Das fehlerhafte Update von CrowdStrike löste Chaos aus, indem es Geräte zum Absturz brachte und den gefürchteten Bluescreen-Fehler (BSOD) anzeigte, wodurch kritische Bereiche wie das Gesundheitswesen, das Bankwesen und die Luftfahrt an einigen Standorten zeitweise zum Erliegen kamen.
Das Ausmaß und die Schwere der Störung beweisen: Unsere vernetzten digitalen Ökosysteme sind anfällig. Krankenhäuser hatten massive Schwierigkeiten, auf Patientenakten zuzugreifen, Banken waren von Betriebsstörungen betroffen, und in Verkehrsnetzen kam es zu erheblichen Verspätungen und Ausfällen. Dieser Vorfall zeigt deutlich, dass eine einzige Softwarepanne eine globale Krise auslösen kann, die wichtige Dienste und Infrastrukturen beeinträchtigt.
Cyberchaos durch Update
Der CrowdStrike-Update-Vorfall betraf laut Microsoft weltweit etwa 8,5 Millionen Windows-Geräte. Die Störung hatte weitreichende Auswirkungen und führte zur Annullierung von über 2.000 Flügen in den USA sowie zahlreichen weiteren in Europa, einschließlich Deutschland. Dies verursachte erhebliche Verspätungen an großen Flughäfen wie Frankfurt und München, Passagiere mussten lange Wartezeiten in Kauf nehmen, und viele Flüge wurden gestrichen, wodurch Reisende und Fluggesellschaften das Chaos nur schwer bewältigen konnten.
Es handelte sich jedoch nicht um einen Cyberangriff, CrowdStrike bestätigte, dass der Fehler durch ein Inhaltsupdate für Windows-Hosts verursacht wurde. Das Unternehmen hat das Problem schnell behoben, doch der Vorfall unterstreicht die Notwendigkeit effizienter und effektiver Mechanismen zur Reaktion auf solche Zwischenfälle. Die Bedeutung umfassender Strategien zur Reaktion auf Vorfälle in IT-Umgebungen kann nicht genug betont werden. Bei solchen Störungen müssen Unternehmen in der Lage sein, betroffene Systeme schnell zu identifizieren, zu isolieren und zu reparieren, um Ausfallzeiten zu minimieren und die Kontinuität des Betriebs sicherzustellen.
In Zukunft für die Cybersicherheit besser gewappnet
Dieser Vorfall ist ein Weckruf für die Cybersicherheits-Community und verdeutlicht die Wichtigkeit eines umfassenden Asset-Managements, automatisierter Abhilfemaßnahmen und kontinuierlicher Überwachung, um ähnliche Vorfälle in Zukunft zu vermeiden. In einer zunehmend digitalen Welt sind die Stabilität und Sicherheit unserer IT-Infrastruktur wichtiger denn je.
Um solche Störungen zu bewältigen, sind folgende präventive Strategien wichtig:
Identifizierung und Priorisierung kritischer Assets: Stellen Sie vollständige Transparenz aller Assets und ihrer Kommunikationswege sicher, um betroffene Geräte schnell zu identifizieren und Störungen beheben zu können. Nutzen Sie Telemetriedaten und KI-gestützte Erkenntnisse, um die für die Betriebskontinuität und die öffentliche Sicherheit kritischen Assets zu priorisieren.
Implementieren Sie Rollback- und Backup-Mechanismen: Führen Sie umfassende Backups durch und stellen Sie sicher, dass die Systeme zu einem letzten bekannten guten Zustand zurückkehren können, um die Ausfallzeiten bei Zwischenfällen zu minimieren. Aktualisieren Sie regelmäßig die Sicherungsprotokolle für kritische Systemzustände und testen Sie sie gründlich.
Automatisieren Sie und weisen Sie die Verantwortung zu: Wiederherstellungsprozesse sollten nach Möglichkeit automatisiert werden, um die Effizienz zu steigern. Verwenden Sie eingebettete Workflows, um die Verantwortlichkeit für betroffene Assets zuzuweisen, den Fortschritt zu verfolgen und die Wirksamkeit der Wiederherstellung zu messen.
Verbessern Sie die Erkennungs- und Reaktionsfähigkeiten: Diversifizieren Sie die Erkennungsmechanismen in IT- und OT-Umgebungen und setzen Sie sowohl passive Überwachung als auch aktive Abfragen ein, um Richtlinienverletzungen und anomales Verhalten zu erkennen. Regelmäßiges Aktualisieren und Testen von Reaktionsplänen auf Vorfälle.
Fördern Sie die Zusammenarbeit mit der Industrie: Engagieren Sie sich für den Informationsaustausch und kooperative Strategien innerhalb und zwischen den Branchen, um neuen Bedrohungen einen Schritt voraus zu sein und Best Practices für die Cybersicherheit zu entwickeln.
Unternehmen benötigen robuste Lösungen, um Vorfälle effektiv zu bewältigen und sicherzustellen, dass die gesamte Angriffsfläche in Echtzeit verteidigt und verwaltet wird. Hochentwickelte Plattformen, wie die von Armis, statten Unternehmen mit den notwendigen Werkzeugen aus, um betroffene Geräte schnell zu identifizieren, zu priorisieren und zu bereinigen, wodurch Betriebsunterbrechungen minimiert werden. Es ist entscheidend, dass Unternehmen ihre Widerstandsfähigkeit gegenüber ähnlichen Vorfällen stärken und gleichzeitig die Sicherheit und betriebliche Kontinuität aufrechterhalten. Dies erfordert die kontinuierliche Sichtbarkeit, den Schutz und die Verwaltung aller kritischen Ressourcen und Assets.