Die fatalen Folgen mangelnder Aufmerksamkeit
Das Cybersicherheitsprogramm «Falcon Sensor» des Dienstleisters CrowdStrike produzierte bei einem automatisierten Update an Millionen von Computern Systemabstürze, die zu stunden- bis tagelangen Ausfällen führten. Betroffen war auch Creditreform. Die Hintergründe.
Auf rund 8,5 Millionen mit dem Betriebssystem Windows ausgestatteten Computern leuchtet am 19. Juli im mal hellen, mal dunklen Blau der berüchtigte «Blue Screen of Death», der den Totalabsturz des Systems verkündet (wörtlich: Your device run into a problem, frei übersetzt: Ihr Computer hat ein Problem), und nach einem Neustart verlangt. Doch das war in diesem Fall ein sehr schwer zu lösendes Problem. Denn verursacht hatte den Absturz, von dem weltweit zahlreiche Grossfirmen, Flughäfen, Krankenhäuser, Medienunternehmen und viele KMU betroffen waren, ein Update der Cybersicherheitsfirma CrowdStrike, das die gängigen betrieblichen Testverfahren vor Installation eines Updates umgeht und direkt auf den Kern den Systemspeicher zugreift – notabene mit Zustimmung der Kundschaft.
Totalversagen
CrowdStrike liefert mit dem Versprechen, schneller vor Cyberkriminellen zu schützen als die Hersteller der Betriebssysteme, quasi mit dem Auftauchen neuer Sicherheitslücken das Gegenmittel und benötigt dazu als Fernwartungs-Unternehmen den Zugriff auf den Computer. Das ist ein alltäglicher Vorgang, wie er sich bei vielen tausend Firmen, zu denen auch KMU wie Creditreform zählen, abspielt. Doch diesmal ging es schief. Bei CrowdStrike, die Firma hüllt sich zu den Details des Geschehens in Schweigen, müssen alle Sicherheitsvorkehren versagt haben, insbesondere die internen Testläufe vor dem Versand des Updates. Und so kam es weltweit zum Chaos. Alleine am Zürcher Flughafen mussten 132 Flüge gestrichen werden, rund 10'000 Passagiere waren betroffen, und das wegen des fehlerhaften Updates des Computerprogramm «Falcon Sensor». Und weil dieses Update eine sogenannte Systemdatei beschädigte, stürzte das System ab, ohne dass es noch in der Lage gewesen wäre, einen automatisierten Neustart hinzulegen. Der fehlerhafte «Falcon Sensor» wirkte wie eine Falle, in die Windows bei jedem Startversuch hinein tappte.
Reparatur im Handbetrieb
So musste jeder Computer von Hand repariert werden. Das erwies sich gerade bei Grossfirmen, die Tausende von Computern betreiben, als riesiges Problem, zumal viele dieser Maschinen, die zusätzlich verschlüsselt sind und ohne Wiederherstellungs-Passwort gar nicht mehr in Betrieb genommen werden können, über Stadt und Land verstreut aufgestellt sind. Die Ironie der Geschichte: Microsoft fand nach einem Tag heraus, dass, wer die nötige Geduld aufbrachte, es nach bis zu 15 Versuchen schaffen konnte, das System zu starten. Offenbar liefern sich Windows und CrowdStrike ein Wettrennen, wer schneller ist beim Start, und manchmal gewinnt dabei Windows. So haarsträubend der Fehler, den sich die Cybersicherheitsfirma erlaubte, anmutet, so kläglich ist der Haftungsanspruch: Es gibt schlicht keinen. Allenfalls darf eine Rückerstattung der Lizenzkosten erwartet werden. Den Rest bedingt sich die Firma in den Geschäftsbedingungen aus. Die zweite Ironie der Geschichte: CrowdStrike verschickte an die zuständigen IT-Expertinnen und -Experten eine E-Mail mit einem Gutschein im Wert von zehn US-Dollar für einen Kaffee oder Imbiss zu später Stunde - der sich in einigen Fällen beim Einlösen als wertlos entpuppte, weil er von CrowdStrike entwertet worden war. Der Fall wirft ein Schlaglicht auf eine weltweit durch und durch vernetzte, voll digitalisierte Geschäftswelt, in der, der Sicherheit zuliebe, Abhängigkeiten geschaffen werden müssen, die schon wegen eines einzigen Zahlendrehers ausser Rand und Band geraten kann. Eine gangbare Alternative ist nicht in Sicht.
Urs Fitze
