Das fehlgeschlagene Crowdstrike-Update 2024 und was es für die Sicherheit bedeutet

Als Crowdstrike-CEO George Kurtz sagte, dass der Ausfall des Updates im Juli 2024, der zu einem globalen IT-Shutdown führte, „kein Sicherheitsproblem“ war, spielte er dieses Ereignis eher herunter. Schließlich ist Verfügbarkeit Teil des CIA-Trios, eines grundlegenden Konzepts der Informationssicherheit. Da Systeme funktionsunfähig gemacht wurden, Daten nicht zugänglich waren und Tausende von Unternehmen in den Krisenmodus versetzt wurden, hier ein kurzer Überblick über das Crowdstrike-Update-Versagen und einige Erkenntnisse aus sicherheitstechnischer Sicht.

Crowdstrike 2024 Bug: Was ist passiert?

Der wahrhaftige technische Zusammenbruch, der durch das fehlerhafte Update von CrowdStrike verursacht wurde, betraf 8,5 Millionen Windows-Geräte. In Branchen wie dem Gesundheitswesen und dem Reiseverkehr brach Chaos aus – zwei deutsche Krankenhäuser mussten elektive Operationen absagen. Cyber-Versicherungen schätzen, dass sie mindestens 1,5 Milliarden Dollar auszahlen müssen, während Fortune-500-Unternehmen, von denen viele Falcon nutzen, finanzielle Verluste von bis zu 5,4 Milliarden Dollar erleiden könnten.

Das eigentliche Problem trat durch einen Update-Fehler in Falcon auf, einer cloudbasierten Endpoint-Schutzplattform, die von CrowdStrike entwickelt wurde. Falcon schützt vor einer Vielzahl von Cyber-Bedrohungen durch ein kleines Tool, welches auf den Endgeräten des Unternehmens installiert ist (PoS-Geräte, Workstations, Laptops usw.). Dieses Update verursachte auf Windows-Geräten, auf denen Falcon lief, Bluescreens.

Das schwierige an Plattformen wie Falcon ist, dass bestimmte Updates so schnell wie möglich ausgerollt werden müssen, um einen angemessenen Schutz vor Bedrohungen auf Endgeräten zu gewährleisten. Vereinfacht gesagt lag das Problem eher bei einem Update der Antivirus-Signaturen, als in der bestehenden Software.

Trotzdem hätten die Updates gestaffelt werden sollen, damit nicht alle CrowdStrike-Kunden gleichzeitig betroffen waren. Außerdem hätte Crowdstrike den Rollout vorher in einer eigenen Testumgebung auf einem Windows-Computer testen sollen. Weiter hätten die Unternehmen, die Falcon verwenden auch die Möglichkeit haben sollen, ob sie Updates auf all ihren Systemen gleichzeitig installieren oder es zunächst ausprobieren möchten.

 

Sicherheitslektionen aus dem Crowdstrike-Vorfall 2024

Viele weitere Lektionen werden deutlich wenn neue, detailliertere Informationen über diesen Update-Fehler auftauchen. Hier sind jedoch einige wichtige Erkenntnisse aus dem Crowdstrike-Vorfall von 2024, über die es sich lohnt nachzudenken.

Übermäßige Abhängigkeit von bestimmten EDR-Anbietern

Vielleicht das Erste was auffällt, ist ein eher systemisches Problem der Abhängigkeit von CrowdStrike’s EDR-Plattform. Ähnliche Probleme existieren in anderen IT-Bereichen, nicht nur in der Cybersicherheit (denken Sie an Amazon und Microsoft im Cloud-Computing). Schaut man auf die Fortune 500, so traf der Vorfall 100 Prozent der Unternehmen in dieser begehrten Liste und 43 Prozent der Einzelhandels- und Großhandelsunternehmen.

