Am letzten Freitag löste ein Software-Update von CrowdStrike einen massiven IT-Ausfall aus, der sich über den gesamten Globus ausbreitete und Millionen von Windows-Systemen betraf. Das fehlerhafte Update löste Chaos aus, indem es Geräte zum Absturz brachte und den gefürchteten Bluescreen-Fehler anzeigte, wodurch kritische Bereiche wie das Gesundheitswesen, das Bankwesen und die Luftfahrt an einigen Standorten zeitweise zum Erliegen kamen.
Von Peter Machat, Senior Director Central EMEA bei Armis.
Das Ausmaß und die Schwere der Störung verdeutlichen die Anfälligkeit unserer vernetzten digitalen Ökosysteme. Krankenhäuser hatten Schwierigkeiten, auf Patientenakten zuzugreifen, Banken hatten mit Betriebsstörungen zu kämpfen, und in Verkehrsnetzen kam es zu erheblichen Verspätungen und Ausfällen. Dieser Vorfall macht deutlich, wie sich eine einzige Softwarepanne zu einer globalen Krise ausweiten kann, die wichtige Dienste und Infrastrukturen beeinträchtigt.
Technischer Hintergrund
Der CrowdStrike-Update-Vorfall betraf laut Microsoft weltweit etwa 8,5 Millionen Windows-Geräte. Die Störung hatte weitreichende Auswirkungen und führte zur Annullierung von über 2000 Flügen in den USA sowie zahlreichen weiteren in Europa, einschließlich Deutschland.
Dies verursachte erhebliche Verspätungen an großen Flughäfen wie Frankfurt und München. Passagiere mussten lange Wartezeiten in Kauf nehmen, und viele Flüge wurden gestrichen, wodurch Reisende und Fluggesellschaften das Chaos nur schwer bewältigen konnten.
CrowdStrike bestätigte, dass der Fehler durch ein Inhaltsupdate für Windows-Hosts verursacht wurde und kein Cyberangriff vorlag. Das Unternehmen hat das Problem schnell behoben, doch der Vorfall unterstreicht die Notwendigkeit effizienter und effektiver Mechanismen zur Reaktion auf solche Zwischenfälle.
Resilienz von IT-Umgebungen
Die Bedeutung umfassender Strategien zur Reaktion auf Vorfälle in IT-Umgebungen kann nicht genug betont werden. Bei solchen Störungen müssen Unternehmen in der Lage sein, betroffene Systeme schnell zu identifizieren, zu isolieren und zu reparieren, um Ausfallzeiten zu minimieren und die Kontinuität des Betriebs sicherzustellen.
Dieser Vorfall ist ein Weckruf für die Cybersicherheits-Community und verdeutlicht die Wichtigkeit eines umfassenden Asset-Managements, automatisierter Abhilfemaßnahmen und kontinuierlicher Überwachung, um ähnliche Vorfälle in Zukunft zu vermeiden. In einer zunehmend digitalen Welt sind die Stabilität und Sicherheit unserer IT-Infrastruktur wichtiger denn je.
Um solche Störungen zu bewältigen, sind folgende präventive Strategien wichtig:
- Identifizierung und Priorisierung kritischer Assets: Stellen Sie vollständige Transparenz aller Assets und ihrer Kommunikationswege sicher, um betroffene Geräte schnell zu identifizieren und Störungen beheben zu können. Nutzen Sie Telemetriedaten und KI-gestützte Erkenntnisse, um die für die Betriebskontinuität und die öffentliche Sicherheit kritischen Assets zu priorisieren.
- Implementierung von Rollback- und Backup-Mechanismen: Führen Sie umfassende Backups durch und stellen Sie sicher, dass die Systeme zu einem letzten bekannten guten Zustand zurückkehren können, um die Ausfallzeiten bei Zwischenfällen zu minimieren. Aktualisieren Sie regelmäßig die Sicherungsprotokolle für kritische Systemzustände und testen Sie sie gründlich.
- Automatisieren und Zuweisung von Verantwortung: Wiederherstellungsprozesse sollten nach Möglichkeit automatisiert werden, um die Effizienz zu steigern. Verwenden Sie eingebettete Workflows, um die Verantwortlichkeit für betroffene Assets zuzuweisen, den Fortschritt zu verfolgen und die Wirksamkeit der Wiederherstellung zu messen.
- Verbesserung der Erkennungs- und Reaktionsfähigkeiten: Diversifizieren Sie die Erkennungsmechanismen in IT- und OT-Umgebungen und setzen Sie sowohl passive Überwachung als auch aktive Abfragen ein, um Richtlinienverletzungen und anomales Verhalten zu erkennen. Regelmäßiges Aktualisieren und Testen von Reaktionsplänen auf Vorfälle.
- Förderung der Zusammenarbeit mit der Industrie: Engagieren Sie sich für den Informationsaustausch und kooperative Strategien innerhalb und zwischen den Branchen, um neuen Bedrohungen einen Schritt voraus zu sein und Best Practices für die Cybersicherheit zu entwickeln.
Unternehmen benötigen robuste Lösungen, um Vorfälle effektiv zu bewältigen und sicherzustellen, dass die gesamte Angriffsfläche in Echtzeit verteidigt und verwaltet wird. Hochentwickelte Plattformen, wie die von Armis, statten Unternehmen mit den notwendigen Werkzeugen aus, um betroffene Geräte schnell zu identifizieren, zu priorisieren und zu bereinigen, wodurch Betriebsunterbrechungen minimiert werden.
Es ist entscheidend, dass Unternehmen ihre Widerstandsfähigkeit gegenüber ähnlichen Vorfällen stärken und gleichzeitig die Sicherheit und betriebliche Kontinuität aufrechterhalten. Dies erfordert die kontinuierliche Sichtbarkeit, den Schutz und die Verwaltung aller kritischen Ressourcen und Assets.