24/7 NOTFALL
Online-Termin
02761 8 33 63 0
info@itsecuritycoach.com
24/7 NOTFALL
Online-Termin
Ihr verlässlicher Partner in Sachen Cyber-Security
Cyber-News

Cyber news Kategorien

,

CrowdStrike: Alles Wichtige zum Vorfall

In den vergangenen Tagen führte ein fehlerhaftes Update der Firma Crowdstrike zu Ausfällen in IT-Systemen weltweit. Zahlreiche Unternehmen sowie kritische Sektoren wie Flughäfen, Krankenhäuser, Banken und Behörden waren betroffen. Dabei handelte es sich nicht um einen Sicherheitsvorfall, sondern um ein Update in der Software Falcon. Über 8,5 Millionen Windows-Rechner weltweit waren betroffen. Die betroffenen Systeme hingen in einer unendlichen Schleife von Systemabstürzen fest. Jedes Mal mit dem Ergebnis eines Windows Blue Screen of Death (BSOD). Danach starten die Rechner wieder neu, welche erneut die fehlerhafte CrowdStrike-Datei geladen haben und stürzten demnach wieder ab. Laut der Sicherheitsfirma ist der Fehler bereits behoben, doch auch mehrere Tage nach der Veröffentlichung des Updates ist die Bereinigung aller betroffenen Systeme noch nicht abgeschlossen.

Der CrowdStrike-Vorfall sorgte weltweit zum Ausfall von Millionen von Windows-Systemen. | Bildquelle: 4AXY | BILD NR.: 890888432

Durch den direkten Zugriff auf den System-Kernel durch CrowdStrike haben Windows-Rechner keinen eingebauten Schutz gegen den Fehler. Um die betroffenen Systeme wiederherzustellen, muss die fehlerhafte Datei vom System entfernt werden, um der Schleife aus Abstürzen und Neustarten zu entkommen. Dafür müssen sie manuell über den abgesicherten Modus repariert werden. Da das Starten des Systems durch die Schleife blockiert wird, ist es nicht möglich, das mittlerweile veröffentlichte Update zentral zu installieren. Daher muss jedes betroffene System einzeln vor Ort von einem Mitarbeitenden im abgesicherten Modus repariert werden, was viel Zeit in Anspruch nimmt.

Wer ist CrowdStrike?

Das US-amerikanische Unternehmen CrowdStrike ist ein Anbieter von Sicherheitssoftware. Die Cybersicherheitssoftware von Crowdstrike nutzen mehrere zehntausend Kunden, darunter Microsoft, Visa oder Ernst&Young, die sie auf unzähligen Rechnern installiert haben. Dabei ist Windows das weltweit am weitesten verbreitete Computer-Betriebssystem.

CrowdStrikes Hauptprodukt ist die Falcon-Plattform, die darauf abzielt, schädliche Software und verdächtige Aktivitäten zu erkennen und idealerweise zu verhindern. Besonders größere Unternehmen, Betriebe und Institutionen verwenden den “Falcon Sensor”, um ihre IT-Infrastruktur sowie die einzelnen Geräte im Netzwerk vor verschiedenen Bedrohungen zu schützen. Obwohl es auch andere Anbieter mit ähnlichen Lösungen gibt, ist die Software von CrowdStrike weit verbreitet. Da diese Software üblicherweise von großen Unternehmen eingesetzt wird, sind Privatpersonen von dem Vorfall nicht direkt betroffen.

Konsequenzen des Vorfalls

Der am 20. Juli 2024 Vorfall führte dazu, dass es weltweit einen massiven Ausfall von Windows-Rechnern gab. Unternehmen wie BMW, Allianz und TUI sind vom Vorfall betroffen. Flüge mussten gestrichen werden, zahlreiche Unternehmen konnten den Betrieb nicht weiterführen, Operationen wurden abgesagt und Geschäfte mussten vorübergehend schließen. Der Schaden des Vorfalls wird auf eine Höhe von mindestens 5,4 Milliarden Dollar geschätzt. Schäden, die durch den Ausfall oder eine Störung von IT-Dienstleistern entstehen, sind dabei im Allgemeinen nicht vom Versicherungsschutz einer Cyberversicherung umfasst.

