Wie Crowdstrike-Bugs die Computersysteme der Welt zum Zusammenbruch brachten

Aber das Unternehmen ist auf umfassenden Zugriff auf Millionen von Computern angewiesen, um sich gegen neue Angriffe zu verteidigen, und die Anweisungen, die CrowdStrike über Nacht an diese Computer schickte, auf denen das Windows-Betriebssystem von Microsoft ausgeführt wurde, machten sie am Freitagmorgen unbrauchbar.

Während Banken, Fluggesellschaften und 911-Notrufsysteme Schwierigkeiten hatten, sich zu erholen, entschuldigte sich CrowdStrike und machte einen Fehler verantwortlich, anstatt… Hackerangriff auf seine internen Systeme.

„Das war kein Cyberangriff“, sagte CrowdStrike in seinem Blog. Das in Austin ansässige Unternehmen sagte, es habe das Problem erkannt und den Kunden eine Lösung angeboten, um ihren Mitarbeitern die Rückkehr zur Arbeit zu erleichtern.

Doch der Fehler war so weitreichend und seine Auswirkungen so tiefgreifend, dass nicht alle Sicherheitsexperten davon überzeugt waren, dass es sich lediglich um menschliches Versagen handelte. CrowdStrike ist im vergangenen Jahr schnell gewachsen und wurde erst letzten Monat in den Standard & Poor’s 500-Index der größten börsennotierten Unternehmen aufgenommen. Aber es hat sich auf der ganzen Welt Feinde gemacht, indem es Hackerangriffe wie den des russischen Geheimdienstes aufgedeckt hat, der 2016 E-Mails vom Demokratischen Nationalkomitee und Hillary Clintons Wahlkampfleiterin gestohlen hat.

„Ich bezweifle, dass es ein Unfall war. Es gibt viele Nachteile“, sagte Matthew Hickey, Gründer des Schulungsunternehmens Hacker House. Er fügte hinzu, dass die verletzende Datei zufällige Daten enthielt, nicht digital signiert war und nicht ausreichend getestet wurde.

Ein US-Bundesbeamter, der anonym bleiben wollte, um Fragen der nationalen Sicherheit zu besprechen, sagte, es gebe keine Hinweise auf Sabotage oder ausländische Einmischung.

Einige Analysten gaben an, dass sie darauf warteten, mehr von CrowdStrike zu hören, und dass die Komplexität fortschrittlicher Hacking-Abwehrmaßnahmen diese gefährlich anfällig mache.

„Endpoint Detection“-Produkte wie das Falcon-Tool von CrowdStrike senden häufig nicht nur aktualisierte IDs für Malware, um diese zu verhindern, sondern auch aktive Codezeilen, um Szenarien zu vereiteln, sagte Jake Williams, ein ehemaliger NSA-Hacker. Er sagte, es sei möglich, dass die Systeme von CrowdStrike zum Testen des Codes vor der Installation überall nicht „vielfältig genug“ seien, um den Fehler zu erkennen.

Obwohl Ausfälle von Computernetzwerken keine Seltenheit sind, waren Experten am Freitag überrascht, als sie feststellten, dass sich der Fehler eines einzelnen Unternehmens auf viele Systeme ausgeweitet hatte.

„Wir haben noch nie einen solchen kaskadenartigen Ausfall gesehen – vielleicht sogar jemals“, sagte Chuck Herren, ein leitender Angestellter beim digitalen Sicherheitsunternehmen F5 Inc..

Das Ausmaß der technischen Störungen weltweit am Freitag Wir decken die Gefahren auf, die mit der Art von Sicherheitssoftware verbunden sind, die viele für unerlässlich halten, damit Unternehmen Ransomware und andere verheerende Hacks abwehren können.

Damit diese Programme effektiv sind, müssen sie alles sehen können, was auf dem Gerät passiert. Doch dieser Zugriff könnte zu einem katastrophalen Ausfall führen, wie es am Freitag passierte, und der Fix, den das Unternehmen später einführte, war komplex: Viele Organisationen mussten jedes Gerät einzeln manuell neu starten und die fehlerhafte Update-Datei löschen.

Dieser privilegierte Zugriff macht Sicherheitssoftware auch zu einem Hauptziel für normale Spione und Hacker. Erst letzten Monat untersagten US-Beamte dem russischen Antiviren-Softwareunternehmen Kaspersky Lab die Aufnahme neuer Geschäftsaktivitäten im Land, nachdem sie ihm vorgeworfen hatten, beim Diebstahl von Geheimnissen von Mitarbeitern der National Security Agency und anderen beteiligt zu sein.

Die Probleme vom Freitag führten dazu, dass Tausende Flüge annulliert oder verspätet wurden und Krankenhäuser gezwungen waren, Operationen zu verschieben. Die schlimmsten Cyberangriffe, wie der russische NotPetya-Angriff auf ukrainische Unternehmen und der nordkoreanische WannaCry-Virus, richteten durch dauerhafte Schäden an Computern nachhaltigere Schäden an. Aber selbst diese Angriffe breiteten sich nicht so schnell und so weit aus.

Wie hoch der finanzielle Schaden ist, der durch den Serviceausfall entsteht, und wer diese Kosten trägt, wird sich nach einiger Zeit nicht abzeichnen. Die meisten Softwareanbieter sind von der gesetzlichen Haftung für Schäden befreit, die durch ihre Software verursacht werden, die lizenziert und nicht verkauft wird. In der Regel schließen sie jedoch Serviceverträge mit ihren größten Kunden ab, die möglicherweise Hilfe bei Reparaturen, Rabatten oder anderen Entschädigungen benötigen.

