Der CrowdStrike-Vorfall sorgte weiltweit für Probleme bei Windows Systemen.
Hergang und Folgen des CrowdStrike-Vorfalls
Am Freitag, den 19. Juli, fielen auf der ganzen Welt unzählige PCs, Informationsbildschirme, Kassensysteme und andere Geräte mit dem Betriebssystem Windows aus und zeigten den sogenannten „Blue Screen of Death“ (BSoD). Ein Neustart löste das Problem nicht und die Geräte waren erst einmal nicht mehr zu verwenden. Was zuerst nach einem Problem bei Microsoft aussah, entpuppte sich als Problem der IT-Sicherheitsfirma CrowdStrike. Diese hatte für ihre Software "Falcon" ein fehlerhaftes Update verteilt, was den Systemabsturz von Windows verursacht hatte.
Falcon ist eine sogenannte „Extended Detection and Response“-Lösung (XDR). XDR-Plattformen sind Sicherheits-Rundumpakete, die vom Virenschutz auf den Endgeräten über IT-Forensik mit künstlicher Intelligenz und Verhaltensüberwachung des Systems bis zur Bedrohungserkennung im lokalen Netzwerk viele Funktionen bündeln. XDR-Plattformen sind meist bei Großkonzernen im Einsatz, deren Systeme besonders schutzwürdig sind, deshalb waren von dem Vorfall überwiegend Flughäfen, Banken, Versicherungen und Kliniken betroffen. Laut Schätzungen von Microsoft betraf der Fehler etwa 8,5 Millionen Rechner weltweit, die von IT-Mitarbeitern aufwendig reaktiviert werden mussten. Flughäfen konnten keine Passagiere abfertigen und Fluglinien mussten ihre Flugzeugflotten am Boden festsetzen, in Supermarktketten funktionierten die Kassensysteme nicht mehr und Krankenhäuser mussten Operationen verschieben. In Deutschland meldeten sich über 50 Betreiber Kritischer Infrastrukturen (KRITIS) im Zuge der Ausfälle beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
Technisches Hintergrundwissen
Damit Falcon seine Schutzfunktionen vollumfänglich durchführen kann, hat die Software erweiterte Systemrechte und ist tief in das Betriebssystem integriert. Zusätzlich hat der Hersteller seine Software als sogenannten "Boot-Start Treiber" deklariert. D. h. funktioniert die Software nicht ordnungsgemäß, kann Windows nicht starten. Das ist prinzipiell eine gute Idee. Nehmen wir an die zentrale IT-Schutzsoftware funktioniert nicht und es ist somit ein ungeschützter PC im Netzwerk, der von einem Angreifer gekapert wird. Dieser Angreifer schafft es, sich im Netzwerk auszubreiten und noch weitere PCs zu übernehmen. Dem ist die Variante eines nicht mehr startenden PCs auf jeden Fall vorzuziehen. Der Hersteller der Schutzsoftware sollte aber auch sicherstellen, dass seine Software nur in berechtigten Ausnahmefällen abstürzt und das System ansonsten einwandfrei funktioniert.
Ursache des Ausfalls
Den Fehler verursacht hat ein korruptes Konfigurationsupdate, das einen Absturz der Software Falcon nach sich zog. CrowdStrike veröffentlichte mittlerweile eine Analyse des Vorfalls und machte einen Fehler im Validierungssystem, welches die Konfigurationsupdates prüft, für den Ausfall der Windows Geräte verantwortlich. Dieses Validierungssystem hätte den Fehler erkennen und das fehlerhafte Update verhindern müssen. Der Hersteller gelobt Besserung durch das Einführen eines umfangreichen Qualitätssicherungsprozesses mit diversen Tests, damit sich der Fehler nicht mehr wiederholen kann. Kritiker melden zu Recht an, dass solche Tests bei so einer wichtigen Komponente schon lange Standard sein sollten. Auch darf eine kaputte Konfigurationsdatei unter keinen Umständen das gesamte System in den Abgrund reißen. Daher müssten zusätzlich Schutzmechanismen gegen einen Totalabsturz eingebaut werden.
Lehren aus dem Vorfall
Die IT-Bedrohungslage ist nach wie vor kritisch. Jeden Tag kommen unzählige, neue Varianten von Schadsoftware auf den Markt. Neben staatlichen Akteuren aus den bekannten Ländern ist das Abgreifen von Daten und im Nachgang Erpressen der Geschädigten nach wie vor ein lukratives Geschäftsmodell. Ein gutes IT-Sicherheitskonzept ist für jedes Unternehmen Pflicht und eine XDR-Software wie Falcon zumindest für Großkonzerne ein wichtiger Bestandteil dieses IT-Sicherheitskonzepts. Mittlerweile ist etwas Bewegung entstanden und Microsoft hat die großen Anbieter von Sicherheitslösungen zu einem Runden Tisch eingeladen, damit sich so ein Vorfall wie bei CrowdStrike hoffentlich nicht mehr wiederholen kann.
Weitere technische Hintergründe erhalten Interessierte in dem englischsparachigen Video eines ehemaligen Windows-Entwicklers.