IT-Experte
System-Admin erklärt die weltweiten IT-Probleme mit CrowdStrike-Software
19. Juli 2024, 14:00 Uhr
Weltweit hat ein Software-Fehler IT-Ausfälle in Unternehmen, Flughäfen und Kliniken ausgelöst. Worum es geht und wie das passieren konnte, erklärt Steve Maier, IT-Administrator unserer Mediengruppe, im Interview.
Was ist Crowdstrike?
Steve Maier: CrowdStrike ist ein schlauer Virenscanner, der Prozesse auf Computern überwachen kann. Wenn zum Beispiel ein Programm auf dem Computer versucht, eine Passwort-Datenbank zu öffnen, kann Crowdstrike sagen: "Das ist seltsam, das wird unterbunden." Um das tun zu können, muss es tief ins Betriebssystem rein.
Und warum hat es zu Problemen geführt?
Maier: Der Virenscanner hatte nach einem neu ausgerollten Update einen Programmfehler. Bei anderen, weniger tief integrierten Programmen würde das Betriebssystem eines Rechners selbst merken: Da ist etwas schiefgelaufen, das Programm wird gestoppt. Da Crowdstrike aber so tief im Betriebssystem arbeitet, sagt das Betriebssystem: "Okay, ich hab keine Ahnung, was da gerade schiefläuft - wir stürzen erst mal ab." Dann erscheint der blaue Bildschirm, der "Blue Screen of Death". Absturz. Wenn man die Kiste neu startet, passiert wieder das Gleiche. Aus der Schleife kommt ein einfacher Anwender selbst nicht raus.
Was macht man dann?
Maier: Bei anderen Problemen würde die IT eine Problem-Behebung einfach automatisiert über alle Rechner des Systems ausrollen, fertig. Das geht hier nicht. In so einem Fall muss man jede einzelne Maschine als Administrator im abgesicherten Modus neu starten und die Datei rauslöschen. Dann geht's wieder. Das ist aber alles Handarbeit, weil man als Admin in den abgesicherten Modus aus der Ferne nur schwierig reinkommt. Darum muss man jeden Rechner anfassen und auf fünf Minuten die Datei löschen. Mach das mal bei tausend Rechnern, das dauert.
In diesem Fall war es kein Angriff, sondern ein Programmfehler. Aber was sagt uns diese Vorfall über die Anfälligkeit solcher Systeme für Angriffe?
Maier: Beim Internet war ja lange Zeit der schöne Gedanke: Das kann nicht ausfallen, weil es so weit verbreitet ist. Auf der anderen Seite zeigt dieser Vorfall: Wenn so viele Rechner das gleiche Programm einsetzen, das potenziell anfällig ist - das birgt Risiken. Es zeigt, wie gefährlich "supply chain attacks" sein könnten. Dabei greifen Hacker ein Ziel nicht direkt an, sondern einen Software-Zulieferer wie zum Beispiel einen Virenscanner. Und können so in Unternehmen wie beispielsweise BMW gelangen. Anbieter solcher Software gibt es nicht viele - darum sind sie weit verbreitet, wie die Ausfälle jetzt zeigen. Supply Management ist derzeit ein riesiges Thema im Security-Bereich. Man muss sich genau überlegen: Wo kommt die Software her, die man einsetzt? Und was nimmt die wiederum für Software her?