Vom fehlerhaften Software-Upgrade, den das US-Unternehmen Crowdstrike vergangenen Freitag hochfuhr, waren weltweit rund 8,5 Millionen IT-Systeme betroffen, die unter Windows laufen. Dies gab der Redmonder Software-Gigant Microsoft bekannt. Damit habe der Ausfall weniger als ein Prozent aller Windows-Geräte betroffen, so Microsoft. Dennoch war es Experten zufolge der bislang grösste globale Ausfall von IT-Systemen, dem es je gegeben hat. Betroffen waren vor allem Flughäfen, aber auch Banken, Unternehmen, Telekomfirmen, Krankenhäuser und Rundfunksender. Bei vielen wirken die Störungen noch immer nach. kämpfen.
Wie IT-Security-Experten annehmen, wurde das Crowdstrike-Update vor seiner Ausrollung nicht ausreichend geprüft. "Es sieht so aus, als ob bei der Überprüfung oder dem Sandboxing, das sie durchführen, wenn sie sich einen neuen Code ansehen, diese Datei möglicherweise nicht mit einbezogen wurde oder durchgeschlüpft ist", meint etwa Steve Cobb, Chief Security Officer bei Security Scorecard. Auch dort waren einige Systeme in die Knie gegangen.
Jedenfalls sollte die neueste Version der Software "Falcon Sensor" die Systeme von Crowdstrike-Kunden sicherer machen. Allerdings führte fehlerhafter Code in den Aktualisierungsdateien bei Unternehmen, die das Windows-Betriebssystem von Microsoft in Anwendung haben, weltweit zu Ausfällen und zum berüchtigten Bluescreen. Der renommierte IT-Sicherheitsexperte Kevin Beaumont schrieb auf der Onlineplattform X: "Das wird vermutlich der grösste Cybervorfall der Welt, was das Ausmass angeht."
Omer Grossman, CIO bei, Security-Spezialisten Cyberark, konstatierte: "Das aktuelle Ereignis scheint – auch im vermeintlich ruhigen Juli – eines der schwerwiegendsten Cyber-Probleme des Jahres 2024 zu sein. Der Schaden für die Geschäftsprozesse weltweit ist enorm. Der Ausfall ist auf ein Software-Update des EDR (Endpoint Detection and Response)-Produkts von Crowdstrike zurückzuführen. Dieses Produkt wird mit hohen Privilegien ausgeführt und schützt Endpunkte. Eine Fehlfunktion kann hier, wie im aktuellen Vorfall zu sehen, zu einem Absturz des Betriebssystems führen... Da die Endgeräte abgestürzt sind – der Blue Screen of Death – können sie nicht remote aktualisiert werden und das Problem muss manuell gelöst werden, Endgerät für Endgerät. Dieser Prozess wird wahrscheinlich Tage dauern."
Der Cybersecurity-Forscher Patrick Wardle, der sich auf die Untersuchung von Bedrohungen für Betriebssysteme spezialisiert hat, betonte gegenüber der Nachrichtenagentur Reuters, seine Analyse habe den für den Ausfall verantwortlichen Code identifiziert. Er befand sich demnach in einer Datei, die entweder Konfigurationsinformationen oder Signaturen enthalte. Signaturen sind ein Code, der bestimmte Arten von bösartigem Code oder Malware erkennt. Allerdings sei es unklar, wie der fehlerhafte Code in das Update gelangen konnte und warum er nicht entdeckt wurde, bevor er für die Kunden freigegeben wurde. "Idealerweise wäre das Update zuerst an einen begrenzten Kundenkreis freigegeben worden", stricht der leitende Sicherheitsforscher von Huntress Labs hervor. "Das wäre sicherer gewesen und hätte das Chaos vermeiden können."
Der Wert der Crowdstrike-Aktie stürzte am Berichtstag um über elf Prozent nach unten, auch wenn das zugrundeliegende Problem bereits am Freitag Mittag mitteleuropäischer Zeit als für behoben erklärt wurde. Der Chef von Crowdstrike, George Kurtz, entschuldigte sich im US-Sender NBC New. "Wir entschuldigen uns für die Probleme, die wir bei Kunden, Reisenden und allen Betroffenen, einschliesslich unseres Unternehmens, verursacht haben." Die Probleme würden schnell behoben, aber es könnte bei einigen Systemen, die sich nicht automatisch wiederherstellen liessen, eine Weile dauern.