Die Führung von CrowsStrike entschuldigte sich bereits mehrfach für den Vorfall und versicherte, alles zu tun, um den Vorfall schnellstmöglich zu beheben. Einige Nachrichtenportale berichten weiterhin über die aktuellen Neuigkeiten des Vorfalls.

Weltweit sind Unternehmen, Banken und Flughäfen vom Vorfall betroffen und mussten vorübergehend den Betrieb einstellen. | Bildquelle: wetzkaz | 891011593

Was ist der Grund für den Vorfall?

CrowdStrike war nicht Opfer eines Hacker-Angriffs, wie anfangs vermutet wurde. Die Ursache wurde bereits durch forensische Analysen gefunden, es handelte sich um ein fehlerhaftes Update. Der Code versucht auf eine ungültige Speicheradresse zuzugreifen. Wenn kein gültiges Objekt vorhanden ist, wird der Fehler ausgelöst. Im Normalfall wird auf solch einen Fehler vorab überprüft, bei dem neusten CrowdStrike Update wurde diese Prüfung scheinbar vernachlässigt. Um solch großflächige Ausfälle zu verhindern, hätte das Update entweder vorab gründlich getestet oder schrittweise ausgerollt werden müssen. Um solche Vorfälle zukünftig zu verhindern, hat das BSI bereits gemeinsam mit CrowdStrike und Microsoft erste Maßnahmen entwickelt.

Kriminelle machen sich Vorfall zunutze

In der Zwischenzeit nutzen Cyberkriminelle die Situation aus, indem sie verschiedene Formen von Phishing, Betrug und gefälschten Webseiten betreiben. Auch inoffizieller Code wurde verbreitet. Das BSI rät dringend, technische Informationen nur aus offiziellen CrowdStrike-Quellen zu beziehen.

Beispiel einer Phishing-Mail, bei der Cyberkriminelle gefälschte Mails mit Malware im Anhang an CrowdStrike-Kunden sendeten. | Bildquelle: Suspicious Domains Exploiting the Recent CrowdStrike Outage! – SOCRadar® Cyber Intelligence Inc.

Eine Hacker-Gruppierung nutzte den Vorfall zudem für einen Malware-Angriff. Sie verschickten Dateien an die betroffenen Unternehmen, die angeblich zur Reparatur der beeinträchtigten Geräte gedacht waren. Diese Dateien enthielten jedoch die Malware Remcos RAT, die die infizierten Geräte unbrauchbar machte. Andere CrowdStrike-Kunden erhielten die Malware per E-Mail als ZIP-Datei. Die pro-iranische Gruppierung Handala bekannte sich zu den Angriffen.

Was Unternehmen aus dem Vorfall lernen können

Qualitätssicherung und sichere Programmierung in Software-Unternehmen

Im Falle von CrowdStrike wird das Unternehmen ihre Qualitätssicherungsprozesse überprüfen und verbessern müssen, um ähnliche Vorfälle in Zukunft zu verhindern. Der Vorfall unterstreicht die immense Bedeutung sorgfältiger Programmierung und gründlichen Testens in Unternehmen, insbesondere bei systemkritischer Software wie Sicherheitstreibern. Auch in der Vergangenheit kam es durch CrowdStrike zu Vorfällen, bei denen ein Update des Unternehmens inkompatibel mit einer Linux-Distribution war, was auf unzureichende Tests seitens des Unternehmens hinweist.

Qualitätssicherung und sichere Programmierung sind maßgeblich, um Vorfälle in Zukunft zu verhindern. | Bildquelle: gumpapa | BILD NR.: 618368599

Resilienz durch Notfallpläne

Zudem fehlt es oft an ausreichender Transparenz und Dokumentation. Unternehmen, die Software nutzen, sollten stets sofort nachvollziehen können, welche Komponenten darin enthalten sind. Auch ist es entscheidend, in Unternehmen Resilienz durch Notfallsysteme zu gewährleisten, die im Ernstfall zumindest eine Grundfunktionalität aufrechterhalten, bis das Hauptsystem wieder einsatzbereit ist. Diese Maßnahmen sind zwar kostspielig, aber angesichts der fortschreitenden Digitalisierung und Vernetzung unerlässlich. Zudem zeigt der Vorfall, dass es sehr gute Gründe gibt, warum die NIS2-Richtlinie besonders strenge Anforderungen an wichtige Einrichtungen und kritische Infrastrukturen stellt.

