Weltweiter IT-Ausfall: Angriff ist die beste Verteidigung
Kommentare von IT- und Security-Experten zur Update-Panne bei CrowdStrike.
Die technischen Probleme bei Microsoft und der Cybersicherheitsfirma Crowdstrike zeigen, wie anfällig wichtige und teilweise kritische Infrastrukturen auch in Deutschland sind.
Hans-Peter Bauer, Vice President Cyber Security bei BlackBerry
„Dieser Ausfall betrifft einige der kritischsten Systeme, Netzwerke und Anwendungen der Welt. Daher muss schnell, präzise und verantwortungsbewusst reagiert werden. Hier kann eine Critical Event Management-Lösung in Echtzeit für Transparenz sorgen und eine schnelle, auf Informationen basierende Reaktion sicherstellen, während sich die Krise entwickelt.
Es ist noch zu früh, um die genaue Ursache zu benennen. Aber es scheint sich um ein weiteres Beispiel für veraltete Cybersicherheitspraktiken zu handeln. Dabei erweisen sich komplexe Endpoint Detection and Response-Lösungen sowie umfangreiche Endpunkt-Agenten als großes Infrastrukturrisiko und sind unnötig komplex. Der Einsatz einer schlanken KI am Endpunkt kann solche Ausfälle vermeiden. Sie schützt Ihre Umgebung mit regelmäßigen Updates und ohne schwerfällige Agenten, die den Geschäftsbetrieb gefährden.
Der heutige weltweite IT-Ausfall erinnert eindringlich daran, dass Angriff die beste Verteidigung ist. Es ist entscheidend, die eigenen Schwachstellen und Risiken durch regelmäßige Tests zu verstehen – nicht nur bei der Einführung neuer Software, sondern langfristig.
Um sich vor potenziellen Angreifern zu schützen, die versuchen, IT-Ausfälle auszunutzen, bleibt eine Kombination aus KI-gestützten internen und externen Penetrationstests unerlässlich. Diese zeigen auf, wie ein externer Bedrohungsakteur mit autorisiertem Zugang oder ein Akteur aus dem internen Netzwerk Vermögenswerte gefährden könnte, indem er sich ständig weiterentwickelnde Taktiken, Techniken und Verfahren nutzt.
Die Leistungsfähigkeit und Sicherheit eines Systems ist nur so gut wie seine am wenigsten sicheren Hardware- und Softwarekomponenten. Daher hat die Beseitigung von Schwachstellen oberste Priorität, damit der Geschäftsbetrieb wie gewohnt weiterlaufen kann.“
————————————————————————————————————————
Norbert Pohlmann, eco-Vorstand und IT-Sicherheitsexperte
„In unseren IT-Systemen und -Infrastrukturen wird zunehmend mehr Software von Drittanbietern genutzt. Damit lässt sich zwar die Geschwindigkeit der Digitalisierung erhöhen, aber gleichzeitig steigen damit auch die Abhängigkeit und Risiken werden größer, wie das aktuelle Beispiel zeigt. Aus diesem Grund müssen Anwenderfirmen ihre Abhängigkeit von Software-Zulieferern klar identifizieren und deren IT-Sicherheit deutlich mehr in den Fokus stellen.“
————————————————————————————————————————
Omer Grossman, CIO bei CyberArk
Das aktuelle Ereignis scheint – auch im vermeintlich ruhigen Juli – eines der schwerwiegendsten Cyber-Probleme des Jahres 2024 zu sein. Der Schaden für die Geschäftsprozesse weltweit ist enorm. Der Ausfall ist auf ein Software-Update des EDR (Endpoint Detection and Response)-Produkts von CrowdStrike zurückzuführen. Dieses Produkt wird mit hohen Privilegien ausgeführt und schützt Endpunkte. Eine Fehlfunktion kann hier, wie im aktuellen Vorfall zu sehen, zu einem Absturz des Betriebssystems führen.
Wir sehen hier zwei wichtige Themen auf der Agenda: Erstens, wie können die Kunden wieder online gehen und die Kontinuität der Geschäftsprozesse wiederherstellen? Da die Endgeräte abgestürzt sind – der Blue Screen of Death – können sie nicht remote aktualisiert werden und das Problem muss manuell gelöst werden, Endgerät für Endgerät. Dieser Prozess wird wahrscheinlich Tage dauern.