Das CrowdStrike-Fiasko ist zum Teil deshalb bemerkenswert, weil Führungskräfte des Unternehmens zu den prominentesten Stimmen der Branche gehörten, die Microsoft wegen wiederholter Sicherheitslücken kritisierten. Der Softwareriese wird für die jüngsten schwerwiegenden Verstöße bei US-Behörden verantwortlich gemacht, darunter der Diebstahl von E-Mails von Beamten wie Handelsministerin Gina Raimondo im vergangenen Jahr. In einem vernichtenden Bericht des Cybersecurity Review Board, dessen Vorsitz ein Beamter der Cybersecurity and Infrastructure Security Agency innehat, wurde im April „eine Unternehmenskultur festgestellt, die Investitionen in die Unternehmenssicherheit und ein strenges Risikomanagement in den Hintergrund gerückt hat“.

Abgesehen von diesen Versäumnissen bei Microsoft sagte CrowdStrike, dass jede Schwäche aufgrund der dominanten Stellung des Unternehmens auf dem Markt für Betriebssysteme und Produktivitätssoftware potenziell katastrophal sei.

Als eines der wenigen führenden Sicherheitsunternehmen sagen einige Experten jetzt dasselbe über CrowdStrike, das zu einer kleinen Gruppe von Netzwerksicherheitsunternehmen mit solch einer Größe und Macht gehört.

„Das ist eindeutig sehr ernst und wird Wochen dauern“, sagte Brian Palma, CEO des konkurrierenden Sicherheitsunternehmens Trilex. „Sie müssen die Konsolen herausholen.“

Die Cybersecurity and Infrastructure Security Agency sagte, sie helfe bei Wiederherstellungsbemühungen und warnte davor, dass Kriminelle, die sich als CrowdStrike ausgeben, Kunden davon überzeugen wollten, Malware herunterzuladen oder den Zugriff auf ihre Computer aufzugeben.

Mary Vasek, Assistenzprofessorin in der Informatikabteilung des University College London, sagte, die weit verbreiteten Computerausfälle zeigten, wie abhängig globale Technologiesysteme von der Software einer kleinen Anzahl von Unternehmen seien, darunter denen von Microsoft und CrowdStrike.

„Das Problem hierbei ist, dass Microsoft eine Standardsoftware ist, die jeder nutzt, und der Fehler in CrowdStrike auf jedes einzelne System übertragen wurde“, sagte sie.

Vasek sagte, Technologienetzwerke seien so groß, komplex und vernetzt geworden, dass es wahrscheinlicher sei, dass eine falsche Codezeile ganze Computernetzwerke lahmlegen könne.

Der Fehler betraf nur Computer mit dem Betriebssystem Windows, das Hunderte Millionen PCs und viele Back-End-Systeme für Fluggesellschaften, digitale Zahlungen, Notfalldienste, Callcenter und vieles mehr antreibt.

In einer Erklärung sagte CrowdStrike, dass man „mit allen betroffenen Kunden zusammenarbeitet, um sicherzustellen, dass die Systeme gesichert sind und in der Lage sind, die Dienste bereitzustellen, auf die sich ihre Kunden verlassen.“

Einige von der CrowdStrike-Schwäche betroffene Unternehmen, darunter Banken und Rettungsdienste, sagten am Freitag, dass sie die gepatchte CrowdStrike-Software implementiert hätten und sich allmählich erholten.

Vasek sagte, dass sowohl Microsoft als auch CrowdStrike ihre Verfahren überprüfen müssen, um zu verhindern, dass solch groß angelegte Technologieausfälle erneut auftreten.

Sie sagte, CrowdStrike sollte darüber nachdenken, wie es seine Software sicher aktualisieren könne, um Millionen von Computernetzwerken zu unterstützen. Sie fügte hinzu, dass Microsoft mehr Anstrengungen unternehmen muss, um sicherzustellen, dass Softwareupdates anderer Unternehmen keine Störungen auf Windows-Computern verursachen.

„Microsoft muss darüber nachdenken, wie es überprüfen kann, ob die Software ordnungsgemäß funktioniert“, sagte sie.

Microsoft ging auf diese Kritik nicht direkt ein, sagte jedoch in einer Erklärung, dass das Unternehmen „Kunden aktiv dabei unterstützt, bei ihrer Genesung zu helfen“.

Das Unternehmen kündigte außerdem Ausfälle bei einigen seiner beliebten, mit dem Internet verbundenen Software für Unternehmens- und Regierungsnetzwerke an.

Es war nicht sofort klar, wie viele der Computernetzwerkausfälle am Freitag durch ein fehlerhaftes CrowdStrike-Softwareupdate verursacht wurden und welche das Ergebnis von Problemen waren, die am Donnerstag mit den Onlinediensten von Microsoft und dem Unternehmens-Cloud-Computing-Dienst Azure begannen.

Ein Microsoft-Sprecher sagte, das Unternehmen glaube nicht, dass der CrowdStrike-Fehler mit dem Ausfall zusammenhänge, der „einen Teil der Azure-Kunden“ betraf. Er sagte, das Problem sei gelöst.