Interview | Crowdstrike-Ausfall - "Aus dieser starken Abhängigkeit kommen wir jetzt nicht mehr raus"

So 21.07.24 | 08:24 Uhr
  75
Eine Anzeigetafel am Hauptstadtflughafen BER funktioniert nicht ordnungsgemäß. Ausgerechnet zum Ferienstart in Berlin führen technische Probleme zu weitreichenden Einschränkungen am Hauptstadtflughafen BER. Die Vorgänge stehen möglicherweise in einem weltweiten Zusammenhang. (Quelle: dpa/Christoph Soeder)
Audio: rbb24 Inforadio | 21.07.2024 | Sandro Gaycken, Christoph Kober | Bild: dpa/Christoph Soeder

Ein IT-Problem hat am Freitag Computer weltweit lahmgelegt. Am BER wurden über 100 Flüge abgesagt. Überraschend war das Ausmaß der Störung nicht, sagt IT-Experte Sandro Gaycken im Interview.

Durch eine weltweite IT-Störung, ausgelöst durch ein fehlerhaftes Update der US-Sicherheitsfirma Crowdstrike, sind am Freitag am BER etliche Flüge ausgefallen. Von der Störung betroffen waren neben dem Flugverkehr unter anderem auch Supermärkte, Banken, Krankenhäuser und Fernsehsender.

Und auch wenn die betroffenen Bereiche in weiten Teilen wieder funktionieren, bleiben Fragen offen. Ein Gespräch mit dem IT-Sicherheitsexperten Sandro Gaycken.

Zur Person

Sandro Gaycken, Direktor des Digital Society Institute. (Quelle: Britta Pedersen/dpa)
Britta Pedersen/dpa

Sandro Gaycken ist Direktor des Digital Society Institute an der European School of Management and Technology in Berlin.

rbb: Herr Gaycken, ein Update, das weltweites Chaos auslöst: War es absehbar, dass die Folgen so massiv sein könnten?

Sandro Gaycken: Ja, das war absehbar. Wir haben uns sehr abhängig gemacht von den Cloud-Infrastrukturen. Und es waren auch zwei Ausfälle gleichzeitig. Einer war so ein bisschen untergegangen. Aber da war noch ein Ausfall der Microsoft-Cloud Architektur dabei, der dem anderen Ausfall vorangegangen ist. Wenn man sehr stark abhängig ist von diesen großen Cloud-Monolithen und von den großen Marktführern in der Cybersicherheit und einer von denen fällt aus, dann geht man auch mit baden.

Jetzt sagt die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik, man müsse deutlicher auf die Qualität der Produkte bei den Herstellern dieser Cybersicherheit achten. Wie macht man das?

Ja, das ist ein etwas komischer Rat. Denn wie soll ich das machen? Als Laie kann ich nur gucken, wo sind die großen Hersteller? Normalerweise haben gerade die großen Hersteller sehr hohe Anforderungen an Qualität und einen sehr rigiden Prozess. Microsoft zum Beispiel muss diese Updates von Crowdstrike kryptografisch signieren und durchprüfen. Das muss also theoretisch alles passiert sein.

Als Laie hab ich aber keine Option, diese Software komplett durchzuprüfen. Ich kann nur nachvollziehen, was die Hersteller jeweils für die Sicherheitsprüfungen und das Personal ausgeben. Und da sind halt die die großen drei, vier, fünf Unternehmen im Silicon Valley ganz vorne. Da wäre man dann wieder bei Microsoft.

Sind die Unternehmen, die mit diesen großen Firmen zusammenarbeiten, dennoch zu sehr abhängig von einzelnen Anbietern?

Ja, das auf jeden Fall. Microsoft, Oracle, Amazon und so weiter haben sich massiv in diesen Sicherheitsmarkt eingekauft. Das heißt, sie haben Cybersecurity-Firmen gekauft, konsolidiert und in ihre Produkte integriert. Vorher war dieser Cybersicherheitsmarkt noch diverser. Crowdstrike hat durch die Integration bei Microsoft einen Marktanteil von 14 Prozent bekommen. Und diese 14 Prozent haben wir nun ausfallen sehen.

Das heißt, man hat eine Firma wie Crowdstrike, die wiederum 30.000 Kunden hat, die wiederum Zehntausende Rechner haben, auf denen ein Betriebssystem läuft, für das Crowdstrike die Sicherheit herstellt. Müssen wir uns darauf einstellen, dass Störungen in dieser Dimension auch mit diesen Auswirkungen tatsächlich weiter und häufiger vorkommen?

