Bekanntlich kam es vor einigen Wochen zu einem Computerausfall, der weite Teile der Welt betraf (Sie können einen Artikel von lesen). Grippeprojekt Im nächsten werde ich mich damit befassen Link). Dieses Problem, das fast 9 Millionen Windows-Geräte (1 % der Maschinen weltweit) betraf, war auf ein fehlerhaftes Update von CrowdStrike Falcon zurückzuführen, einem bekannten EDR-Sensor, der für die Blockierung von Angriffen auf Systeme verantwortlich ist und alle Aktivitäten in Echtzeit erfasst und aufzeichnet um Bedrohungen schnell zu erkennen.
Erste Lektion: ein vermeidbares Problem
Aber die Frage ist: Hätte das alles vermieden werden können? Dazu müssen wir die Wurzel des Problems verstehen.
Nach Angaben des Unternehmens selbst war das Problem auf das Vorhandensein einer beschädigten Datei im CrowdStrike Falcon-Update zurückzuführen, die dazu führte, dass jedes System, das sie erhalten hatte, zusammenbrach, da es sie nicht lesen konnte. Da das Problem die Kernel-Ebene betraf, blieben die Systeme beim Booten in einer Schleife, was den bekannten „Blue Screen“ (BSOD) verursachte.
Wie ist es möglich, dass so etwas Mitte 2024 passiert? Werden vor der Veröffentlichung eines Updates dieser Art keine Überprüfungen durchgeführt? Normalerweise ja, aber es muss nicht immer so sein. In diesem Fall verfügte CrowdStrike Falcon über eine Microsoft-Zertifizierung, aber in Updates müssen nicht alle Teile, aus denen es besteht, zertifiziert werden.
Und hier liegt das Problem: Diese Komponenten nutzen die Falcon-Zertifizierung aus, um sich in den Kern des Betriebssystems einzuschleichen, und jeder darin enthaltene Fehler kann fatale Folgen haben. Daher ist es sehr wichtig, die Anbieter, die auf diesen Teil des Betriebssystems zugreifen können, sorgfältig zu kontrollieren.
All dies lässt uns fragen, warum CrowdStrike das Update nicht getestet hat, bevor es weltweit veröffentlicht wurde, wenn das Update ein so hohes Risiko darstellte. Nun, wie einige Experten erklären: „CrowdStrike musste ein Risiko eingehen, weil sie mehrere kritische Schwachstellen im System entdeckten, und diese Updates sollten diese beseitigen, bevor ein Angreifer sie ausnutzen konnte“.
Nach all dem und zurück zur Ausgangsfrage: Wenn dieses ganze Problem hätte vermieden werden können, dann höchstwahrscheinlich ja.
Zweite Lektion: Ehrlichkeit und Demut
Nach dem Vorfall war es wichtig, jemanden zu finden, der die Verantwortung für das Geschehene übernimmt, und wir müssen aus der Sicht von Microsoft und CrowdStrike sprechen.
Seitens Microsoft stellt sich immer wieder die Frage: Warum lässt es zu, dass Software von Drittanbietern so weit geht, wenn dies doch so riskant für seine Systeme ist?
In Aussagen gegenüber dem Wall Street Journal warf ein Sprecher des Technologieriesen der Europäischen Kommission vor, sie dazu gezwungen zu haben, nachdem beide Parteien 2009 eine Vereinbarung unterzeichnet hatten. Diese Vereinbarung sollte den freien Wettbewerb fördern. Microsoft hatte mehrere Antivirenprogramme erworben, um Cybersicherheitsdiensten direkten Zugriff auf den Windows-Kernel zu ermöglichen, was dem Unternehmen einen klaren Vorteil gegenüber anderen Wettbewerbern verschaffte. Deshalb einigte man sich darauf, dass das Unternehmen neben den Microsoft-eigenen Lösungen auch anderen die Möglichkeit geben sollte, sich mit dem Betriebssystem vertraut zu machen.
Ein Vertreter der Kommission antwortete, dass Microsoft seine Sicherheitsinfrastruktur gemäß der unterzeichneten Vereinbarung anpassen müsse, da das Problem nicht auf EU-Territorien beschränkt sei. Er erklärte außerdem, dass Microsoft weder vor noch nach dem Vorfall Bedenken hinsichtlich dieses Sicherheitsaspekts geäußert oder geäußert habe.
