Weltweite IT-Ausfälle: Das BSI nimmt Crowdstrike in die Pflicht
Eine Update-Panne des Cybersicherheitsunternehmens Crowdstrike führte am 19. Juli zum Ausfall von Millionen von Windows-Systemen auf der ganzen Welt . Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert vom Hersteller nun eine "tiefgründige technische Aufarbeitung der genauen Ursache" und nennt zugleich Maßnahmen, die künftig die Betriebsstabilität von Kundensystemen sicherstellen sollen.
Für Betroffene soll zudem die Fehlerbehebung bei Ausfällen erleichtert werden. "Das BSI wird in Gesprächen mit Microsoft, Crowdstrike und Herstellern vergleichbarer Softwarelösungen darauf hinwirken, dass das jeweilige Betriebssystem auch bei schwerwiegenden Fehlern immer mindestens in einem abgesicherten Modus gestartet werden kann" , erklärt das Bundesamt in einer am Montag veröffentlichten Mitteilung(öffnet im neuen Fenster) .
Vom BSI geforderte Maßnahmen
Bis zum 15. August soll nach Angaben des BSI eine Analyse vorliegen, aus der hervorgeht, welches Ausmaß der Vorfall innerhalb Deutschlands hatte. Bis Ende September fordert die Behörde zudem die Klärung zukünftiger Maßnahmen, mit denen die zügige Verteilung von Updates gewährleistet wird, ohne die Betriebsstabilität von Kundensystemen zu gefährden. Dabei stellt das BSI auch den von Crowdstrike geplanten gestaffelten Ausrollprozess auf den Prüfstand.
Außerdem sollen Organisationen, die Crowdstrike-Produkte im Einsatz haben, über die grundsätzlichen Betriebsrisiken aufgeklärt werden, auf die der Hersteller in seinen Geschäftsbedingungen(öffnet im neuen Fenster) hinweist. Diesen Risiken soll insbesondere in kritischen Einsatzszenarien mit betrieblichen Redundanzen begegnet werden.
Langfristig will das BSI von Microsoft und Herstellern von Sicherheitssoftware neue und resilientere Architekturen zur Ausführung von EDR-Tools sehen. Damit soll es möglich sein, die gleiche Funktionalität und Schutzwirkung zu entfalten, wie dies bei bisherigen Lösungen der Fall ist. Zugleich sollen aber weniger tiefgreifende Eingriffsrechte in die jeweiligen Betriebssysteme erforderlich sein.
Microsoft bestätigt Angaben von Crowdstrike
Crowdstrike selbst nannte schon am 24. Juli einige Details zur Ursache der weltweiten IT-Ausfälle , für die ein fehlerhaftes Update für den Falcon Sensor verantwortlich war. Am Samstag veröffentlichte auch Microsoft eine Analyse zu dem Vorfall(öffnet im neuen Fenster) , in der Crowdstrikes Angaben bezüglich des durch das Update ausgelösten Speicherfehlers bestätigt werden.
Microsoft liefert in seinem Bericht zudem Argumente dafür, warum einige Sicherheitslösungen Kerneltreiber nutzen - etwa aufgrund von Performancevorteilen und Manipulationsresistenz. Darüber hinaus gibt der Konzern einen Ausblick auf Maßnahmen, mit denen Update-Pannen wie jener von Crowdstrike künftig vorgebeugt werden soll . Dazu zählt unter anderem, den Bedarf an Kerneltreibern zu verringern und Zero-Trust-Ansätze weiter voranzutreiben.