein jüngst ausgerolltes fehlerhaftes Update, welches die auf Endgeräten und Servern installierten Crowdstrike Falcon Sensoren betrifft, kam es zu einer Situation, die unter Windows zu Abstürzen führen kann.“
Reinheimer: Crowdstrike Falcon ist eine häufig genutzte „Enterprise Detection und Response Schutzsoftware für Endgeräte“. Die Software ist tief eingebettet ins Betriebssystem Windows. Dieser intelligente Virenscanner wird von sich aus aktiv, wenn beispielsweise ein verdächtiges Programm – möglicherweise eine Malware – im EDV-Netzwerk versucht, an gespeicherte Passwort-Daten zu gelangen und unterbindet solche Versuche. Das fehlerhafte Update hat offenbar dafür gesorgt, dass das Betriebssystem Windows abstürzte und sich nicht mehr starten ließ. Auf Bildschirmen weltweit blickten Nutzende auf blaue Monitor-Oberflächen, auf denen sich nichts mehr regte. IT-Fachleute sprechen bei einer solchen Erscheinung von „BSOD“, dem Blue Screen Of Death.
Reinheimer: Nach Mitteilung des BSI sind bisher keine Vorfälle bei Privatanwendern bekannt. Das Amt geht nach seiner Mitteilung „CSW-Nr. 2024-257485-10F1, Version 1.0, 19.07.2024“ auch nicht davon aus, dass private User betroffen waren. Denn es handelt sich bei CrowdStrike Falcon um ein Software-Werkzeug für Unternehmenskunden. Einen anfangs vermuteten Hacker-Angriff dementierte CrowdStrike auf seinem Kanal auf X, vormals Twitter.
Pascal Reinheimer: Vorausgeschickt, dass man hinterher immer klüger ist, möchte ich grundsätzlich darauf hinweisen, dass neue Software über eine „Sandbox“ auf Funktion und Fehler getestet werden sollte. Das gilt in Unternehmens-Netzwerken auch für neue geschäftskritische Anwendungen. Eine Sandbox – deutsch: Sandkasten – ist ein virtueller vom sonstigen Netzwerk getrennter Experimentierraum, in dem ausgiebig und ohne Folgen für geschäftskritische Systemlandschaften getestet werden kann, ob eine neue Anwendung sich bestimmungsgemäß verhält – ob damit alles richtig läuft.
Wir kennen die genauen Umstände, wie es zu dem folgenreichen Vorfall gekommen ist, noch nicht in allen Einzelheiten. Allerdings führt der Vorfall grundsätzlich vor Augen, dass auch in professionell administrierten Rechenzentren von Konzernen Menschen arbeiten, die Fehler machen können. Das gilt auch für große Cloud-Anbieter, auf die sich heutzutage aus meiner Sicht zu viele blind verlassen.
Pascal Reinheimer: Ich rate unabhängig vom aktuellen Vorfall dazu, in der eigenen EDV-Infrastruktur für geschäftskritische Anwendungen und Daten zuverlässig wiederherstellbare Backups zu unterhalten. Diese BackUps sollten durch BackUp-Tests auch auf ihre tatsächliche Wiederherstellbarkeit geprüft werden. Ebenso wichtig sind aus meiner Sicht IT-Notfallpläne, sodass im Fall unerwarteter Entwicklungen – etwa auch nach einem Cyberangriff – ohne Zeitverzug professionelles Handeln interner oder externer Systemadministratoren eingeleitet werden kann.
Pascal Reinheimer: Die Diskussion nach dem CrowdStrike-Disaster wurde thematisierte Quasi-Monopolstellungen der Anbieter von Betriebssystemen wie Windows und MacOS sowie von Sicherheits-Software. Es gibt in der Tat weltweit nur wenige Anbieter. Auch die Diskussion, wie ein einzelner Fehler so gravierende Folgen konnte, wird sich nach diesem Vorfall weiter intensivieren. Nach erfolgreichen chinesischen Cyberattacken auf Microsoft-Infrastrukturen von US-Regierungsbehörden war eine ähnliche Debatte auch in den Vereinigten Staaten aufgekommen. Auch die Frage nach der Haftung für die sicherlich immensen Schäden wird im Fall des CrowdStrike-Debakels aufgeworfen. Die juristische Aufarbeitung von Schadenersatzansprüchen dürfte auf das Unternehmen zukommen.
Reinheimer: Weil hier das automatisierte Aufspielen einer Problemlösung auf alle betroffenen Rechner durch die Admins nicht möglich war. Jedes einzelne Endgerät muss in einem solchen Fall im abgesicherten Modus neu gestartet werden, um die fehlerbehaftete Software zu entfernen. Wenn sehr viele Rechner im Netzwerk sind, kann man sich den jeweils mehrminütigen Zeitaufwand je Gerät für eine solche Maßnahme vorstellen. Das BSI hat CrowdStrike-Hinweise veröffentlicht, wie sich das Problem abstellen lässt.
Seit mehr als einem Vierteljahrhundert gestalten und betreuen wir als professionelle Systemadministratoren bedarfsgerechte, betriebssichere und gegen Cyberangriffe widerstandsfähige (resiliente) EDV-Netzwerke für mehr als 120 Kundinnen und Kunden im Großraum Frankfurt-Darmstadt. Unsere erfahrenen externen Systemadministratoren stehen innerhalb abgesprochener Rufbereitschaftszeiten als Helpdesk zur Verfügung. Ein wichtiger Schwerpunkt unserer Arbeit ist in Zeiten wachsender Cyberbedrohungen die EDV-Sicherheit (IT-Security).
Als Computer-Service aktiv sind wir für KMU, den Medizinsektor (Arztpraxis, Praxisnetzwerke), Vereine und Nichtregierungsorganisationen in der Metropolregion Frankfurt-Darmstadt – beispielsweise im Landkreis Darmstadt-Dieburg, dem Odenwaldkreis, der Stadt Frankfurt am Main, dem Wetteraukreis, dem Landkreis Groß-Gerau, dem Hochtaunuskreis, dem Landkreis Bergstraße, der Stadt Hanau, dem Main-Kinzig-Kreis, dem Main-Taunus-Kreis, dem Landkreis Offenbach und der Stadt Offenbach am Main, dem Rheingau-Taunus-Kreis sowie der hessischen Landeshauptstadt Wiesbaden.
Kontakt zu den IT-Security-Experten in Hessen.
CrowdStrike: Tech Alert | Windows crashes related to Falcon Sensor (Kunden-Passwort erforderlich)
Mehr über den Bluescreen of Death
Microsoft zum CrowdStrike-Vorfall
Microsoft wegen Cyberattacken in den Schlagzeilen
Heise-Kommentar: Crowdstrike-Debakel: IT-Firmen müssen stärker für ihre Fehler haften
IT-Disaster! Wissen Sie, ob ein Restore aus Ihrem Backup funktioniert?
FAZ-online meldet, dass die Computer-Ausfälle infolge der CrowdStrike-Panne „zum Großteil behoben“ seien. 8,5 Millionen Windows-Computer weltweit waren nach Microsoft-Schätzungen davon betroffen. Laut Frankfurter Rundschau vom 26. Juli 2024 sollen 97 Prozent davon inzwischen wieder laufen. Im Umkehrschluss heißt das aber auch, dass es nach dem Update-Gau bei etwa 250 000 Endgeräten immer noch hakt. Das IT-Sicherheitsunternehmen CrowdStrike will laut FAZ-online seine Testsysteme nun „verbessern“ und Updates nur noch „schrittweise“ aufspielen, „damit eventuelle Probleme nicht sofort alle Kunden treffen“.