Ja, würde ich schon sagen. Es muss nicht unbedingt immer so ein Qualitätsproblem sein. Es kann auch eine Sicherheitslücke sein, die durch einen Angreifer genutzt wird. Diese Update-Mechanismen werden gerne als Sicherheitslücken benutzt und auch Treiber. Bei Crowdstrike war es ja jetzt ein Treiber, der den Ausfall verursacht hat, weil die Treiber natürlich durch die ganzen Sicherheitsmechanismen durchtunneln. Wenn jetzt die Russen mal so richtig die Schnauze voll haben von uns, dann kann es sein, dass die genau das Gleiche benutzen. Aber dann quer über alle Amazon-Clouds oder quer über alle Microsoft-Clouds. Und dann ist es erstmal richtig aus.

Was muss passieren, damit solche Fehler in Zukunft weniger passieren?

Man kann nichts machen. Man muss die Abhängigkeit von diesen ganz starken Marktführern reduzieren. Aber da ist natürlich ein sehr großes Risiko dabei, dass man dann mit billigeren Lösungen und noch schlechter fährt. Also, wir uns haben leider in diese sehr starke Abhängigkeit begeben. Da kommen wir jetzt nicht mehr raus.

Vielen Dank für das Gespräch!

Sendung: rbb24 Inforadio, 20.07.2024, 9:00 Uhr

75 Kommentare

Wir schließen die Kommentarfunktion, wenn die Zahl der Kommentare so groß ist, dass sie nicht mehr zeitnah moderiert werden können. Weiter schließen wir die Kommentarfunktion, wenn die Kommentare sich nicht mehr auf das Thema beziehen oder eine Vielzahl der Kommentare die Regeln unserer Kommentarrichtlinien verletzt. Bei älteren Beiträgen wird die Kommentarfunktion automatisch geschlossen.

  1. 75.

    Eine amerikanische Fluggesellschaft, welche Windows 3.1 als System benutzt war außen vor. Ebenso waren Dresden und Leipzig nicht betroffen.

  2. 74.

    Die Daten sind natürlich zusätzlich mit Bitlocker verschlüsselt.
    Da können sie vorher booten was sie wollen, sie können die Festplattendaten ohne Wiederherstellungsschlüssel überhaupt nicht interpretieren und manipulieren.

  3. 73.

    Die Daten sind natürlich zusätzlich mit Bitlocker verschlüsselt.
    Da können sie vorher booten was sie wollen, sie können die Festplattendaten ohne Wiederherstellungsschlüssel überhaupt nicht interpretieren und manipulieren.

  4. 72.

    "War überhaupt ein privater PC betroffen?" Aus der Berichterstattung nicht ersichtlich. Meine Vermutung ist: Nein.

  5. 71.

    Frage an die Experten hier: War überhaupt ein privater PC betroffen? Ein Firmen Netzwerk sollte doch hoffentlich von Fachleuten betreut werden, die wissen wie man ein Backup ohne das fehlerhafte Update einspielt.

    Und BTT

    Mir graust davor dass wir uns immer weiter in Abhängigkeit einiger weniger Firmen begeben.

  6. 70.

    Ja, so wäre eine Möglichkeit. Aber ohne Detailwissen der verwendeten Rechnerhardware bleibt es beim Prinzip.

  7. 69.

    Boot-ROM in der Reihenfolge vor die Netzwerkkarte gesetzt, durch Wakeup on Lan oder durch eine bestimmte Taste (meist F12) aktiviert, dann startet das Boot-ROM einen kleinen TCP/IP-Stack, holt sich eine IP-Adresse und die Konfiguration des RIS-Dienstes per DHCP und lädt die angegebene Datei herunter und führt diese ohne Rückfrage aus, richtig oder?

  8. 68.

    Wir wissen hier zu wenig über die verwendeten Rechner. Es war damit eine grobe Skizze, wie ein möglicher Ablauf in einem Firmennetz aussehen könnte, um auf jeden Fall zu verhindern, daß irgendein User die Rechte bekommen muß, um einen Fix einzuspielen, was ein scheunentürgroßes Sicherheitsleck wäre.

  9. 67.

    EInen boot managar brauchen Sie nicht, wenn sie über ein boot ROM der Netzwerkkarte gehen - außerdem wäre das hier nicht das Problem, wenn Sie den Rechner remote booten können, da der boot manager noch vor dem OS läuft. Secure boot ist hier sicher in dem Fall kein Hinderungsgrund gewesen.

  10. 66.

