- Ein fehlerhaftes Software-Update von CrowdStrike hat weltweit IT-Systeme gestört.
- Ein Kernel-Treiber-Update für CrowdStrike’s Falcon-Software führte zu globalen Computerausfällen.
- Sektoren wie Flughäfen, Zugsysteme, Banken und Gesundheitseinrichtungen waren stark betroffen.
- Microsofts Azure Cloud-Plattform hatte ebenfalls einen Ausfall, der jedoch nicht mit CrowdStrike’s Problemen zusammenhing.
- CrowdStrike reagierte schnell, zeigte die Verwundbarkeit globaler digitaler Infrastrukturen auf.
Nur selten in der Geschichte führte ein einzelnes Stück Code dazu, weltweite Computersysteme sofort lahmzulegen. Doch die anhaltende digitale Katastrophe der letzten 12 Stunden wurde offenbar nicht durch bösartigen, von Hackern eingespielten Code ausgelöst, sondern durch eine Software, die genau das verhindern soll. Ein Software-Update des Cybersicherheitsunternehmens CrowdStrike hat versehentlich IT-Systeme global gestört.
Zwei Internet-Infrastrukturkatastrophen trafen am Freitag zusammen und verursachten weltweit Unterbrechungen in Flughäfen, Zugsystemen, Banken, Gesundheitseinrichtungen, Hotels, Fernsehsendern und mehr. In der Nacht zum Donnerstag erlebte Microsofts Cloud-Plattform Azure einen weitreichenden Ausfall. Am Freitagmorgen verwandelte sich die Situation in einen perfekten Sturm, als die Sicherheitsfirma CrowdStrike ein fehlerhaftes Software-Update veröffentlichte, das Windows-Computer in eine katastrophale Neustart-Schleife versetzte. Ein Sprecher von Microsoft erklärte gegenüber WIRED, dass die beiden IT-Ausfälle nicht miteinander in Verbindung stehen.
Fehlgeschlagene Updates führen zur Krise
Die Ursache eines dieser beiden Desaster ist zumindest klar geworden: fehlerhafter Code, der als Update für CrowdStrike’s Falcon Monitoring-Produkt, im Wesentlichen eine Antivirus-Plattform, veröffentlicht wurde. Diese läuft mit tiefem Systemzugriff auf „Endpunkten“ wie Laptops, Servern und Routern, um Malware und verdächtige Aktivitäten zu erkennen, die eine Kompromittierung anzeigen könnten. Falcon benötigt die Berechtigung, sich automatisch und regelmäßig zu aktualisieren, da CrowdStrike ständig neue Bedrohungen in das System integriert, um gegen neue und sich entwickelnde Gefahren zu verteidigen. Der Nachteil dieses Arrangements ist jedoch das Risiko, dass dieses System, das eigentlich die Sicherheit und Stabilität erhöhen soll, genau das Gegenteil bewirkt.
„Es ist der größte Fall in der Geschichte. Wir hatten noch nie einen weltweiten Workstation-Ausfall wie diesen,“ sagt Mikko Hyppönen, der Leitende Forschungsbeauftragte beim Cybersicherheitsunternehmen WithSecure. Vor rund einem Jahrzehnt, so Hyppönen, waren weitreichende Ausfälle aufgrund der Verbreitung von Würmern oder Trojanern häufiger. In jüngerer Zeit traten globale Ausfälle häufiger im „Server-Bereich“ von Systemen auf, oft ausgelöst durch Cloud-Anbieter wie Azure oder Amazon Web Services.
Großflächige Auswirkungen auf verschiedene Sektoren
CrowdStrike-CEO George Kurtz gab am Freitag bekannt, dass die Probleme durch einen „Defekt“ im Code verursacht wurden, den das Unternehmen für Windows freigegeben hatte. Mac- und Linux-Systeme waren nicht betroffen. „Das Problem wurde identifiziert, isoliert und eine Lösung wurde bereitgestellt,“ sagte Kurtz in einer Erklärung und fügte hinzu, dass die Probleme nicht durch einen Cyberangriff verursacht wurden. In einem Interview mit der NBC entschuldigte sich Kurtz für die Unterbrechung und sagte, es könnte einige Zeit dauern, bis sich alles wieder normalisiert.
Sicherheits- und IT-Analysten, die nach der Ursache des gewaltigen Ausfalls suchten, sagen, dass er mit einem „Kernel-Treiber“-Update für CrowdStrike’s Falcon-Software zusammenhängt. Kernel-Treiber sind die Softwarekomponenten, die es Anwendungen ermöglichen, mit dem tiefsten Niveau von Windows, dem Kern des Betriebssystems, zu interagieren. Dieses hochsensible Zugriffslevel ist notwendig für Sicherheitssoftware, damit sie vor bösartiger Software läuft und alle Systembereiche erreichen kann, in denen Hacker möglicherweise ihren Code platzieren.
Dennoch überrascht es, dass ein solches Kernel-Treiber-Update solch einen massiven globalen Computerabsturz verursachen könnte. Während Tests und Microsoft-Zulassungen vor Updates eine Sicherheitsbarriere darstellen sollten, fiel dieser zentrale Fehler offenbar durch die Ritzen. „Das zeigt, wie anfällig unsere globalen digitalen Infrastrukturen sind“ betont Ciaran Martin, Professor an der Universität Oxford und ehemaliger Leiter des Nationalen Cyber-Sicherheitszentrums des Vereinigten Königreichs.
Die weitreichenden Auswirkungen der Störung
Die Auswirkungen der Störung waren weitreichend und dramatisch. Weltweit arbeiteten Unternehmen, öffentliche Einrichtungen und IT-Teams fieberhaft daran, die ausgefallenen Maschinen zu reparieren, was manuelles Eingreifen erforderte. Medizinische Einrichtungen in Ländern wie Großbritannien, Israel und Deutschland berichteten von gestörten Systemen zur Kommunikation mit Patienten und sagten Termine ab. In den USA hatten Notfallnummern Probleme, während einige Fernsehsender, darunter Sky News in Großbritannien, ihre Live-Nachrichtenübertragung unterbrochen.
Besonders der globale Luftverkehr war stark betroffen. An Flughäfen weltweit bildeten sich lange Schlangen, mit einem Flughafen in Indien, der handgeschriebene Bordkarten ausgab. In den USA mussten Delta, United und American Airlines vorübergehend alle Flüge grounden.
Die Fähigkeit eines einzigen Updates, solch massive Störungen hervorzurufen, bleibt rätselhaft. Gartner, eine Marktforschungsfirma, schätzt, dass CrowdStrike 14 Prozent des Sicherheitssoftware-Marktes nach Umsatz ausmacht, was bedeutet, dass dessen Software auf einer Vielzahl von Systemen läuft. Während viele Auswirkungen noch andauern und sich weiterentwickeln, bedeutet die Art des Problems, dass betroffene Maschinen manuell neu gestartet werden müssen. Die Firma reagierte prompt, aber die langfristigen Lehren aus diesem Vorfall werden noch gezogen.