Im Anschluss an die Aussagen von Microsoft haben zahlreiche Experten ihre Meinung geäußert und versichern, dass es trotz der Vereinbarung keinen triftigen Grund gebe, warum der Technologiekonzern diese nicht mit „ausreichenden Kontrollen“ einhalten könne. Es wird klargestellt, dass die Vereinbarung nicht verlangt, dass alle Antivirenprogramme auf den Kernel zugreifen müssen, sondern ihnen lediglich die Möglichkeit dazu gibt. Tatsächlich tun dies nicht alle, da sie nach anderen Formeln und eigenen Innovationen suchen, um das System zu schützen.
CrowdStrike bot seinen Partnern nach dem Vorfall als Entschuldigung eine Uber Eats-Geschenkkarte im Wert von etwa 9 Euro an. Als ob das nicht genug wäre, erkannte die Anwendung nach der Flut von Menschen, die es einlösen wollten, es als Betrug und stornierte die Gutscheine.
Wie üblich gab es reichlich Kritik. Eine Entschädigung von 9 Euro steht nicht einmal annähernd im Verhältnis zum verursachten Schaden und ist für Unternehmen wie ADIF, eines der am stärksten von der Situation betroffenen Unternehmen, eine Beleidigung.
Es ist wichtig, ehrlich zu sein und viel Bescheidenheit an den Tag zu legen, wenn man einem Ereignis dieses Kalibers öffentlich gegenübersteht, und die PR-Abteilungen müssen dieser Aufgabe gewachsen sein.
Dritte Lektion: Sie sollten sich nicht auf eine einzige Lösung verlassen
Zunehmend wird große Software eingesetzt, die Ressourcen zentralisiert, was zu einer großen Abhängigkeit von der Technologie führt. Dies ist effizient, aber auch sehr gefährlich, da der Ausfall einer kritischen Komponente einen Dominoeffekt auslösen kann. Und die europäische Verordnung DORA (Digital Operational Resilience Act) legt großen Wert darauf und widmet einen Abschnitt dem Vorschlag von Lösungen für das, was sie „Konzentrationsrisiko“ nennen, und fordert Unternehmen auf, sich nicht nur auf drei oder vier Lieferanten zu verlassen und ihre Bedürfnisse zu verteilen von Dienstleistungen und Produkten auf mehrere Organisationen verteilen und so die Entstehung von Abhängigkeiten vermeiden, die dazu führen, dass sie die Kontrolle verlieren.
Der aufgetretene Vorfall unterstreicht nur diese Tatsache und dass die derzeitigen Bemühungen, alles zu verbinden (kritische Infrastrukturen, Unternehmen, öffentliche Verwaltungen, alle Arten von Gadgets, Haushaltsgeräte usw.), ein höheres Risiko für Cyberangriffe mit sich bringen, da wir fast vollständig vom Internet abhängig sind alles. Tatsächlich waren nicht nur spanische Unternehmen stark betroffen, sondern auch etwa 125 Fortune-500-Unternehmen. Was wäre passiert, wenn MacOS und Linux betroffen gewesen wären? Was wäre, wenn 100 % aller Windows-Rechner weltweit davon betroffen wären? Die Situation wäre von chaotisch zu apokalyptisch geworden.
Vierte Lektion: Cybersicherheit als Priorität
Heutzutage ist es wichtiger denn je, dass Cybersicherheit oberste Priorität hat, egal ob es sich um ein Unternehmen, eine öffentliche Verwaltung, eine Institution oder einen Benutzer handelt. Die Zahl der Cyberangriffe hat ein noch nie dagewesenes Ausmaß erreicht, und wir müssen uns dieser Situation stellen.
Der Computerausfall, der Windows betraf, war historisch und betraf viele Sektoren weltweit. Auch wenn es sich nicht um den ersten größeren Stromausfall handelt, sind viele Experten weiterhin überrascht, dass Unternehmen in kritischen Sektoren wie Banken, Fluggesellschaften und/oder Medienkommunikation, hatten oder konnten mit ihren Notfall- und Wiederherstellungsplänen für Vorfälle keine bessere Antwort finden. Darüber hinaus nutzen einige böswillige Akteure das Problem aus, um Phishing-Kampagnen mit einer schädlichen Datei durchzuführen, die angeblich das Problem löst. Der Bösewicht lässt nie eine gute Gelegenheit ungenutzt.
Bei all dem und bei ähnlichen Vorfällen in der Vergangenheit muss Cybersicherheit in allen Bereichen Priorität haben, wenn wir wirklich keine Verluste bereuen wollen, seien es finanzielle oder sensible Daten von Unternehmen oder Nutzern.