Ein fehlerhaftes Software-Update des Sicherheitsgiganten CrowdStrike hat über Nacht zu einem massiven Ausfall geführt, der Windows-Computer auf der ganzen Welt betraf und zu Störungen in Unternehmen, Flughäfen, Bahnhöfen, Banken, Rundfunkanstalten und im Gesundheitssektor führte.
CrowdStrike erklärte, der Ausfall sei nicht durch einen Cyberangriff verursacht worden, sondern das Ergebnis eines „Defekts“ in einem Software-Update für sein Flaggschiff-Sicherheitsprodukt Falcon Sensor. Der Defekt führte dazu, dass alle Windows-Computer, auf denen Falcon installiert war, abstürzten, ohne vollständig geladen zu werden.
„Das Problem wurde identifiziert, isoliert und ein Fix bereitgestellt“, sagte CrowdStrike in einer Erklärung am Freitag. Einige Unternehmen und Organisationen erholen sich langsam, aber viele gehen angesichts der Komplexität der Behebung davon aus, dass sich die Ausfälle bis ins Wochenende oder in die nächste Woche hinziehen werden. CrowdStrike-CEO George Kurtz sagte gegenüber NBC News dass es „einige Zeit dauern kann, bis sich einige Systeme automatisch nicht wiederherstellen.“ ein späterer TweetKurtz entschuldigte sich für die Störung.
Hier erfahren Sie alles Wissenswerte zu den Ausfällen.
Was ist passiert?
Vom späten Donnerstag bis in den Freitag hinein tauchten erstmals Berichte über IT-Probleme auf, bei denen Windows-Computer beim berüchtigten „Blue Screen of Death“ hängen blieben – einem hellblauen Fehlerbildschirm mit einer Meldung, die angezeigt wird, wenn bei Windows ein kritischer Fehler auftritt, es abstürzt oder nicht geladen werden kann.
Die Ausfälle wurden zuerst am Freitagmorgen in Australien bemerkt. Aus den übrigen Teilen Asiens und Europas sowie aus den USA trafen rasch entsprechende Meldungen ein, als dort der Tag begann.
Innerhalb kurzer Zeit bestätigte CrowdStrike, dass ein Softwareupdate für Falcon nicht funktionierte und Windows-Computer, auf denen die Software installiert war, zum Absturz brachte. Falcon ermöglicht CrowdStrike die Fernanalyse und -prüfung installierter Computer auf bösartige Bedrohungen und Malware.
Etwa zur gleichen Zeit meldete Microsoft einen erheblichen Ausfall in einer seiner am häufigsten genutzten Azure-Cloud-Regionen, die einen Großteil der zentralen Vereinigten Staaten abdeckt. Ein Sprecher von Microsoft sagte gegenüber Tech, dass der Ausfall nichts mit dem Vorfall von CrowdStrike zu tun habe.
Gegen Freitagmittag (Eastern Time) sagte Microsoft-CEO Satya Nadella gepostet am X Das Unternehmen sei sich des verpfuschten Updates von CrowdStrike bewusst und arbeite „eng mit CrowdStrike und der gesamten Branche zusammen, um den Kunden technische Anleitung und Unterstützung zu bieten, damit sie ihre Systeme sicher wieder online bringen können.“
Was ist CrowdStrike und was macht Falcon Sensor?
CrowdStrike wurde 2011 gegründet und hat sich schnell zu einem Cybersicherheitsriesen entwickelt. Heute stellt das Unternehmen Software und Dienstleistungen für 29.000 Unternehmenskunden bereit, darunter rund die Hälfte der Fortune 500-Unternehmen, 43 von 50 US-Bundesstaaten und acht der Top 10-Technologieunternehmen. laut seiner Website.
Die Cybersicherheitssoftware des Unternehmens, Falcon, wird von Unternehmen verwendet, um die Sicherheit auf Millionen von Computern auf der ganzen Welt zu verwalten. Zu diesen Unternehmen gehören Großkonzerne, Krankenhäuser, Verkehrsknotenpunkte und Regierungsbehörden. Auf den meisten Verbrauchergeräten läuft Falcon nicht und sie sind von diesem Ausfall nicht betroffen.