    Beim letzten Post von mir war ein kleiner Fehler: So residiert etwa der Boot-Manager eines Betriebssystems auf einem UEFI-PC nicht mehr auf der aktiven Partition der Festplatte, sondern in einer EFI-Systempartition, die sich dem Zugriff des Anwenders entzieht.
    Ein anderer Punkt ist Secure Boot. Hier prüft das UEFI-BIOS, ob ein System vertrauenswürdig ist, und blockiert gegebenenfalls den Start.

  11. 65.

    Ich korrigiere Sie!: Möglicherweise werden separate Befehle für dasselbe Gerät angezeigt, also beispielsweise UEFI: USB-Laufwerk und BIOS: USB-Laufwerk. Für jeden Befehl werden dasselbe Gerät und dieselben Medien verwendet, allerdings wird der PC in einem anderen Firmwaremodus gestartet.

  12. 64.

    "Nur Pech wenn die Hardware im Endlos-Bluescreen hängt und man mit den Rechnern nicht mehr über das Netz sprechen kommunizieren kann." Kurz skizzierter möglicher Ansatz für Firmennetzwerke. Remote-Zugang zu UEFI-Firmware (bracuht kein laufendes OS), PXE-Boot von WIndows PE, remote installation (roll out) von neuen (oder korrigierten) OS-Images, reboot, fertig - ist auch praktisch, sollten Sie mal auf hunderten Firmen-PC neue Software installieren müssen.

  13. 63.

    Das kommt darauf an, wie Sie ihre Systeme booten. Wenn die Systeme nur ein Minimalsystem booten und das eigentliche System und in einer Art Ethernetboot nachgeladen wird, dann können Sie die Images auf dem Bootserver einfach austauschen.

  14. 62.

    "man mit den Rechnern nicht mehr über das Netz sprechen kommunizieren kann." Firmenrechner sind üblicherweise mit einer remote access Funktion im BIOS (ja, ich weiß alter Begriff) ausgestattet, die unabhängig von OS funktioniert.

  15. 61.

    "Nur Pech wenn die Hardware im Endlos-Bluescreen hängt und man mit den Rechnern nicht mehr über das Netz sprechen kommunizieren kann." Bei einem sog. bluescreen spielt auch keiner mehr lokal etwas ein, auch dafür brauchen Sie ein lokal laufendes System ohne bluescreen error.

  16. 60.

    "Das Sicheheitskonzept unter Linux ist trotzdem konsitenter und robuster." Auch in einer Linux-Distro spielt hoffentlich kein User selbst updates ein - auch wenn man das als sudoer erlauben könnte. Wenn die potentielle Lücke noch kleiner werden soll, sperren Sie die User sowieso in eine chroot-Umgebung oder in virtuelle Maschinen - wobei das mit den VMs auch eine Idee unter Windows wäre, um solche Unfälle aufzufangen und schnell zu einem anderen Image überzugehen.

  17. 59.

    " und Linux unterstützt natürlich Access Control List." Das ist so fachlich falsch. Die ACLs sind nicht im Kernel angesiedelt, sondern müssen vom jeweiligen Filesystem unterstützt werden und nicht alle FS unterstützen ACLs (werden aber trotzdem manchmal eingesetz, da sie andere wichtige Sachen bieten).

  18. 58.

    Nein ich meine das so wie ich schreibe. Das ganze Cloud-Konzept basiert natürlich auf Dezentralisierung (auch IT) in der Annahme, das sichere Netz exitiert immer.
    Nur Pech wenn die Hardware im Endlos-Bluescreen hängt und man mit den Rechnern nicht mehr über das Netz sprechen kommunizieren kann.
    So nun summieren sie mal die betroffenen Rechner auf und wie lange damit die wenigen Admins, wenn sie überhaupt noch welche am Standort haben, beschäftigt wären. Monate bis Jahre. Ergo wirds über ein Kochbuch, notfalls begleitet mit telefonischen Support, durch den User selbst gelöst.

  19. 57.

    Zu Hause wird wohl kaum jemand davon betroffen sein, da wohl niemand den Crowdstrike-Mist kauft und nutzt.
    Das Sicheheitskonzept unter Linux ist trotzdem konsitenter und robuster. " erst mit einer ACL-basierten Lösung wird das sicher" wird es feingranulater und Linux unterstützt natürlich Access Control List.

  20. 56.

    "Doch, der Crowdstrike-Fix wird überwiegend von den einzelnen betroffenen Usern selbst gefixt." Das darf eigentlich nur der Admin oder Sysop tun (bzw. ausrollen) und nicht der User, da sie sonst ein grundlegendes Sicherheitsproblem in ihrer EDV haben - meinen Sie vielleicht etwas anderes mit User?

Nächster Artikel