Crowdstrike

Allgemein, Infrastruktur / Von

Eine einziger Programmierfehler des Unternehmens „Crowdstrike“ brachte 2024 tagelang Flughäfen und öffentliche IT-Infrastruktur außer Betrieb.
Für viele Leute bestätigte sich die Sorge, dass Technologie zu zentralisiert und anfällig auf kritische Störungen ist, so wie es schon bei Y2K befürchtet wurde.

Was ist eigentlich genau vorgefallen?

Ein kritischer Softwarefehler hat sich im Juli 2024 in die kommerzielle Sicherheitssoftware des Unternehmens Crowdstrike eingeschlichen1.
Dieser legte daraufhin auf globaler Ebene schätzungsweise 8,5 Millionen Windows-Geräte außer Betrieb2.
Crowdstrike konnte das Update zwar schnell rückgängig machen, bereits betroffene Systeme mussten jedoch manuell gewartet werden3,
wodurch viele der Geräte noch über Tage hinweg nicht funktionierten4.

Wie es dazu gekommen ist

Crowdstrike veröffentlichte eine externe Ursachenanalyse zum Vorfall,
welche beschreibt wie der Unfall zustandegekommen ist5:

  • Die Sicherheitssoftware schützt Geräte, indem es alle Prozesse auf verdächtige Muster überprüft und diese gegebenenfalls stoppt.
    Dies geschieht durch sogenannte Templates, welche die Muster für die Software beschreiben.
    Diese Templates werden von Crowdstrike aus bekannten Cyberbedrohungen entwickelt.
  • Ein neu entwickeltes Template enthielt einen Bug, der die Software bei bestimmten Anwendungen zum Abstürzen bringt.
  • Der Bug schlich sich durch die automatische und manuelle Testphase, da je nur der einfachste Anwendungsfall getestet wurde.
  • Am 19. Juli 2024 gegen 4 Uhr landete das Template in der Produktion und wurde auf alle aktiven Endgeräte gleichzeitig verteilt.
  • Auf den Livesystemen stürzte die Sicherheitssoftware sofort ab.
  • Aufgrund der Funktionsweise der Sicherheitssoftware hatte dieser Crash schwerwiegende Folgen auf das unterliegenden Windows-Betriebssystem, die Geräte erlitten einen BSoD.
Mehrere Flughafenterminals die durch den Crowdstrike-Bug abgestürzt sind.

Mehrere Computer an einem Flughafen die einen BSOD erlitten.
Der BSoD (Blue Screen of Death) passiert unter Windows wenn ein gravierender Fehler in der Soft- und Firmware auftritt. Er ist hauptsächlich für Situationen reserviert, in denen das Betriebsystem nicht mehr in der Lage ist ordnungsgemäß zu funktionieren.

Quelle: Smishra1 – Own work, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=150535443

  • Innerhalb weniger Stunden fiel der Fehler auf und Crowdstrike nahm das Template von den Servern,
    bereits betroffene Systeme mussten jedoch manuell gewartet werden6.
  • Betroffen waren insbesonders Flughäfen, Banken und Krankenhäuser, da Crowdstrike sich auf Unternehmen spezialisiert7.
  • Kritische Infrastruktur wurde schnell wieder in Betrieb genommen, jedoch mussten unter Anderem fast 10000 Flüge auf der ganzen Welt gestrichen werden8.
    Vielerorts dauerte die Erholung vom Ausfall jedoch mehrere Tage.

Folgen für die Zukunft

Der Crowdstrike-Computerausfall hat vielen Leuten die Angst bestätigt, dass die globale IT-Infrastruktur zu zentralisiert ist9,
und, in der Theorie, gezielte Cyberangriffe massive Schäden ausrichten könnten.

Die einzigen wirklichen Folgen waren aber vermutlich nur wirtschaftlicher Art für Crowdstrike und Microsoft, die sind jedoch schwierig zu quantifizieren.10


Wir können nur hoffen, dass der Vorfall eine Lehre für die Zukunft war und in anderen kritischen IT-Infrastrukturen deswegen nun bessere Unfallvermeidung praktiziert wird.

Quellen:

  1. Vorläufige Stellungnahme von Crowdstrike
    https://www.crowdstrike.com/en-us/blog/falcon-content-update-preliminary-post-incident-report/ ↩︎
  2. Statement von Microsoft
    https://blogs.microsoft.com/blog/2024/07/20/helping-our-customers-through-the-crowdstrike-outage/ ↩︎
  3. Updates von Crowdstrike
    https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/ ↩︎
  4. Nachrichtenbericht über Aussagen von IT-Experten
    https://www.independent.co.uk/tech/microsoft-it-outage-crowdstrike-windows-flights-latest-update-b2583539.html
    Keine optimale Quelle, aber auf vielen Nachrichtenseiten werden auf dieselben Aussagen verwiesen. ↩︎
  5. Ursachenanalyse von Crowdstrike
    https://www.crowdstrike.com/wp-content/uploads/2024/08/Channel-File-291-Incident-Root-Cause-Analysis-08.06.2024.pdf
    ↩︎
  6. Updates von Crowdstrike
    https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/ ↩︎
  7. Auswirkungen
    https://en.wikipedia.org/wiki/2024_CrowdStrike-related_IT_outages
    Keine optimale Urquelle vorhanden, da viele der Auswirkungen durch die Medien berichtet wurden,
    der WIkipedia-Artikel sammelt die Links zu den verschiedenen Artikeln aber sehr gut. ↩︎
  8. Blogpost der OAG mit Datenset
    https://www.oag.com/blog/crowdstrike-travel-chaos-airlines-struggling-back-to-normal-operations
    ↩︎
  9. Beispieltweet
    https://x.com/troyhunt/status/1814205754880242032
    (Mehr Info zu Y2K: https://de.wikipedia.org/wiki/Jahr-2000-Problem) ↩︎
  10. Expert reaction to Crowdstrike IT disaster
    https://www.city.ac.uk/news-and-events/news/2024/july/expert-reaction-to-crowdstrike-it-disaster ↩︎

Emil Dünnbier

Emil Dünnbier macht seinen B.Sc. Physik an der Uni Hamburg und arbeitet dort auch nebenbei als studentischer Angestellter im PHYSnet-Rechenzentrum des Fachbereichs Physik.

Seine Interessen umfassen insbesondere Physik, Mathe und Informatik, aber er lässt sich eigentlich von allen naturwissenschaftlichen Themen begeistern.

Dieser Beitrag wurde redaktionell überarbeitet von Andrea Thorn, Florian Mischke und Pairoh Seeliger.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert