CrowdStrike - Wie ein Tech Gigant die Welt lahmlegte

CrowdStrike - Wie ein Tech Gigant die Welt lahm lag.

(Quelle: CrowdStrike.com)

CrowdStrike das Unternehmen hinter dem Vorfall

Die Geschichte von CrowdStrike beginnt im Jahre 2011 mit der Gründung des Unternehmens von George Kurtz und Dmitri Alperovitch mit der Vision Cybersecurity mithilfe der Cloud zu revolutionieren. Dieser innovative Ansatz brauchte den Gründern viel Aufmerksamkeit. Nicht zuletzt von wichtigen Investoren wie Google, welche 2015 in die Firma investiert hatten.

In Jahre 2013 veröffentlichte CrowdStrike ihr erstes Produkt Falcon.

Falcon setzte auf eine "Cloud-native" Architektur. "Cloud-native" im Bezug auf CrowdStrike bedeutet einfach das Daten von Bedrohungen in der Cloud analysiert und verarbeitet werden, statt auf Lokalen Geräten. Dies hat den Vorteil einfachere Updates, effizientere Wartung und eine schnelle Reaktion auf neue Cyberbedrohungen. Falcon ist bis heute das Hauptprodukt von CrowdStrike und somit ihr Brot und Buttergeschäft. Obwohl die genauen Prozentzahlen nicht angegeben sind, kann man schätzen das Falcon den Großteil des Gewinnes von CrowdStrike ausmacht. Falcon ist also ein wahrer Erfolg für das Unternehmen mit einer steilen Zukunft, die Betonung liegt auf Steil.

Heute ist CrowdStrike die zweit größte Cybersecurityfirma der Welt mit einem Unternehmenswert von 100 Milliarden USD. Mit ihren Partnern wie Google Cloud, AWS oder Intel spielt CrowdStrike eine wichtige Rolle in all unseren Alltage auch ohne das wir es so richtig wissen.

Was passierte am 19. Juli 2024

Am 19.07.2024 um 04:09 UTC veröffentlichte CrowdStrike ein Sensorkonfigurationsupdate für das Windows-System. Für alle nicht ITler hier die kurze Erklärung: Ein Sensorkonfigurationsupdate ist eine cloudbasierte Aktualisierung für Sicherheits-Sensoren wie CrowdStrikes Falcon, die neue Erkennungsmechanismen implementiert, um Bedrohungen effektiver zu identifizieren und abzuwehren. Dieses Sensorkonfigurationsupdate enthielt ein Logikfehler in der Channel File 291.
Channel Files sind Konfigurationsdateien, die festlegen, wie der Falcon-Sensor Bedrohungen erkennt und darauf reagiert. Das fehlerhafte Channel File 291 sollte verdächtige Aktivitäten in Windows-Kommunikationsprozessen sogenannte "Named Pipes" überwachen, enthielt aber einen fatalen Programmierfehler. Dieser Fehler wurde von der internen Prüfungskomponente dem Content-Validator übersehen und führte dazu, dass der Falcon-Sensor falsche Speicherbereiche ansprach, was Windows abstürzen ließ und zum Blue Screen of Death führte.
Um 05:27 UTC setzte CrowdStrike das Sensorkonfigurationsupdate zurück, sodass die fehlerhafte Version mit der alten Version ausgetauscht wurde, und den Fehler somit behob.
Um 09:45 UTC bestätigte der CrowdStrike-CEO George Kurtz, dass der Fix bereitgestellt wurde und versicherte, dass das Problem nicht das Ergebnis eines Cyberangriffs war, wie viele zu Anfang vermutet hatten.

(Quelle: Computerwoche)

Die Auswirkungen des Vorfalls

Die Auswirkungen des Vorfalls waren Fatal. Etwa 8,5 Millionen Windows-Systeme waren betroffen. Das führte dazu das Branchen wie die Luftfahrt, Finanzdienstleister, Gesundheitswesen und viele weitere massive Probleme bei ihrer Arbeit hatten.
So berichtete Delta Airlines eine Störung von 7.000 Flügen und 1,3 Millionen betroffene Kunden im Zeitraum von 5 Tagen. Krankenhäuser und Kliniken mussten Termine absagen und hatten einen erschwerten Zugang zu den Patientenakten. Banken konnten keine Transaktionen verarbeiten, Kunden hatten kein Zugang zu ihren Konten.
Schätzungen gehen von einem weltweiten finanziellen Schaden in hohe von etwa 10 bis 15 Milliarden Dollar aus. Für CrowdStrike war der Vorfall ein Desaster, nicht nur hat das Unternehmen an Reputation verloren, sondern auch an Unternehmenswert. Die Aktie von CrowdStrike fiel an dem Tag um fast 20 % und in den darauffolgenden Tagen um 32 %, was ein Unternehmenswert Verlust von 25 Milliarden bedeutet.
Das Bundesamt für Sicherheit in der Informationstechnik schrieb eine Bedrohungsstufe 3 für den Vorfall aus. Bedrohungsstufe 3 oder auch Orange genannt bedeutet, dass die IT-Bedrohungslage geschäftskritisch ist und eine massive Beeinträchtigung des Regelbetriebs herrscht. Das BSI hat im gleichen Atemzug das Gespräch mit CrowdStrike und Microsoft gesucht, um Folgemaßnahmen zu entwickeln zum Beispiel die Beurteilung der Softwareentwicklungsprozesse durch unabhängige Dritte.

(Quelle: Der Spiegel)

Was können wir aus dem Vorfall lernen?

Der Vorfall vom 19.07. zeigt die Wichtigkeit von Notfallplänen in der Cybersecurity um schneller und effektiver auch solche Probleme zu reagieren. Auch eine Diversifizierung durch mehr Cybersecurityanbieter kann helfen das Risiko zu minimieren. Ein weiterer wichtiger Punkt ist die Regelmäßige Testung der Programme auf Fehler oder andere Sicherheitslücken. Als Gesellschaft müssen wir kritisch hinterfragen, ob unsere Daten sicher im Falle eines Ausfalls oder auch einem Angriff. Uns scheint es oft so als könnten wir solche Faktoren schwer steuern, da wir ja von diesen Cybersecurityfirmen abhängig sind, jedoch ist es unsere Entscheidung welche Daten wir ihnen geben und wo wir sie speichern. Der Vorfall repräsentiert besonders diese Abhängigkeit.
Nun ja, für George Kurtz war dieser Vorfall nichts Neues, denn als Chief Technical Officer kurz CTO von McAfee erlebte er am 21. April 2010 ein ähnlicher Vorfall. Um 14 Uhr UTC kam ein Update von McAfee welches den Windows Service svchost.exe entfernt hatte, dies führte dazu, dass viele Windows Computer sich die ganze Zeit selber neu starteten und somit ein "Bluescreen of Death" anzeigten. Man könnte also sagen Kurtz erlebt hier ein Déjà-vu.
Vielleicht lernt er ja aus diesem Fehler.

Über den Verfasser:

Pain aka Erick (19) ist Schüler,

begeisterter Club Mate-Connaisseur

und baldiger BWL-Student.

Seit dem 9. Mai 2021 ist er

Mitglied der EGM-Community.