Für Unternehmen zeigte sich, dass viele Probleme darauf zurückzuführen waren, dass zuvor niemand im Unternehmen einen Notfallplan für den Umgang mit großflächigen IT-Ausfällen entwickelt hatte. In der Folge mussten alle Maßnahmen unter extremem Stress und Zeitdruck improvisiert werden. Eine sorgfältige Planung für verschiedene, nicht unwahrscheinliche Notfallszenarien ist unerlässlich. Dazu gehört, alle verfügbaren Reaktionsmöglichkeiten im Unternehmen zu identifizieren und die benötigten Ressourcen festzulegen. Übungsszenarien für Sicherheitsvorfälle sind ebenfalls wichtig, um Schwachstellen in den Plänen aufzudecken und zu beheben. Für Unternehmen ist es essenziell, dass sie sich schnell erholen können, um den IT-Betrieb wieder aufzunehmen.

Wir bei itsecuritycoach stehen Ihnen dafür zur Seite. Als Experten im Bereich IT-Sicherheit bereiten wir Sie bestmöglich auf den Ernstfall vor und entwickeln einen auf Ihr Unternehmen abgestimmten Notfallplan. Erfahren Sie mehr über die Incident-Response-Planung oder kontaktieren Sie uns direktdas erste Beratungsgespräch ist für Sie kostenlos!

Quellen:

CrowdStrike-Kunden: Sicherheitsvorfall | Sicherheitsvorfalls-Datenbank (security-incidents.de)
Das Crowdstrike-Fiasko: Ursachenforschung und erste Lehren | heise online
CrowdStrike-Fiasko: Der Null Pointer ist Schuld | heise online
Weltweite IT-Störung: Crowdstrike-Chef Kurtz „bedauert Auswirkungen zutiefst“ | Aktuelle Entwicklungen im Liveblog der FAZ
BSI – Weltweite IT-Ausfälle (bund.de)
BSI – Bundesamt für Sicherheit in der Informationstechnik – Nach globalen IT-Ausfällen – BSI entwickelt Folgemaßnahmen
Crowdstrike-Debakel: IT-Firmen müssen stärker für ihre Fehler haften | heise online
Cyber-Resilienz und IT-Ausfälle: Was wir von Crowdstrike lernen können (cloudcomputing-insider.de)
Crowdstrike: Wer ist die Firma, die für weltweites Chaos sorgte? | NOZ

Unsere Themen-Blogs

Datenschutz-Blog
Cyber-Security-Blog
Alle Cyber-News

Unsere Themen-Blogs

Cyber-Security-Blog
Datenschutz-Blog
Alle Cyber-News

Wir freuen uns auf Ihre Fragen und Anforderungen!

Cyber-Security-Coaching, Audits, Schulungen und Veranstaltungen:
Das erste Beratungsgespräch bieten wir Ihnen kostenlos an!

Ihre Kontaktanfrage »

Bleiben Sie am Ball – mit unserem Newsletter!

Die neusten Entwicklungen rundum Cyber-Security, wie wir Sie schützen können und vieles mehr. Bequem zu Ihrem E-Mail-Postfach versandt.
Jetzt anmelden!

Dies ist keine automatische Registrierung. Die Datenschutzbedingungen können Sie hier » nachlesen.

» Cyber-Security
» Branchen & Referenzen
» Cyber-News
» Beraten lassen!
» itsecuritycoach
» IT-Karriere
» Kontakt
logo_itsecuritycoach_weiß

Die bewährten Experten für Informationssicherheit, Cyber- Security, IT-Governance, Datenschutz, Notfallmanagement, IT-Organisation, IT-Prüfung, Schulung und Coaching.

  • Wie können wir Ihnen helfen?
02761 8 33 63 0
info@itsecuritycoach.com
24/7 NOTFALL
Online-Termin
 Kontakt