Das Update einer Sicherheitssoftware von CrowdStrike hat am vorletzten Juli-Wochenende 2024 Millionen Windows-Rechner und Windows-basierte Prozesse lahmgelegt. Wie das BSI reagierte, was die Ursachen, die Konsequenzen und Lehren für Admins daraus sind, erfahren Sie hier.

So wie Jürgen Schmidt, Leiter von heise Security, sprachen viele vom größten Ausfall der IT-Geschichte. Am 19. Juli 2024 stürzten weltweit 8,5 Millionen Windows-Rechner ab. Das hatte zur Folge, dass in vielen Krankenhäusern und Banken sowie an Flughäfen rund um den Globus vorübergehend nichts mehr ging. Glücklicherweise waren die meisten Systeme bald wieder hergestellt und es kam nicht ganz so schlimm, wie anfangs erwartet.

Die Ursache war schnell gefunden: Ausgerechnet ein fehlerhaftes Software-Update des texanischen IT-Sicherheitsspezialisten CrowdStrike, genauer von dessen Falcon Sensor, war Auslöser der weltweiten Computerausfälle. Aber wie heises Security-Experte Schmidt schreibt, handelte es sich nicht um ein klassisches Software-Update. Denn das hätten Admins erst testen und dann einzeln ausrollen können, um Ausfälle zu vermeiden.

Eigentlicher Auslöser war, dass CrowdStrike als Reaktion auf neue Bedrohungen ein entsprechendes Erkennungsmuster verschickt hat, das gefährliche Named Pipes aufdecken und unterbinden sollte. Es handelt sich dabei um bidirektionale Datenströme für die Interprozesskommunikation. Nicht bestätigten Gerüchten zufolge soll kurz davor Cobalt Strike, eine Firma, welche sich auf die Simulierung von Wirtschaftsspionage spezialisierte, ein entsprechendes Angriffs-Framework auf Basis der benannten Pipes verschickt haben. Das nutzen aber auch Kriminelle, worauf CrowdStrike mit dem neuen Erkennungsmuster reagieren wollte.

Eine Verwicklung der Ereignisse

CrowdStrike bietet zwar die Möglichkeit, die Software auf einen älteren Versionsstand zu bringen, um neue Funktionen darauf zu testen. Die täglich oder gar stündlich erscheinenden Signatur-Updates aber werden immer in den jeweils aktuellen Versionen installiert und ohne zusätzliche Kontrollinstanz sofort aktiviert, um schnell auf neue Gefahren reagieren zu können.

Hinzu kommt, dass Microsoft es Antiviren- und EDR-Software erlaubt, unter neueren Windows-Versionen Treiber mit Kernel- oder Betriebssystemkern-Rechten zu installieren.

Das kann zur Folge haben, dass teilweise auch sehr komplexe oder fehleranfällige Software im Kernel-Modus ausgeführt wird und diese dann das komplette System zum Absturz bringt. Das birgt Sicherheitsrisiken – sogar für User, die selbst keinen der Treiber einsetzen.

Statt bei den Kernels wie Apple „harte Leitplanken“ einzuziehen, um damit eventuell sogar die eigene Monopolstellung in der IT-Security auszubauen, hätte Microsoft laut Schmidt auch andere Möglichkeiten. Eine davon ist, den Boot-Prozess in Windows zu überwachen und anzubieten, diesen auch ohne den problematischen Treiber auszuführen, wenn das Betriebssystem an einer Stelle hängen bleibt. Andere Möglichkeiten wären bessere Schnittstellen und der Umstieg auf eine „sichere Programmiersprache“ wie Rust.

Auch das BSI reagiert

Microsoft selbst hat das massenhafte Lahmlegen der Windows-Rechner auf einen Speicherfehler zurückgeführt und sieht die Hauptverantwortung bei CrowdStrike. Gleichzeitig hat der OS-Riese möglicherweise auch auf Drängen des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) bereits Maßnahmen ergriffen, um kritische Prozesse außerhalb des Kernels in den User Mode zu verschieben.

Das BSI hatte beide Unternehmen zu Gesprächen vorgeladen und CrowdStrike zu einem Zeitplan sowie zu einem überarbeiteten Testkonzept gedrängt. Von Microsoft fordert das Amt indirekt neue resiliente Komponenten, die eine ähnliche Schutzwirkung entfalten, aber nicht so tief in die Betriebssysteme eingreifen.

Nach all den Hausaufgaben für Microsoft und CrowdStrike hat heise security auch zwei wichtige Lehren für Admins. Die erste betrifft die saubere Aufbewahrung der Wiederherstellungsschlüssel. Denn es hat sich herausgestellt, dass in den meisten Fällen die Bitlocker-Verschlüsselung eine schnelle Wiederherstellung der Systeme behindert hat. Sein zweiter Rat an die Admins ist, immer einen Notfallplan für verschiedene Szenarien parat zu haben.

Solche Notfallpläne entwickelt Axians zusammen mit weiteren IT-Sicherheitskonzepten für B2B-Kunden. Diese dürfen nicht fehlen, um etwa Ransomware-Attacken zuvorzukommen. Informationen zum Angebot von Axians im Bereich Cyber Security finden Sie hier.

Quelle Titelbild: Adobe Stock / 4AXY