Eine so weitreichende Abhängigkeit von einzelnen Anbietern ist ein Rezept für schwerwiegende Auswirkungen von unwahrscheinlichen Vorfällen. Während Crowdstrike einen vielleicht verdienten Ruf für sein Falcon-Produkt erlangt hat, gibt es Hunderte anderer verfügbarer und hervorragender EDR-Produkte. Eine erhöhte Vielfalt bei der Auswahl von Anbietern kann das Potenzial für so weitreichende IT-Ausfälle begrenzen, da selbst die größten Unternehmen nicht gegen Software-Patching-Probleme immun sind.

 

Vorfallreaktion und Notfallwiederherstellung

Die Unternehmen, die am besten mit den Auswirkungen dieser Störung zurechtkamen, hatten in der Regel solide Vorfallreaktionspläne, die Notfallwiederherstellungsstrategien tief integriert hatten. Viele Systemadministratoren kämpften damit, Systeme wiederherzustellen, deren Festplatten durch BitLocker-Verschlüsselung geschützt waren. Um an blauen Bildschirmen des Todes vorbeizukommen, mussten BitLocker-Wiederherstellungsschlüssel eingegeben werden.

Oft waren genau diese Schlüssel auf Servern installiert, die ebenfalls nicht zugänglich waren.

Die Sicherung von BitLocker-Schlüsseln als Offline-Speichermedium hätte viel Wiederherstellungszeit für betroffene Unternehmen gespart. Im Allgemeinen müssen Notfallwiederherstellungsstrategien so detailliert sein und folgende Dinge umfassen:

  • Container-Technologie zur Kapselung von Anwendungen, um sie portabel und einfacher in unterschiedlichen Umgebungen bereitzustellen.
  • Redundante Hardware- und Netzwerkkonfigurationen, die bei einem Ausfall des primären Systems automatisch übernehmen.
  • Datenreplikationsmethoden wie Spiegelung, um Echtzeitkopien Ihrer wichtigsten Produktionsdaten in separaten physischen oder Cloud-Umgebungen zu erhalten.

Betrachten Sie die Notfallwiederherstellung aus der Perspektive der Planung für alle möglichen Ursachen von Ausfallzeiten, damit Sie nichts Wichtiges übersehen.

 

Die Notwendigkeit robuster Tests

Während ein wirklich solider Notfallwiederherstellungsplan dazu hätte beitragen können, einige der Schäden durch das Crowdstrike-Update-Versagen abzumildern, liegt die Hauptschuld bei Crowdstrike. Es gibt wirklich nichts, was ein Falcon-Nutzer hätte tun können, um diesen Vorfall zu vermeiden. Aber wenn man etwas weiter hinaus zoomt, zeigt die Tatsache, dass ein so großes Unternehmen wie Crowdstrike diesen Fehler übersehen hat, die Notwendigkeit einer ordnungsgemäßen Codeprüfung und Validierung in gestaffelten Umgebungen vor dem Rollout.

Abgesehen von der Codeprüfung gibt es hier einen breiteren Punkt über den Wert regelmäßiger Tests des gesamten IT-Ökosystems auf potenzielle Single Points of Failure. Nicht viele Unternehmen betrachteten den potenziellen Single Point of Failure, der durch die Verwendung von Crowdstrike’s Falcon-Produkt eingeführt wurde. Ein gründlicher Penetrationstest, der von einem erfahrenen Team durchgeführt wird, ist genau das, was die weniger offensichtlichen Schwachstellen und Schwachpunkte aufdecken kann, die automatisierte Scans möglicherweise übersehen.

Unser Team bei DIESEC setzt spezialisierte Fachkenntnisse und Expertise ein, um Ihre Umgebung zu überprüfen und Schwachstellen sowie Sicherheitslücken aufzudecken, von deren Existenz Sie möglicherweise nicht wussten oder Sie keinen Maßnahmenplan zur Risikominderung hatten. Wir liefern Ihnen detaillierte Abschlussberichte, die Bereiche Ihrer Sicherheits- und IT-Infrastruktur aufzeigen, die Sie mit gezielten Maßnahmen verbessern können.

 

Erfahren Sie hier mehr über DIESEC’s Penetrationstests.