Ein Software-Update des Cybersicherheitsunternehmens CrowdStrike war für den Ausfall von Millionen Windows-PCs verantwortlich, einige davon in kritischen Branchen.
Letzten Freitag gingen erstmals Meldungen von Unternehmen und Organisationen aus verschiedenen Teilen der Welt ein, dass sie Computerprobleme hatten.
Von diesem Vorfall waren Flughäfen, Fernsehsender, Flugsicherungssysteme, Banken, Ticketkaufsysteme, Einzelhändler und Systeme anderer Unternehmen und Organisationen betroffen. Flüge konnten nicht starten, Flugtickets konnten nicht gedruckt werden, Fernsehsender gingen offline, Krankenhäuser und Banken waren betroffen und in zahlreichen anderen Branchen kam es zu Betriebsunterbrechungen.
Die anfängliche Panik vor einem weltweiten Cyberangriff erwies sich als falsch. Stattdessen vermuteten Sicherheitsanalysten und Administratoren aus aller Welt, dass das Problem durch ein fehlerhaftes Update der Sicherheitssoftware verursacht wurde. Eines, das von CrowdStrike entwickelt und gepflegt wird.
Was ist CrowdStrike?
CrowdStrike ist ein in Texas ansässiges Cybersicherheitsunternehmen, das Sicherheitsprodukte entwickelt. Es ist Marktführer für Endpoint-Sicherheitsprodukte und viele Fortune-500-Unternehmen und andere Organisationen nutzen CrowdStrike-Produkte für die Sicherheit.
Das Falcon-Sicherheitsprodukt des Unternehmens ist eine Enterprise Detection and Response (EDR)-Sicherheitssoftware für Geräte. Systemaktualisierungen werden über sogenannte Kanaldateien gepusht, die automatisch an angeschlossene Geräte gepusht werden.
Was ist am Freitag und am Wochenende passiert?
Cybersicherheitsunternehmen CrowdStrikefreigegebenam Freitag ein Sicherheitsupdate, das automatisch auf Millionen von Windows-PCs installiert wurde. Dieses Update war fehlerhaft und verursachte Bluescreen-Fehler auf den PCs, auf denen es installiert wurde.
Obwohl Windows-PCs betroffen waren, wurde das Problem selbst nicht von Microsoft oder Windows verursacht.
Administratoren konnten den Zugriff auf die Geräte nicht einfach wiederherstellen, was dazu führte, dass kritische Systeme offline blieben. Bis zum Redaktionsschluss bleiben einige Systeme offline.
Mehr Lektüre:CrowdStrike-Aktie stürzt ab, da fehlerhaftes Update 8,5 Millionen Geräte betrifft
Workarounds wurden schnell veröffentlicht, beispielsweise auf Reddit und anderen Foren. MicrosoftveröffentlichtAnleitung am Samstag und CrowdStrikehabe es getanschon am Freitag. Dazu gibt es auch einen langen technischen BeitragbietetAntworten auf häufige Probleme.
Microsoft gab am Samstag bekannt, dass 8,5 Millionen Windows-PCs aufgrund des Sicherheitsupdates offline geschaltet wurden. Es hieß auch, dass davon weniger als 1 Prozent der gesamten Windows-Population betroffen sei.
Allerdings sind CrowdStrike-Lösungen nicht für Privatanwender und kleine Unternehmen verfügbar. Dies macht den Vorfall prozentual viel größer, wenn man bedenkt, dass potenziell nur Unternehmenskunden die Sicherheitslösungen des Unternehmens nutzen könnten.
Microsoftveröffentlichtam Samstag ein Wiederherstellungstool, mit dem Administratoren das System entweder aus WinPE oder aus dem abgesicherten Modus wiederherstellen können.
Auf BitLocker-fähigen Maschinen ist es außerdem erforderlich, den BitLocker-Wiederherstellungsschlüssel gemäß den veröffentlichten Anweisungen einzugeben. Dieses MicrosoftSupport-Seitekann hilfreich sein, um herauszufinden, wo man nachschlagen kann.
Wie konnte das passieren?
CrowdStrike hat keinen vollständigen Bericht über den Vorfall veröffentlicht. Die große Frage, die jeden beschäftigt, insbesondere die der Systemadministratoren, die am Freitag und möglicherweise am Wochenende viele Stunden damit verbringen, das Problem zu lösen, lautet: „Wie konnte das passieren?“.
Wie konnte CrowdStrike ein Update veröffentlichen, das offensichtlich fehlerhaft war? Wie hat CrowdStrike das Update vor seiner Veröffentlichung getestet? Wie konnte es automatisch auf mehr als 8 Millionen PCs landen, bevor seine Verbreitung eingestellt wurde?
Diese wurden von CrowdStrike bisher nicht beantwortet.
Was ist mit dir? Wo waren Sie von CrowdStrike betroffen, z. B. als Administrator, der betroffene Windows-PCs reparieren musste?