Ein Fehler in einem Update der Sicherheitsfirma Crowdstrike führte am Freitagvormittag dazu, dass weltweit Windows-Rechner ausfielen. Der australische Tech-Experte Troy Hunt schreibt auf im Internet X: „Es ist wohl nicht zu früh vorauszusagen: Das wird der größte IT-Ausfall aller Zeiten.“(I don’t think it’s too early to call it: this will be the largest IT outage in history). Betroffen war auch davon auch kritische Infrastruktur in Deutschland, wie der BER, der Hamburger Flughafen und das UKSH-Krankenhaus in Lübeck. Wie konnte es dazu kommen?
I don’t think it’s too early to call it: this will be the largest IT outage in history
— Troy Hunt (@troyhunt) July 19, 2024
Was war alles betroffen?
Am sichtbarsten waren die Probleme im Luftverkehr. So musste der BER-Flughafen in Berlin-Brandenburg ausgerechnet zu Beginn der Ferienzeit den Betrieb aussetzen. Mehr als 70 Flüge fielen aus. Die Fluggesellschaft Eurowings strich alle innerdeutschen Flüge sowie die von und nach Großbritannien mit Abflugzeit bis 15 Uhr. Auch andere Airlines waren zum Teil stark betroffen. In den USA stoppte die Luftfahrtaufsicht FAA zeitweise Flüge von Airlines wie United, American und Delta. In Norddeutschland sagten mehreren Kliniken wie das UKSH in Lübeck geplante Operationen ab. In Großbritannien war ein System zur Buchung von Arztterminen im Gesundheitsdienst NHS lahmgelegt. Aber auch der britische Fernsehsender Sky News und die Londoner Börse London Stock Exchange kämpften mit Problemen. Der Börsenstart musste um mehrere Stunden verschoben werden.
Wie kam es zu den weltweiten IT-Störungen?
Die Probleme wurden durch ein fehlerhaftes Update des IT-Sicherheitsdienstleisters Crowdstrike ausgelöst, die weltweit in der Nacht zu Freitag an Computer mit Microsofts Betriebssystem Windows ausgeteilt wurden. Microsoft erklärte auf Anfrage, dass „Geräte mit Windows aufgrund eines Updates von einer Software-Plattform eines Drittanbieters von den Problemen betroffen seien“. Mehrere Stunden nach dem Beginn der Ausfälle teilte Crowdstrike-Chef George Kurtz auf X mit, dass der Fehler entdeckt und behoben worden sei. Die Aktie des Unternehmens stürzte ab. Damit alle Systeme, die das fehlerhafte Update bekommen hatten, wieder liefen, mussten die Systeme der Kunden wieder auf den neuen Stand (oder den alten vor dem Update) gebracht werden. Das passierte teilweise an jedem betroffenen Rechner einzeln und„per Hand“ und dauerte dementsprechend lange.
Es war es also kein Cyberangriff?
Nein, Crowdstrike-Chef Kurtz betont ausdrücklich, dass die Ursache weder eine Cyberattacke noch ein Sicherheitsvorfall gewesen seien. Auch das Innenministerium und das BSI sprachen nicht von einem Angriff. In der Vergangenheit hatte es Fälle gegeben, in denen eine Schwachstelle in Computern mit älteren Windows-Systemen von sogenannten Trojanern ausgenutzt wurde, die sich rund um die Welt weiterverbreiteten. Eine solche Attacke mit dem Schadprogramm „WannaCry“ hatte zum Beispiel im Mai 2017 mehrere hunderttausend Computer lahmgelegt und unter anderem die Anzeigen auf Bahnhöfen in Deutschland gestört.
Sind Daten von Nutzern betroffen?
Nach allem, was man bisher weiß, haben einfach nur Computer von Airlines und verschiedenen anderen Unternehmen aufgehört zu funktionieren. Daten wurden dabei nicht offengelegt und sind nicht abgeflossen.
Was macht Crowdstrike überhaupt?
Die amerikanische Firma spielt eine zentrale Rolle beim Schutz gegen IT-Bedrohungen und sichert unter anderem Websites ab. Speziell der betroffene Dienst mit dem Namen Falcon Sensor soll durch Überwachung der Aktivitäten in Computern als eine Art Frühwarnsystem Angriffe verhindern. „Es hat eine gewisse Ironie, dass ausgerechnet ein System, das die Computer schützen und am Laufen halten soll, sie stört“, kommentierte IT-Sicherheitsexperte Mikko Hypponen von der Firma WithSecure.
Wie kann es zu so etwas kommen?
Normalerweise werden solche Updates auf Herz und Nieren getestet, bevor sie breit ausgespielt werden. Crowdstrike wird nun erklären müssen, wieso ein ganz offensichtlich schwerwiegender Fehler in der Software übersehen wurde. In der Vergangenheit hatte es bereits Fälle gegeben, in denen Website verschiedener Anbieter wegen Problemen bei einem Software-Dienstleister nicht mehr erreichbar waren. Der Ausfall von Freitag hatte aber wesentlich größere Ausmaße.
Wieso hat ein Fehler einer Firma so eine durchschlagende Wirkung?
In den vergangenen Jahren nahm die Konzentration im Software-Geschäft immer stärker zu, unter anderem durch Übernahmen. Große Konzerne mit vielen Kunden können viel effizienter wirtschaften - und den Preisdruck auf kleinere Rivalen verstärken. Wenn sie zudem innovative Technologien wie Crowdstrike entwickeln, sind einige wenige Player plötzlich allgegenwärtig und werden von sehr vielen Firmen verwendet.
Ist das nicht riskant, wie die Probleme nun zeigen?
Definitiv - und es gab auch immer wieder mahnende Stimmen. So warnte Oxford-Forscher Brian Klaas in seinem Buch „Fluke“, dass diese bis ins letzte Detail auf Kosten optimierten und weltweit vernetzten Systeme ein potenziell katastrophales Risiko darstellten. Und ein Alarmsignal war bereits der Hack des Software-Dienstleisters SolarWinds: Über Programme des Wartungs-Spezialisten gelangten 2019 Angreifer in Systeme seiner zahlreichen Kunden, zu denen unter anderem auch US-Behörden gehören.
Vor der Abhängigkeit von wenigen IT-Anbietern warnt auch Eco-Vorstand und Sicherheitsexperte Norbert Pohlmann: „In unseren IT-Systemen und -Infrastrukturen wird zunehmend mehr Software von Drittanbietern genutzt. Damit lässt sich zwar die Geschwindigkeit der Digitalisierung erhöhen, aber gleichzeitig steigen damit auch die Abhängigkeit und Risiken werden größer, wie das aktuelle Beispiel zeigt. Aus diesem Grund müssen Anwenderfirmen ihre Abhängigkeit von Software-Zulieferern klar identifizieren und deren IT-Sicherheit deutlich mehr in den Fokus stellen.“ ■