Hardware & Software CrowdStrike löst weltweit Produktionsstopp aus

Du musst Regestriert sein, um das angehängte Bild zusehen.

Der Sicherheitsanbieter CrowdStrike hat in einer nächtlichen Aktion zahlreiche Unternehmen weltweit lahmgelegt.
Dies geschah aufgrund eines Fehlers im Windows-Kerneltreiber des Anbieters, der dazu führte, dass die Computer mit einem Bluescreen nicht mehr hochfuhren.

Während CrowdStrike selbst größtenteils schweigt und direkt mit den Kunden kommuniziert, äußern sich Nutzer auf Plattformen wie Hackernews und Twitter verärgert, da sie keinen Schadenersatz in Millionenhöhe fordern können und dadurch weniger Aufmerksamkeit von CrowdStrike erhalten.

Temporärer Fix für das CrowdStrike BSOD-Problem​

Anwender berichten, dass sie ihre Systeme erfolgreich "repariert" haben, indem sie die folgenden Schritte befolgten:

• Nachdem der Rechner einen Bluescreen hatte, startete er im Wiederherstellungsmodus
• Den Button "Troubleshoot" (oder das entsprechende deutsche Äquivalent) drücken
• Advanced Options
• Command Prompt
• move C:\Windows\System32\drivers\CrowdStrike C:\Windows\System32\drivers\Crowdstrike.broken

Die offizielle Lösung von CrowdStrike erfordert ebenfalls manuelle Eingriffe und ähnelt stark diesem Vorgehen.
Dabei sollte der Kernel-Treiber gelöscht werden, wobei manuell nach der fehlerhaften Datei gesucht werden muss.

Fragen zur Ursache​

Wie so oft tauchen Fragen nach dem Warum auf.
Es gibt Spekulationen von einem ungetesteten Update bis hin zu einer Kompromittierung des Anbieters.
Bisher gibt es jedoch keine verlässlichen Informationen zu diesen Vermutungen und sie sollten daher nicht weiter beachtet werden.

SPoF und die Risiken von Kerneltreibern​

Sei es ein Kernel-Level Anticheat, Antivirenprogramme oder ein Trojaner - wenn ein Treiber Zugriff auf den Kernel hat, muss er zuverlässig funktionieren.
Insbesondere im Serverumfeld stellt sich die Frage, ob eine traditionelle Lösung mit Firewall und abgesicherten Diensten nicht vorzuziehen ist.
Zumindest für dieses CrowdStrike-Update wurde die Frage eindeutig beantwortet.
Ob ein Lösungsansatz grundsätzlich besser ist als ein anderer, lässt sich jedoch nicht eindeutig klären.
Der Autor muss nun zurück an die Arbeit, um einige Laptops neu zu starten.

Update - 11:57 Uhr: In einer Erklärung gegenüber der BBC betont der CEO, dass es sich nicht um einen Angriff oder ein Sicherheitsproblem handelt.

 

[hackbert9891]

Ob das wieder einmal aufzeigen soll wie verletztlich das Netz ist??

 

[edgonzo]

Vor allem, wie Abhängig alles vom Netz ist.
Ich finde es schon beängstigend, was alles daran hängt.

 

[gonzo156]

Wir waren in Memmingen am Flughafen, der Flieger hatte zwei Stunden Verspätung und ich konnte kein Geld am Automaten abheben. Jetzt weiss ich wieso. Es gab keinerlei Auskunft, von keiner Seite.

 

[Dunkler Saftanwender]

Habs grad gelesen. Der BBC nach, warens Freitag Abend WW schon über 4000 Flüge.

 

[edgonzo]

Update

UKSH fordert Schadensersatz von Crowdstrike nach Systemausfall​

Nach den globalen Störungen am Freitag, die durch ein fehlerhaftes Update des Sicherheitsunternehmens Crowdstrike verursacht wurden, können die betroffenen Kunden langsam wieder zur Normalität zurückkehren.
Jetzt stellt sich die Frage nach dem finanziellen Schaden, der durch Verdienstausfälle, Produktionsausfälle und anderen Faktoren entstanden ist.
Das Universitätsklinikum Schleswig-Holstein (UKSH) tritt nun als erster Betroffener in die Öffentlichkeit.

Der Klinikbetrieb in Kiel und Lübeck wurde schwer beeinträchtigt.
Insgesamt waren 9.000 Windows-Rechner zeitweise nicht einsatzbereit, 137 Operationen mussten abgesagt werden (70 in Kiel, 67 in Lübeck) und die Notaufnahmen in beiden Standorten waren stundenlang nicht funktionsfähig (9 in Kiel, 5 in Lübeck).
Seit Montag läuft der Normalbetrieb wieder, nachdem die IT-Experten den Crowdstrike-Client entfernt und defekte Systemdaten repariert haben, um die betroffenen Systeme wieder zum Laufen zu bringen.

Obwohl der entstandene finanzielle Schaden noch geprüft wird und Ersatzansprüche gegen Crowdstrike geltend gemacht werden sollen, plant das UKSH weiterhin die Nutzung der Software. Jens Scholz, Vorstandsvorsitzender des UKSH, betont, dass man sich an den Empfehlungen des Bundesamts für die Sicherheit in der Informationstechnik (BSI) orientiert, die Crowdstrike als beste Lösung zur Abwehr von Hackerangriffen empfehlen.
Dieser Vorfall ändert daran nichts.

Es bleibt abzuwarten, ob das BSI nach diesem Vorfall seine Empfehlungen überdenken wird.
Es ist deutlich geworden, dass selbst kritische Infrastrukturen wie das UKSH von solchen Ausfällen betroffen waren, obwohl wir besonders darauf bedacht sind, sie zu schützen.

 

[rassehase]

Ich mein, da kann ich jeden voll verstehen wenn durch so einen Fehler ein Schaden entstanden ist und das man diesen dann auch einklagen kann/muss.
Aber wo steckt man das ganze dann ab bzw. wie kann man jeden einzelnen Fall überprüfen (es betraf Millionen Computer) bevor „falsche“ Leute auf den Trichter kommen, auch einen angeblichen Schaden zu melden ….

 

[edgonzo]

Ich denke mal dass das alles Protokoliert wird, zumindest in den Firmen die betroffen sind.
Wenn ich es richtig verstanden habe, sind es nur die Windows Server Systeme und die damit verbundenen Computer mit Windows betroffen.