Am Donnerstagabend führte ein falsch konfiguriertes Inhaltsupdate von CrowdStrike unerwartet zu weitreichenden Ausfällen von Microsoft Windows-Systemen und störte viele essenzielle Dienstleistungen weltweit. CrowdStrike wollte das für ihren Falcon Sensor verwendete Inhaltsupdate aktualisieren, das eine Echtzeitbedrohungserkennung und Endpunktschutz bietet, indem es Systemaktivitäten auf verdächtiges Verhalten überwacht, um Cyberangriffe zu verhindern. Dieses Update sollte die Erkennung bösartiger Aktivitäten basierend auf der neuesten, kontinuierlich gesammelten Bedrohungsinformationen verbessern.
„Dies war kein Code-Update, sondern ein Inhaltsupdate. Eine einzelne Datei, die zusätzliche Logik zur Identifizierung von Bedrohungen bereitstellt, wurde veröffentlicht und führte zu Problemen ausschließlich innerhalb des Microsoft-Umfelds“, erklärte der CEO und Gründer von CrowdStrike, George Kurtz, in einem Interview mit CNBC.
Globale Auswirkungen
Der Ausfall wurde zuerst in Australien festgestellt, wo Windows-Geräte abstürzten und den berüchtigten Blue Screen of Death (BSOD) zeigten. Dieses fehlerhafte Update führte zu einem weltweiten Blackout von Windows-Systemen, was zahlreiche Flughäfen, Fluggesellschaften, Banken und Dienstleistungsunternehmen betraf, die auf Windows-basierte Plattformen angewiesen sind. Hunderte von Tausenden Reisenden blieben gestrandet, mit Berichten über etwa 2.600 Flugstornierungen in den USA und über 4.200 weltweit, laut Daten von FlightAware, die vom Wall Street Journal zitiert wurden.
Die Auswirkungen erstreckten sich auch auf die Microsoft Azure-Cloud-Plattform, wo Kunden über Unresponsiveness und Startfehler bei Windows-Maschinen, die den CrowdStrike Falcon-Agenten nutzen, berichteten. Der Azure Gesundheitsstatus zeigte an, dass der Ausfall weiterhin virtuelle Maschinen in Amerika, Europa, dem asiatisch-pazifischen Raum sowie dem Nahen Osten und Afrika betraf.
IT-Teams stehen vor einem herausfordernden Wochenende und einem anspruchsvollen Monat, da viele Cloud-Konfigurationen spezifische Updates für jeden Kunden erfordern. Es könnte ratsam sein, umfangreiche Projekte bis zur Behebung der Fehlkonfiguration zu verschieben.
Aufruf zu mehr Cyber-Resilienz
Cyber-Resilienz ist für Unternehmen entscheidend, um negative Bedingungen wie Cyberangriffe und Systemkompromittierungen vorauszusehen, standzuhalten und sich davon zu erholen. Chief Information Security Officers (CISOs) müssen Cyber-Resilienz als wesentlichen Bestandteil der Verantwortung der Unternehmensführung und des Vorstands priorisieren.
„Jedes Unternehmen hat Herausforderungen beim Patchen. Heute war ein schwieriger Tag für CrowdStrike, der viele andere betraf. Dies erforderte von den Kunden, die Probleme durch die Fehlkonfiguration zu mildern, was die Reaktions- und Behebungszeit verlängerte“, erklärte Merritt Baer, CISO bei Reco.
Trustwave CISO Kory Daniels stellte fest, dass Vorstände zunehmend die Notwendigkeit eines Chief Resilience Officers hinterfragen, was einen breiteren Trend zur Integration von Cyber-Resilienz in Risikomanagementprotokolle widerspiegelt. Hochrangige Ransomware-Angriffe verdeutlichen die gravierenden Folgen, mit denen Unternehmen in komplexen Lieferketten konfrontiert sind.
Fehlkonfigurationen unterstreichen die Notwendigkeit robuster Cyber-Resilienz, die in die Betriebsabläufe eines Unternehmens eingebettet ist. Wie die Geschichte zeigt, können solche Konfigurationen zu erheblichen globalen Ausfällen führen, was eine Realität unserer schnelllebigen, vernetzten digitalen Welt ist.
„Der Ausfall dieser Woche verdeutlicht die potenziellen Auswirkungen eines staatlich geförderten Cyberangriffs auf eine Nation ohne angemessene Cybersicherheitsmaßnahmen“, betonte Baer. Für Einblicke in die nationale Cyber-Resilienz verweisen wir auf die jährliche Bedrohungsbewertung 2024 der U.S. Intelligence Community.
Um eine effektive Cyber-Resilienz aufzubauen, müssen Organisationen Probleme schnell identifizieren, Lösungen definieren, die automatisiert werden können, und eine klare Kommunikation mit allen betroffenen Parteien aufrechterhalten. Berichte sollten genau, zugänglich und zeitnah sein, um allen Beteiligten die Verantwortung für das Ergebnis zu übertragen.
„Die schnelle Reaktion von CrowdStrike zur Ermittlung der Ursachen des Ausfalls und zur Benachrichtigung der Kunden ist lobenswert, und die Transparenz ihres CEOs wurde geschätzt“, kommentierte Paul Davis, Field CISO bei JFrog. Kurtz gibt weiterhin Updates in sozialen Medien und hat versprochen, eine detaillierte Analyse der Ursachen des Ausfalls zu teilen.
Wiederherstellungsschritte
CrowdStrike hat Richtlinien zur Wiederherstellung der von dem Ausfall betroffenen Systeme veröffentlicht. Benutzer sollten betroffene Maschinen zuerst im abgesicherten Modus starten, da die erforderlichen Falcon Sensor-Updates sich in einem Unterverzeichnis des Windows-Betriebssystems befinden. Wenn eine Maschine BitLocker oder die Vollverschlüsselung verwendet, wird der relevante Wiederherstellungsschlüssel benötigt.
CrowdStrike empfiehlt folgende Wiederherstellungsschritte:
Weitere Details sind auf der offiziellen Website von CrowdStrike zu finden.
Cyber-Resilienz als Vertrauensmaß
„Sicherheitsanbieter müssen ihre Verantwortung erkennen, die Ergebnisse für Kunden zu beeinflussen. Ich erwarte, dass CrowdStrike in Zukunft vorsichtigere Aktualisierungsmethoden anwendet“, bemerkte Baer. Die anhaltende Störung betrifft unzählige Menschen und bringt Unternehmen zum Stillstand und verdeutlicht, dass Cyber-Resilienz ein grundlegendes Element der Kundenerfahrung werden muss, nicht lediglich eine Sicherheitsinitiative.
Das Vertrauen der Kunden hängt stark von der Cyber-Resilienz eines Unternehmens ab. Dieser Vorfall ist ein kritischer Moment für Organisationen, um ihre Bereitschaft für ähnliche Herausforderungen zu bewerten.
Angesichts der komplexen Verflechtungen innerhalb weltweit vernetzter Systeme sind zukünftige Ausfälle unvermeidlich. Es ist entscheidend, dass alle Unternehmen ihre Cyber-Resilienz proaktiv jetzt verbessern, anstatt auf die nächste Krise zu warten.
Rangliste