Die zweite Frage ist: Was hat den Absturz verursacht? Die Bandbreite der Möglichkeiten reicht von menschlichem Versagen – zum Beispiel ein Entwickler, der ein Update ohne ausreichende Qualitätskontrolle heruntergeladen hat – bis hin zum komplexen Szenario eines groß angelegten Cyberangriffs, der im Voraus vorbereitet wurde und bei dem ein Angreifer einen „Doomsday Command“ oder „Kill Switch“ aktiviert hat. Die Analysen und Updates von CrowdStrike in den kommenden Tagen werden von großem Interesse sein.
————————————————————————————————————————
Eileen Haggarty, AVP bei NETSCOUT
“Der IT-Ausfall, von dem derzeit zahlreiche Organisationen wie Fluggesellschaften, Medien und Banken betroffen sind, wurde offenbar durch ein fehlerhaftes Software-Update verursacht. Auch Krankenhäuser und Gesundheitsdienstleister sind betroffen: Mehrere große Krankenhäuser haben nicht dringend notwendige Operationen abgesagt, andere haben angekündigt, dass sie zwar noch Termine annehmen können, aber derzeit keine Verbindung zu den Patientenakten herstellen können und sich stattdessen auf Papierakten verlassen müssen.
Die wirksame Umsetzung von Systemaktualisierungen erfordert eine vorbeugende Wartung und routinemäßige Upgrades, um sicherzustellen, dass die Dienste mit optimaler Effizienz arbeiten können. Durch die Durchführung von Wartungsprüfungen und regelmäßigen Aktualisierungen können Organisationen das Risiko unerwarteter Ausfallzeiten verringern und damit finanzielle und Reputationsverluste verhindern. Um Ausfallzeiten aufgrund von Systemausfällen sowie das damit einhergehende Chaos und die Leistungsunterbrechung zu vermeiden, benötigen die IT-Teams von Unternehmen einen vollständigen und lückenlosen Überblick über die Bedrohungen, denen ihr Netzwerk ausgesetzt ist. Auf diese Weise können Unternehmen Netzwerke und Anwendungen unabhängig davon überwachen, wo sie gehostet werden oder wo die Benutzer auf sie zugreifen.
Um das Netzwerk eines Unternehmens vollständig zu verstehen und abzusichern, sollten IT-Teams außerdem proaktive synthetische Tests durchführen, die die Funktionalität der Anwendungen sicherstellen bzw. den realen Benutzerverkehr simulieren. Diese Tests helfen dabei, die Qualität des Benutzererlebnisses zu messen und Leistungsprobleme zu vermeiden, bevor die Benutzer selbst mit negativen Auswirkungen konfrontiert werden.
Mit Blick auf die Zukunft sollten Unternehmen aus dem heutigen globalen IT-Ausfall lernen und Visibility-Tools für die Nachbereitung einsetzen, die es ihnen ermöglichen, einen detaillierten Informationsbestand auf der Grundlage früherer Probleme aufzubauen, der ihnen hilft, zukünftige Herausforderungen effektiver zu bewältigen.”
Chris Dimitriadis, Chief Global Strategy Officer bei ISACA, Berufsverband für IT-Revisoren, Informationssicherheitsmanager und IT-Governance-Experten
„Dies ist eine ausgewachsene Krise. Sobald ein Dienstleister in der digitalen Lieferkette betroffen ist, kann die gesamte Kette zusammenbrechen und großflächige Ausfälle verursachen. Dieser Vorfall ist ein klares Beispiel dafür, was man eine digitale Pandemie nennen könnte – ein einzelner Ausfallpunkt, der sich auf Millionen von Menschen weltweit auswirkt. Ärzte können Kranke nicht behandeln, Medien können keine Nachrichten senden und Reisende sitzen auf den Flughäfen fest. Es geht nicht nur um Betriebsabläufe, sondern um Menschen.
Der Ausfall ist das Ergebnis einer zunehmend komplexen und vernetzten digitalen Welt. Aus eben diesem Grund ist die Cyber-Resilienz von entscheidender Bedeutung für die Gewährleistung der Sicherheit und des Wohlergehens der Bürgerinnen und Bürger sowie für die globale Wirtschaft. Auch wenn wir noch auf weitere Details zu dem Vorfall warten, wissen wir, dass die Kosten und Auswirkungen dieses Vorfalls noch monatelang zu spüren sein werden.
Manchmal werden solche Vorfälle durch unbeabsichtigte Fehler bei Software-Updates verursacht. Manchmal sind sie das Ergebnis eines Cyberangriffs. Die Ironie dabei ist, dass auch Unternehmen, die sich für Cyber-Sicherheit einsetzen, Teil der Lieferkette sind, und dass dieselben Unternehmen, die sich für den Aufbau von Cyber-Resilienz engagieren, selbst zu Opfern werden und die kontinuierliche Durchführung der Dienstleistungen beeinträchtigen können.
