Crowdstrike und die (bisher) größte IT-Panne aller Zeiten

Was ist passiert?

Eine EDR-Software (Endpoint Detection and Response) hat unzählige Windows-Systeme (aktuelle Schätzungen: 8.500.000 Systeme) betroffen, indem sie einen BSOD (Blue Screen Of Death) ausgelöst hat, der bei jedem folgenden Reboot ebenfalls auftauchte und somit das System vollständig unbrauchbar und unbenutzbar gemacht hat.

Wie ist das möglich? Eine EDR-Software unter Windows läuft typischerweise als Treiber und kann somit effektiv auf Bedrohungen reagieren. Diese Treiber werden von Microsoft vorqualifiziert und sollten damit stabil sein. Um aber auf Bedrohungen schnell reagieren zu können, erhält die EDR-Software (von Microsoft ungeprüfte) Updates, die vom Treiber geladen werden. Und genau hier ist der Fehler passiert: Ein Update hat eine Datei angelegt, die fehlerhaft war, vom Treiber falsch verarbeitet wurde und den oben genannten Fehler ausgelöst hat.

Was konnte man machen?

Auch wenn der von Crowdstrike vorgeschlagene Workaround zunächst einfach klingt, so ist seine Umsetzung durchaus komplex. Der Workaround besteht darin, die fehlerhafte Datei zu löschen. Das klingt so lange einfach, bis man daran denkt, dass die betroffenen Systeme nicht von außen erreichbar sind und jedes einzelne individuell repariert werden muss. Da sowohl Clients als auch Server in Mitleidenschaft gezogen wurden, bedeutet dies viel Turnschuh-Administration. Wenn dann noch zusätzlich die Festplatte Bitlocker-verschlüsselt ist, muss man auch den 48-stelligen Key eingeben, der hoffentlich nicht auf einem Windows-System in einer Passwort-Datenbank liegt. Anfang August waren daher noch nicht alle betroffenen Systeme wiederhergestellt.

War das Ganze ein Sicherheitsvorfall?

Zunächst die gute Nachricht: Es handelte sich nicht um einen Hacker-Angriff. Also ist es auch kein Sicherheitsvorfall, oder? Nun ja, so einfach ist das nicht zu sagen. Was einige Leute gewundert hat: Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat sich eingeschaltet, sowohl mit Crowdstrike als auch mit Microsoft gesprochen und eine entsprechende Warnung herausgegeben, inkl. einer Bewertung der IT-Bedrohungslage. War es dann doch ein Sicherheitsvorfall?

Wenn man sich mit der BSI-Methodik beschäftigt, stößt man immer wieder auf die drei Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität. In diesem Fall war das Schutzziel der Verfügbarkeit definitiv massiv betroffen. Das bedeutet, dass es sich genau genommen um einen Sicherheitsvorfall handelt. Und damit kommen wir zu etwas, das immer wieder passiert: Nicht jeder Sicherheitsvorfall wird durch einen Hacker-Angriff verursacht. Andere Beispiele dafür sind ungeschützte Cloud-Speicher oder Fehler bei der Administration. Gerade für Letzteres gibt es einen eigenen Baustein im BSI IT-Grundschutz-Kompendium!

Nebenbei bemerkt: Was das Ganze noch unangenehmer macht, ist die Tatsache, dass Crowdstrike im Juni 2024 vom BSI als qualifizierter APT-Response-Dienstleister aufgeführt worden ist. Gleichzeitig stellt es jedoch in den eigenen AGBs klar, dass die Software nicht für kritische Systeme geeignet ist.

Fazit

Crowdstrike hat für die (bisher) größte Panne in der Geschichte der IT gesorgt. Ein fehlerhaftes Update für eine Komponente mit Zugriff auf den Kern des Betriebssystems ist schiefgegangen und hat das zugrunde liegende Betriebssystem unbrauchbar gemacht. Und der Workaround war und ist mit viel Handarbeit verbunden.

Egal ob es ein Hacker-Angriff war oder nicht: Durch die großflächige Einschränkung der Verfügbarkeit war es technisch gesehen ein Sicherheitsvorfall.

Wird dies die letzte Panne dieser Art sein? Ich befürchte nein, doch bleibt zu hoffen, dass nicht nur Crowdstrike, sondern auch andere Anbieter von Sicherheitssoftware aus diesem Debakel lernen und sich die Auswirkungen in Zukunft in Grenzen halten werden. Hoffen wir das Beste.

Die ganze Thematik ist auf jeden Fall noch eine genauere Betrachtung wert, wenn alle Details und Auswirkungen – sowohl gute als auch schlechte – bekannt geworden sind.