Einer der größten Erfolge des Unternehmens in jüngster Zeit war die Festnahme einer Gruppe russischer Regierungshacker, die vor den US-Präsidentschaftswahlen 2016 in das Democratic National Committee eindrangen. CrowdStrike ist auch dafür bekannt, den Hackergruppen, die es verfolgt, einprägsame Namen mit Tiermotiven zu geben, die auf ihrer Nationalität basieren, wie zum Beispiel: Schicker Bärvermutlich Teil der Hauptnachrichtendienstdirektion des russischen Generalstabs (GRU); Gemütlicher Bärvermutlich Teil des russischen Auslandsgeheimdienstes (SVR); Gotischer Pandabei der es sich vermutlich um eine chinesische Regierungsgruppe handelt; und Charmantes Kätzchenvermutlich eine vom iranischen Staat unterstützte Gruppe. Das Unternehmen stellt sogar Actionfiguren her, die diese Gruppen repräsentieren, die es als Beute verkauft.
CrowdStrike ist so groß, dass es eines der Sponsoren des Mercedes F1 Teamsund dieses Jahr sogar hat einen Super Bowl-Werbespot ausgestrahlt – eine Premiere für ein Cybersicherheitsunternehmen.
Wen betreffen die Ausfälle?
Betroffen ist praktisch jeder, der im Alltag mit einem Computersystem interagiert, auf dem die Software von CrowdStrike läuft, selbst wenn es ihm nicht der Computer gehört.
Zu diesen Geräten gehören die Kassen in Lebensmittelgeschäften, Abflugtafeln an Flughäfen und Bahnhöfen, Schulcomputer, Ihre Arbeitslaptops und -desktops, Check-in-Systeme an Flughäfen, Ticket- und Buchungsplattformen der Fluggesellschaften, Gesundheitsnetzwerke und viele mehr. Da die Software von CrowdStrike so weit verbreitet ist, verursachen die Ausfälle auf der ganzen Welt auf vielfältige Weise Chaos. Ein einziger betroffener Windows-Computer in einer Flotte von Systemen könnte ausreichen, um das Netzwerk zu stören.
Tech-Reporter auf der ganzen Welt beobachten und erleben Ausfälle, unter anderem an Reisepunkten, in Arztpraxen und im Internet. Am frühen Freitag verhängte die Federal Aviation Administration (FAA) unter Berufung auf die Störung einen Flugstopp und legte damit Flüge in den gesamten Vereinigten Staaten praktisch still. Bisher scheint das nationale Amtrak-Schienennetz normal zu funktionieren.
Was unternimmt die US-Regierung bisher?
Da das Problem von einem Unternehmen ausgeht, kann die US-Bundesregierung nicht viel tun. Einem Poolbericht zufolge wurde Präsident Biden über den CrowdStrike-Ausfall informiert, und „sein Team steht mit CrowdStrike und betroffenen Unternehmen in Kontakt“. Das liegt vor allem daran, dass die Bundesregierung Kunde von CrowdStrike und ebenfalls betroffen ist.
Von dem Vorfall sind mehrere Bundesbehörden betroffen, darunter das Bildungsministeriumund die Social Security Administration, die am Freitag mitteilte, dass sie ihre Büros aufgrund des Stromausfalls geschlossen habe.
Im Poolbericht heißt es, Bidens Team sei „behördenübergreifend damit beschäftigt, den ganzen Tag über sektorspezifische Updates zu erhalten und stehe bereit, um bei Bedarf Hilfe zu leisten“.
In einem separaten Tweet teilte das Heimatschutzministerium mit, dass es mit seiner US-amerikanischen Cybersicherheitsbehörde CISA, CrowdStirke und Microsoft – sowie seinen Partnern auf Bundes-, Landes- und lokaler Ebene sowie im Bereich kritischer Infrastrukturen – zusammenarbeite, um „Systemausfälle umfassend zu bewerten und zu beheben“.
Zweifellos werden Ermittler der Regierung und des Kongresses Fragen an CrowdStrike stellen (und in gewissem Maße auch an Microsoft, dessen unabhängiger Ausfall ebenfalls über Nacht zu Störungen bei den Kunden führte).