Dieser Vorfall unterstreicht die dringende Notwendigkeit einer robusten Cyber-Resilienz und -Vorbereitung, um ähnliche Krisen in Zukunft zu verhindern. Bei der Cyber-Sicherheit sind das Erkennen und die Reaktion im Fall einer Krise ebenso wichtig wie Schutz und Prävention. Die richtigen Protokolle für den Krisenfall müssen vorzeitig erstellt werden, damit Betroffene bei Angriffen und Ausfällen umgehend handeln können, um den Schaden und die Beeinträchtigung zu minimieren. Das ist aber nur möglich, wenn es Mitarbeitende mit den notwendigen Fähigkeiten gibt, um maßgeschneiderte Sicherheitsrahmen für die Unternehmen zu schaffen. Zudem muss sichergestellt sein, dass alle Beteiligten darin geschult wurden, diese Protokolle zu befolgen. Wenn wir nicht vorbereitet sind, wird sich so etwas nur wiederholen.“
Alain Blaes, Geschäftsführer PR-COM
Von Berlin über Australien bis Singapur – ein Programm-Update des IT-Security-Unternehmens CrowdStrike hat an diesem Freitag weltweit Infrastruktureinrichtungen, Unternehmen und Organisationen lahmgelegt. Operationen in Kliniken wurden verschoben, Flughäfen haben den Betrieb eingestellt, Handelsmärkte und Banken sind nicht mehr erreichbar. Nach Medienberichten gibt es auch zahlreiche Störungen in Deutschland, unter anderem die Flughäfen in Berlin, Düsseldorf und Hamburg sowie die Krankenhäuser in Lübeck und Kiel.
Die genaue Kausalkette der Entwicklung wird derzeit rekonstruiert. Als wahrscheinlichste Ursache gilt, dass ein fehlerhaftes Update von CrowdStrike weltweit PCs, Infrastrukturen und Dienste in einen Recovery Boot gezwungen hat. Ein Neustart, der das Problem nach dem Herunterfahren von Devices behebt, war danach nicht mehr möglich. Die Softwareprobleme hat CrowdStrike gegenüber Kunden in einer Mitteilung bestätigt, so das Magazin The Verge. Da die Software von CrowdStrike bei vielen Unternehmen und auch Cloud-Anbietern ein essentieller Bestandteil des Security-Stacks ist, hat sie in der Folge zu massiven Ausfällen beigetragen. So wurden seit den Morgenstunden bei Diensten wie AWS, Google, Azure viele Störungen gemeldet. Microsoft hat die Probleme in seinem Cloud-Angebot von 365 bestätigt und auf X erklärt, konkrete Gegenmaßnahmen zur Umleitung des Daten-Traffic ergriffen zu haben.
Schon jetzt zeichnet sich ab, dass der finanzielle Schaden der Störung in die Milliarden gehen wird. Der Aktienkurs von CrowdStrike ist zweistellig eingebrochen. Die Folgeschäden werden sich daran bemessen, wie lange die Ausfälle der Systeme andauern werden. Das betrifft auch mögliche Regressforderungen, die sich an CrowdStrike richten werden.
Die Tatsache, dass ein Stück Software die gesamte Weltwirtschaft so massiv lahmlegt, sollte uns zu denken geben. Es ist eine eindrucksvolle Demonstration, was im Falle eines Blackouts – ob zufällig oder intendiert – von Infrastruktur entstehen könnte. IT-Security muss deshalb die Nummer-eins-Priorität auf der politischen und unternehmerischen Agenda sein. Je vernetzter globale Akteure zusammenarbeiten, umso stärker muss sichergestellt werden, dass einzelne Anbieter keine derart existenzielle Marktstellung haben, dass ihr Ausfall für das gesamte System zur existenziellen Frage wird.
Diesen Wandel hin zum Computing 2.0 kann man sich als mentale Konsolidierungsphase vorstellen, in der die Ausfallsicherheit priorisiert und Rückfallebenen eingerichtet werden. Das betrifft gerade auch große Plattform- und Cloud-Anbieter. Denn mit steigender Marktmacht nimmt auch die Verantwortung zu, einen Beitrag zur öffentlichen Sicherheit zu leisten. In einer digitalen Gesellschaft kann öffentliche Sicherheit nicht ohne IT-Sicherheit erreicht werden. Auch wenn dieser „Knock-out“ vermutlich nicht zu existenziellen Bedrohungen führen wird, so gibt es keine Garantie für das nächste Mal. Deshalb braucht es Vorsorge.