Der CrowdStrike Zwischenfall 2024
Eine Cybersecurity Krise, die die Welt erschütterte
Der Zwischenfall führte zu einer massiven Unterbrechung kritischer Infrastrukturen und hatte weltweite wirtschaftliche Folgen. Schätzungen zufolge betrugen die direkten und indirekten Kosten mehrere Milliarden Dollar. Besonders betroffen waren Sektoren wie das Gesundheitswesen, Transportwesen, Finanzdienstleistungen und öffentliche Verwaltung.
Technische Analyse
Zeitstrahl
Zeitstrahl des CrowdStrike Zwischenfalls 2024
18. Juli 2024
- Unabhängiger Azure Plattform Ausfall: Ein unabhängiger Azure Plattform Ausfall blockiert für einige Unternehmen den Zugriff auf Speicher und Microsoft 365 Anwendungen in der zentralen Region der Vereinigten Staaten.
19. Juli 2024
- 04:09: CrowdStrike verteilt ein Konfigurationsupdate für seine Falcon Treibersoftware für Windows PCs und -Server. Das Update verursacht, dass Maschinen in eine Boot Schleife oder einen Wiederherstellungsmodus gehen.
- 04:09: Beginn weit verbreiteter Abstürze und Neustarts, beginnend in Ozeanien und Asien aufgrund der Zeitzone.
- 05:27: CrowdStrike setzt das Inhaltsupdate zurück.
- 06:48: Google Compute Engine meldet Probleme mit Windows VMs.
- 07:15: Google identifiziert das CrowdStrike Update als Ursache.
- 09:45: CrowdStrike CEO George Kurtz bestätigt, dass der Fix bereitgestellt wurde und versichert, dass das Problem nicht das Ergebnis eines Cyberangriffs ist.
Sofortige Auswirkungen
- Verschiedene Zeiten: Berichte über Störungen in mehreren Sektoren, darunter Fluggesellschaften, Banken, Krankenhäuser, Regierungsdienste und mehr.
- Den ganzen Tag über: Notfallbesprechungen und Reaktionsmassnahmen von Regierungen in verschiedenen Ländern, einschliesslich der Vereinigten Staaten, des Vereinigten Königreichs und Australiens.
- Laufend: Finanzmärkte reagieren mit erheblichen Kursverlusten bei CrowdStrike und Microsoft.
- Swiss International Air Lines streicht über 30% der Flüge: Anhaltendes operatives Chaos bei Swiss, mit erheblichen Störungen und Stornierungen.
Nachfolgende Tage
- Laufende Bugfixes: Viele betroffene Computer müssen manuell repariert werden, was zu verlängerten Ausfällen und Störungen in verschiedenen Sektoren führt.
- Reaktionen der Industrie: Cybersicherheitsexperten fordern mehr Redundanz und dezentrale Systeme, um solch weit verbreitete Ausfälle in Zukunft zu verhindern.
- Reaktionen von Unternehmen und Regierungen: Fortlaufende Bemühungen, die Normalität wiederherzustellen und die Auswirkungen des Ausfalls zu bewältigen.
Wichtige Punkte und langfristige Auswirkungen
- Geschätzter finanzieller Schaden: Rund 10 Milliarden US Dollar globaler finanzieller Schaden.
- Diskussionen über Zentralisierung: Der Vorfall wirft Fragen zur Zentralisierung der IT Infrastruktur und zur Notwendigkeit von Vielfalt bei Cybersicherheitsanbietern auf.
- Globale Reichweite: Der Ausfall betrifft mehrere Länder und Sektoren und spiegelt die weit verbreitete Nutzung von CrowdStrike- und Microsoft-Produkten weltweit wider.
Fazit
Der Zwischenfall zeigt uns wie anfällig unsere modernen, dauerhaft verbundenen IT Systeme sind und welche Abhängigkeit zu Lieferanten besteht. Die meisten betroffenen Unternehmen wurden von diesem Vorfall wohl zumindest teilweise unvorbereitet getroffen, da sie sich in den letzten Jahren auf einen Ransomware Vorfall oder ein anderes, böswilliges Szenario vorbereitet haben. Dass es sich nun um einen «simplen» Vorfall eines fehlerhaften Updates mit massiven Auswirkungen handelt, zeigt auf, dass man auch die Grundlagen nicht ausser Acht lassen darf. Im Risikomanagement weisen die Gefährdungen «Software Schwachstellen oder Fehler» und «Ausfall von Geräten und Systemen» auf solche Szenarien hin und sollten der entsprechende Auslöser sein, um diese Risiken zu behandeln. Sei es mit entsprechenden Backup & Recovery Prozessen, Table Top Exercises oder einem etablierten Business Continuity Management.
Die Krise hat ebenfalls die Bedeutung sorgfältiger Softwareentwicklung und robuster Testprozesse unterstrichen, um die Integrität und Verfügbarkeit von IT Systemen zu gewährleisten. Es bleibt zu hoffen, dass die Lehren aus diesem Vorfall dazu beitragen werden, die Sicherheit und Zuverlässigkeit digitaler Infrastrukturen weltweit zu verbessern.