Lehren aus dem CrowdStrike-Vorfall – Ein Kommentar

Gemeinsam mit meinen Co-Autoren Vanessa Chamera und Martin Bodenstein habe ich einen Kommentar zum CrowdStrike Vorfall für Springer Gabler verfasst. Der Vorfall hat weltweit gezeigt, wie anfällig IT-Systeme trotz umfassender Sicherheitsmaßnahmen sein können und warum Backups oft die letzte Rettung sind. 

Backups als letzte Bastion

Am 19.07.2024 stand die Welt aufgrund eines fehlerhaften Updates des Software-Unternehmens CrowdStrike für einige Betriebe still.

Obwohl Unternehmen heutzutage umfangreiche IT-Sicherheitsmaßnahmen implementieren, sind selbst die besten Firewalls und Antivirenprogramme sowie auch die organisatorischen Prozesse im Hintergrund nicht unfehlbar. Menschliches Versagen und technische Fehler können nicht vollständig ausgeschlossen werden. In solchen Fällen kann ein gut geplantes Backup-Konzept die letzte Rettung sein.

Der Vorfall vom 19. Juli 2024, als ein fehlerhaftes Update des Software-Unternehmens CrowdStrike weltweit für Ausfälle sorgte, hat die Notwendigkeit einer soliden Backup-Strategie schmerzhaft ins Gedächtnis gerufen. Unternehmen, die über zuverlässige Backups verfügten, konnten ihre Systeme auf den Zustand vor dem Update zurücksetzen und den Betrieb schnell wieder aufnehmen. Doch viele Unternehmen unterschätzen immer noch die Bedeutung regelmäßiger Backups und effektiver Notfallwiederherstellungspläne.

Ein Sicherheitsupdate mit katastrophalen Folgen

CrowdStrike ist ein führendes Softwareunternehmen, das branchenübergreifend IT-Sicherheitslösungen anbietet. Ziel dieser Lösungen ist es, das Risiko von Ausfällen zu minimieren und IT-Systeme vor Bedrohungen zu schützen. Doch ein fehlerhaftes Update ihrer Schutzsoftware „CrowdStrike Falcon“[1] führte dazu, dass Millionen von Computern weltweit lahmgelegt wurden. Das Update verursachte einen „Blue Screen of Death“ (BSOD) auf zahlreichen Windows-Systemen, was dazu führte, dass viele Unternehmen, darunter auch kritische Infrastrukturen wie Flughäfen und Krankenhäuser, zeitweise stillstanden.

Eine fehlerhafte Datei, die in den frühen Morgenstunden des 19. Juli 2024 veröffentlicht und in die IT-Systeme eingespielt wurde, war für das Chaos verantwortlich. Betroffene Systeme mussten manuell zurückgesetzt werden, um den Betrieb wieder aufzunehmen. Unternehmen, die keine aktuellen Backups hatten, waren gezwungen, auf zeitaufwändige Workarounds zurückzugreifen, die die Wiederherstellung des Normalbetriebs erheblich verzögerten. Entstandene Finanz- und Reputations-Schäden waren enorm.

Ähnliche Vorfälle aus der Vergangenheit

Der CrowdStrike-Vorfall ist nicht der erste seiner Art, bei dem IT-Systeme durch Softwareprobleme oder Cyberangriffe großflächig beeinträchtigt wurden. Ein Blick auf ähnliche Vorfälle zeigt, wie wichtig es ist, auf solche Eventualitäten vorbereitet zu sein:

• Microsoft Exchange-Ausfall (März 2021): Ein fehlerhafter Patch [2] führte zu massiven Ausfällen in E-Mail-Systemen weltweit. Unternehmen, die gut vorbereitet waren und über aktuelle Backups verfügten, konnten ihre Systeme schnell wiederherstellen und die Ausfallzeiten minimieren. Dieser Vorfall unterstreicht erneut, wie kritisch es ist, Backup- und Wiederherstellungspläne zu haben, um den Betrieb aufrechtzuerhalten.
  
