22.07.2024
Analystenblog von Michael Schiklang (Senior Analyst, BARC)
Hintergrund des Internet-Crash
Am Freitag, den 19.07. ist es zu weltweiten Ausfällen von IT-Systemen (wahrgenommen wie ein Internet-Crash) gekommen, der Schwerpunkt lag auf Unternehmenssoftware. Schuld am Ausfall war ein Update der Firma CrowdStrike, einen Anbieter für Informationssicherheit und Cybersicherheitstechnologie. In Folge des fehlerhaften Updates sind schätzungsweise 8,5 Millionen Rechner auf Basis von Microsoft Windows ausgefallen. Das macht zwar nur einen sehr kleinen Anteil aller Windows-Rechner aus, allerdings befand sich ein Großteil der betroffenen Rechner in Unternehmen. Betroffen waren etliche Flughäfen, Banken und Krankenhäuser, aber auch andere Bereiche wie Supermärkte hatten Ausfälle zu beklagen. Die betroffenen Organisationen mussten in Folge dessen Teile des Betriebs oder den ganzen Betrieb einstellen. Der verursachte Schaden wird als sehr hoch eingeschätzt. Ein Problem der Behebung ist, dass die Administratoren die betroffenen Rechner nicht remote, sondern physikalisch anwesend (direkt am PC) zurücksetzen mussten. Microsoft selbst hat die Kunden gut bei der Aufgabe unterstützt und arbeitet auch an Software zur einfacheren Behebung der Probleme.
Erkenntnisse aus dem Vorfall
Der Vorfall verdeutlicht mehrere Erkenntnisse: Einerseits, dass bei komplexen Prozessketten, die mehrere Systeme betreffen, punktuelle Ausfälle bewirken können, dass die komplette Prozesskette ausfällt. Hier ist es wichtig, dass die Unternehmen die genauen Zusammenhänge der Abläufe und Systeme sowie deren Wechselwirkung kennen. Nur so kann eine Reaktion erfolgen. Idealerweise gibt es für kritische Systeminfrastruktur auch Back-Up-Systeme. Andererseits liegt die Vermutung nahe, dass der Update-Fehler durch tiefgreifendere Tests auf Seiten des Herstellers hätte vermieden werden können. Allerdings steigt die Zahl der notwendigen Updates - unter anderem auch im Sicherheitsbereich - immer stärker. Häufig müssen fast täglich neue Updates verteilt werden. Es ist eine große Herausforderung für die Hersteller sowohl die Geschwindigkeit einzuhalten, aber gleichzeitig auch alle Updates entsprechend zu testen. Zudem zeigte sich: Panik ist auch keine Lösung. Denn durch gefälschte Update-Webseiten versuchten Angreifer, die Verunsicherung auszunutzen und Unternehmenssysteme zu kompromittieren. Eine abschließende Erkenntnis ist, dass bei aller Remotearbeit und all der verbundenen Vorteile es auch Fälle gibt, bei denen Administratoren sich physisch Zugang zu Rechnern verschaffen müssen, da der Zugang von extern nicht möglich ist. Hierzu bedarf es genug geschulter und verfügbarer Experten in den Firmen und den Rechenzentren.