Der unmittelbare Schwerpunkt liegt zunächst auf der Wiederherstellung der betroffenen Systeme.
Wie reparieren betroffene Kunden ihre Windows-Computer?
Das Hauptproblem besteht hier in einer Fehlfunktion der Falcon Sensor-Software von CrowdStrike, die zum Absturz von Windows-Rechnern führte. Dies lässt sich nicht so einfach beheben.
Bisher hat CrowdStrike einen Patch herausgegeben und auch einen Workaround beschrieben, der betroffenen Systemen helfen könnte, normal zu funktionieren, bis eine dauerhafte Lösung vorliegt. Eine Möglichkeit für Benutzer besteht darin, „das [affected computer] um ihm die Möglichkeit zu geben, die wiederhergestellte Kanaldatei herunterzuladen“, und zwar mit Bezug auf die reparierte Datei.
In eine Nachricht an die BenutzerCrowdStrike erläuterte einige Schritte, die Kunden unternehmen können. Einer davon erfordert physischen Zugriff auf ein betroffenes System, um die defekte Datei zu entfernen. CrowdStrike empfiehlt, den Computer im abgesicherten Modus oder in der Windows-Wiederherstellungsumgebung zu starten, zum CrowdStrike-Verzeichnis zu navigieren und die fehlerhafte Datei „C-00000291*.sys“ zu löschen.
Das grundlegendere Problem, die Datei manuell reparieren zu müssen, kann für Unternehmen und Organisationen mit einer großen Anzahl von Computern oder Windows-Servern in Rechenzentren oder an Standorten in einer anderen Region oder einem ganz anderen Land zu einem großen Problem werden.
CISA warnt, dass böswillige Akteure den Ausfall „ausnutzen“
In einer Erklärung vom Freitag CISA führte die Ausfälle auf das fehlerhafte CrowdStrike-Update zurück und dass das Problem nicht auf einen Cyberangriff zurückzuführen sei. CISA sagte, dass es „eng mit CrowdStrike und Partnern auf Bundes-, Landes-, lokaler, Stammes- und Territorialebene sowie mit kritischen Infrastrukturen und internationalen Partnern zusammenarbeite, um die Auswirkungen zu bewerten und Sanierungsbemühungen zu unterstützen.“
CISA merkte jedoch an, dass es „Bedrohungsakteure beobachtet hat, die diesen Vorfall für Phishing und andere böswillige Aktivitäten ausnutzen.“ Die Cybersicherheitsbehörde gab keine genaueren Angaben, warnte Organisationen jedoch, wachsam zu bleiben.
Böswillige Akteure können und werden Verwirrung und Chaos ausnutzen, um selbst Cyberangriffe durchzuführen. Rachel Tobac, Expertin für Social Engineering und Gründerin der Cybersicherheitsfirma SocialProof Security, sagte in eine Reihe von Beiträgen zu X um „zu überprüfen, ob die Leute auch wirklich die sind, für die sie sich ausgeben, bevor sensible Aktionen ausgeführt werden.“
„Kriminelle werden versuchen, diesen IT-Ausfall auszunutzen, um sich Ihnen gegenüber als IT-Mitarbeiter auszugeben oder Sie gegenüber der IT, um Zugangsdaten, Passwörter, Codes usw. zu stehlen“, sagte Tobac.
Was wissen wir bisher über Fehlinformationen?
Es ist leicht zu verstehen, warum manche dachten, dieser Ausfall sei ein Cyberangriff gewesen. Plötzliche Ausfälle, Bluescreens an Flughäfen, Bürocomputer voller Fehlermeldungen, Chaos und Verwirrung. Wie man erwarten kann, sind bereits eine Menge Fehlinformationen im Umlauf, selbst wenn Social-Media-Sites Trendthemen fälschlicherweise als „Cyberangriff“ kennzeichnen.
Denken Sie daran, offizielle Nachrichten- und Informationsquellen zu prüfen. Wenn etwas zu gut klingt, um wahr zu sein, ist das vielleicht auch der Fall.
Tech wird diesen Bericht den ganzen Tag über aktualisieren.
Ram Iyer von Tech hat zur Berichterstattung beigetragen.