• SolarWinds-Hack (Dezember 2020): Ein Cyberangriff, der über ein Update der SolarWinds-Software eingeschleust wurde, führte zu weitreichenden Sicherheitsvorfällen. Viele Unternehmen und Behörden waren betroffen, was zeigt, dass selbst vertrauenswürdige Softwareanbieter ein Risiko darstellen können. Auch hier waren Backups oft die letzte Verteidigungslinie, um Systeme wiederherzustellen und weitere Schäden zu verhindern.
  
• GitLab Datenverlust (2017): GitLab erlitt einen massiven Datenverlust, der durch ein fehlgeschlagenes Backup noch verschärft wurde. Dieses Ereignis verdeutlicht, dass auch professionelle Anbieter Fehler machen können, was die Bedeutung von sorgfältig geplanten und regelmäßig getesteten Backup-Strategien noch einmal unterstreicht.
  

Backups als essenzielle Sicherheitsmaßnahme

Der CrowdStrike-Vorfall zeigt deutlich, dass regelmäßige Updates und das einhergehende, professionelle Patch-Management zwar wichtig sind, aber nicht ausreichen. Selbst die geeignetsten Maßnahmen können fehlschlagen und in solchen Fällen sind Backups die letzte Verteidigungslinie. Ein umfassender Notfallwiederherstellungsplan, der regelmäßige und geprüfte Backups umfasst, ist unerlässlich, um den Geschäftsbetrieb nach einem Vorfall schnell wiederherstellen zu können.

Notfallwiederherstellungspläne: Schnelle Reaktion in Krisensituationen

Notfallwiederherstellungspläne (Disaster-Recovery-Pläne) sind entscheidend, um die Auswirkungen eines IT-Ausfalls zu minimieren. Sie beschreiben die Prozesse und Verantwortlichkeiten für die Wiederherstellung kritischer Systeme und Daten. Ein wichtiger Bestandteil dieser Pläne sind regelmäßige simulierte Krisenübungen, um sicherzustellen, dass alle Beteiligten wissen, wie im Ernstfall zu handeln ist.

Ein gut gepflegtes Backup ist der einfachste Weg, verlorene Daten oder defekte Systeme wiederherzustellen. Je nach Risikobewertung und Ressourcen des Unternehmens kann eine Backup-Strategie von einfachen Daten-Backups bis hin zu redundanten IT-Infrastrukturen reichen, die im Ernstfall schnell aktiviert werden können. Unternehmen sollten, entsprechend der Kritikalität und Anforderungen an die Verfügbarkeit, dabei zwischen „kalten“ (Cold Site), „warmen“ (Warm Site) und „heißen“ (Hot Site) Backup-Umgebungen wählen.

Eine kalte Umgebung deckt die grundlegende Infrastruktur ab, um Betriebsabläufe wieder aufzunehmen. Die Wiederherstellungszeit kann in dem Fall länger dauern. Eine warme Umgebung verfügt darüber hinaus beispielsweise über vorinstallierte Systeme, während eine heiße Umgebung nahezu alles bietet, um den Geschäftsbetrieb zeitnah wieder aufzunehmen. Bei der Entscheidung darüber, welche Umgebung sinnvoll ist, müssen Risiken und Kosten abgewogen werden.

Prävention durch die richtige Backup-Strategie

In der heutigen dynamischen Cyberwelt ist es entscheidend, dass Unternehmen ihre Backup-Strategien regelmäßig überprüfen und anpassen. Eine durchdachte Backup-Strategie beginnt mit der Identifizierung kritischer Daten und der Auswahl geeigneter Speichermedien. Ebenso wichtig ist es, den Backup-Zyklus an Systemänderungen anzupassen und sicherzustellen, dass Backups selbst durch IT-Sicherheitsmaßnahmen geschützt sind. Regelmäßige Tests der Backup-Routinen sind unerlässlich, um sicherzustellen, dass sie im Ernstfall reibungslos funktionieren.

Der CrowdStrike-Vorfall zeigt, dass selbst bei sorgfältig geplanten Updates unvorhergesehene Probleme auftreten können. Deshalb sollte jede Backup-Strategie so konzipiert sein, dass sie die schnelle Rücksetzung auf eine funktionsfähige Vorversion (engl. Rollback) ermöglicht, falls ein Update fehlschlägt.

