Der IT-Vorfall vom 19.7.2024 hatte weltweite Folgen und war wohl bisher der teuerste IT-Vorfall mit Tausenden ausgefallenen Flügen und geschäftlichen Transaktionen.
Fehler können immer passieren, die Technik kann auch versagen, eine absolute Sicherheit gibt es nicht. Aber eines ist sicher: Größere Publicity hätte Crowdstrike nicht bekommen können, nur der Aktienkurs sank um 20%!
Und nun, wie geht es weiter? Viele Fragen sind offen:
Was ist eigentlich passiert?
Kann ich Schadensersatz geltend machen oder eine Versicherung nutzen?
Wie kann man sich besser schützen?
Was ist eigentlich passiert?
Die Firma Crowdstrike ist eines der großen Unternehmen im IT-Security-Bereich. Sie bietet verschiedene Lösungen zu Verbesserung der Sicherheit von Anwendern, diese Systeme sind bei vielen Kunden weltweit installiert. Dort kam der Stein ins Rollen, indem ein wohl fehlerhaftes Update zur Auslieferung kam. Das ist natürlicih eine Katastrophe, da ausgerechnet eine Firma, die den Schutz zum Ziel hat, die Fehler mit einem Patch auslöste, der eigentlich der Sicherheit und Aktualisierung diente. Die Umstände dazu sind bisher nicht geklärt, eine Cyberattacke ist hier auszuschliessen, soweit man bisher weiß.
Dies führte zum Ausfall von 8,5 Mio. Microsoft-Systemen weltweit. Jedoch war Microsoft hier nicht beteiligt, dort wir die Software von Crowdstrike als "3rd-Party-Software" geführt. Auch Apple- oder Linux-Systeme waren nicht betroffen.
Die Entwicklung eines Patches, sein Rollout ist nun nichts neues, Sorgfalt und Tests sind in jedem ordentlichen Entwicklungsprozess vonnöten. Das wurde hier wohl versäumt. Hier ging entweder technisch etwas schief oder der "menschliche Faktor" hat zugeschlagen.
Kann ich Schadensersatz geltend machen oder eine Versicherung nutzen?
Falls man die AGB von Crowdstrike nutzt, ist das aussichtslos, denn dort steht:
ES GIBT KEINE GEWÄHRLEISTUNG, DASS DIE ANGEBOTE ODER CROWDSTRIKE-TOOLS FEHLERFREI SIND ODER DASS SIE OHNE UNTERBRECHUNG FUNKTIONIEREN ODER BESTIMMTE ZWECKE ODER BEDÜRFNISSE DES KUNDEN ERFÜLLEN.
Wenn ich eine Cyberversicherung habe, die keine solchen Schäden abdeckt (es gab ja keinen Cyber-Crime-Vorfall) habe ich auch keine Handhabe.
Ob man "mangelnde Sorgfalt" in den USA auf dem Klagewege geltend machen kann, ohne teure Anwälte gegen andere teure Anwälte zu schicken, mag jeder selbst entscheiden. Crowdstrike hat einen Umsatz von ca. 2,5 Mrd. $.
Wie kann man sich besser schützen?
Das zeigt, daß die Resilienz der Systeme noch zu verbessern ist, neben technischen Maßnahmen sollten auch organisatorische Lösungen berücksichtigt werden. Und die Einbettung der Schutzmaßnahmen in ein ISMS ist hilfreich, denn nur in einem integrierten System, das auch andere Maßnahmen für die Stabilität des gesamten Unternehmens enthält, der Blick ist auf die gesamte Sicherheitsorganisation zu richten, nicht nur auf einen Teil.
Ein Patchmanagement sollte Teil der Betriebskonzeptes und das muss geregelt sein. Die Anpassung der Patch-Management-Richtlinien ist zu prüfen, die technische Umgebung kann ggf. optimiert werden mit Systemtrennungen, Redundanzkonzepten usw.
Für den Crowdstrike-Fall wäre es wichtig gewesen, ein umfassendes Update- und Patch-Management-Verfahren zu haben, das auch den Umgang mit fehlerhaften Patches berücksichtigt. Die beispielhafte Umsetzung eines erweiterten Patch-Management-Prozesses könnte so aussehen:
1. Vorbereitung:
- Erstellung einer Testumgebung, die die Produktionsumgebung widerspiegelt.
- Dokumentation und Planung aller bevorstehenden Patches.
2. Testphase:
- Anwendung der Patches in der Testumgebung.
- Durchführung umfassender Tests, um potenzielle Probleme zu identifizieren.
3. Staging:
- Rollout der Patches in einer weniger kritischen Umgebung.
- Überwachung der Systeme auf mögliche Probleme.
4. Implementierung:
- Nach erfolgreichem Staging Anwendung der Patches auf kritischen Systemen.
- Ständige Überwachung und Bereitschaft zum Rollback bei Problemen.
5. Nachbereitung:
- Dokumentation des gesamten Prozesses und der Ergebnisse.
- Kommunikation mit allen relevanten Stakeholdern.
- Laufende Analyse und Optimierung der Patch-Management-Richtlinien basierend auf den Erfahrungen.
Durch diese erweiterten Maßnahmen können Endanwender die Risiken, die mit fehlerhaften Patches verbunden sind, erheblich reduzieren und die Stabilität und Sicherheit ihrer IT-Systeme gewährleisten. Andererseits werden damit zeitnah einzuspielende Patches (z. B. als Mittel gegen Zero-Day Exploits) verzögert. Hier gilt es die Balance zu wahren.
Zusammengefasst ist natürlich auch wieder Zeit erforderlich, die Kosten sind zu beachten und Personalkapazitäten müssen vorhanden sein.
Unsere Erwartung ist, daß die Anwender einfach eine Kosten-Nutzen-Betrachtung machen und die Risiken akzeptieren, nur wenige werden hier investieren und eine angepasste und aufwendige Patch-Policy aufbauen. Denn der Crowdstrike-Fehler kommt ja nicht jeden Tag vor, kommerziell betrachtet ist das daher nachvollziehbar. Ärgerlich und unnötig ist es allemal.
Comments