Lessons Learned und Empfehlungen

In Deutschland und Europa hat dieser Vorfall die Diskussion über die Cybersicherheit und die Verantwortung von Unternehmen weiter befeuert, insbesondere im Hinblick auf neue EU-Vorschriften wie die NIS2-Richtlinie, die die Anforderungen an IT-Sicherheit erheblich verschärfen wird. Unternehmen müssen nun verstärkt sicherstellen, dass ihre Systeme robust sind und dass Sicherheitsmaßnahmen regelmäßig überprüft und angepasst werden.

CrowdStrike hat aus dem Vorfall gelernt und angekündigt, zukünftige Updates schrittweise auszurollen, um die Kontrolle über auftretende Fehler zu verbessern und die Tragweite solcher Ausfälle zu minimieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert zudem, dass Softwareanbieter sicherstellen müssen, dass Systeme bei gravierenden Fehlern in einem abgesicherten Modus starten können.

Für Unternehmen lassen sich folgende Empfehlungen ableiten:

• Testumgebung: Updates sollten in einer geschützten, abgeschotteten Offline-Umgebung („Sandbox“) getestet werden, um potenzielle Probleme frühzeitig zu erkennen.
  
• Automatisierte Updates vermeiden: Statt automatisierte Updates zuzulassen, sollten diese manuell überprüft und kontrolliert angewendet werden.
  
• Rollback-Strategien: Es ist wichtig, vorbereitete Rollback-Strategien zu testen und bei Problemen schnell umzusetzen.
  
• Gestaffelte Updates: Updates sollten gestaffelt auf verschiedenen Systemen durchgeführt werden, um das Risiko flächendeckender Ausfälle zu minimieren.
  

Abschließend lässt sich festhalten, dass Backups weit mehr umfassen als nur die Speicherung von Daten. Sie sind ein essenzieller Bestandteil eines umfassenden IT-Sicherheitskonzepts, das Notfallwiederherstellungspläne, IT-Sicherheitsmaßnahmen nach anerkannten Standards und in manchen Fällen sogar redundante IT-Infrastrukturen umfasst.

Quellen und weitere Leseempfehlungen:

[1] Crowdstrike Falcon ist eine Endpoint Detection and Response (EDR) Software, die zur Abwehr von Cyberbedrohungen auf Endgeräten (PCs, Laptops, Tablets, Smartphones, Server) genutzt wird. Eine solche EDR-Software überwacht und analysiert das Verhalten der Endgeräte, um potenziell verdächtiges Verhalten zu erkennen. Bei Auffälligkeiten können automatisierte Reaktionen zur Abwehr ausgelöst werden, wie beispielsweise die Isolierung des betroffenen Geräts.

[2] Ein „Patch“ ist ein Software-Update, das Fehler behebt oder Sicherheitslücken schließt, um die Software sicherer und stabiler zu machen.

Weitere Details zu Präventionsmöglichkeiten, Notfallwiederherstellungsplänen, Datensicherungsstrategien, Arbeitshilfen und Vorlagen finden Sie in unserem Buch: 

Datensicherung als Teil der IT- und Cybersecurity

➛

Mehr Lesen

Über die Co-AutorInnen

Vanessa Chamera absolvierte ihren Master in Economic Policy Consulting (M. Sc.) an der Ruhr-Universität Bochum und sammelte anschließend Berufserfahrung im Bereich IT-Sicherheit. Neben ihrer Arbeit in der Digitalen Forensik spezialisierte sie sich auf die Analyse von Informationssicherheitsmaßnahmen zur Risikoprävention.
➡️LinkedIn

Martin Bodenstein ist Diplom-Informatiker (univ.), MBA mit Berufserfahrung im Bereich IT-Service-, Security- und Projekt-Management. Mit forensischem Know-how als Basis ist der Kern seiner Expertise die kontinuierliche Weiterentwicklung und professionelle Härtung von Information Security Maßnahmen. 
➡️LinkedIn