CrowdStrike – Wie ein fehlerhaftes Update weltweiten Schaden anrichtete

Am Wochenende wurde in den Nachrichten auf weltweite Computer- und Server-Ausfälle in unterschiedlichsten Branchen hingewiesen. Dabei fiel immer wieder der Name des Unternehmens „CrowdStrike“ und es wurde erklärt, dass ein fehlerhaftes Update die Probleme verursachte. Doch was ist da im Detail passiert? Ich habe mich in die Sache eingelesen und biete euch in diesem Beitrag eine Zusammenfassung. Am Ende wisst ihr, wer oder was CrowdStrike ist, was es mit dem Update auf sich hat und wie es binnen kurzer Zeit weltweit zum Chaos kam.

Weltweit sorgte das fehlerhafte CrowdStrike-Update ab dem 19. Juli 2024 für den "Bluescreen of Death", der für abgestürzte Windows-Systeme steht. (Quelle: Wikimedia | User: Smishra1 | Lizenz: CC BY-SA 4.0)
Weltweit sorgte das fehlerhafte CrowdStrike-Update ab dem 19. Juli 2024 für den „Bluescreen of Death“, der für abgestürzte Windows-Systeme steht. (Quelle: Wikimedia | User: Smishra1 | Lizenz: CC BY-SA 4.0)

Wer oder was ist CrowdStrike?

Das Unternehmen CrowdStrike mit Sitz in Austin, Texas, USA wurde 2011 gegründet, unter anderem von George Kurz. Dieser war bis 2010 der Geschäftsführer von McAfee, einem Anbieter für Anti-Malware-Software und Cybersicherheit-Lösungen. CrowdStrike bietet Sicherheitslösungen für Unternehmen sowie staatliche / behördliche Einrichtungen an, um diese vor Cyberangriffen, Hacks und Schadsoftware zu schützen. Zudem wird ein Reaktionsdienst gestellt, falls ein Angriff abgewehrt werden muss. Das Unternehmen klärt zudem Angriffe auf, wie etwa den Hack von Sony Pictures Entertainment in 2014.

Was hat es mit dem Update vom 19. Juli 2024 auf sich?

Am Freitagmorgen (6:09 Uhr mitteleuropäischer Sommerzeit) rollte CrowdStrike ein Update für seine „Falcon“-Plattform auf Windows-PCs aus. Da die Falcon-Sensor-Software auf dem Kernel-Level der Computer agiert, können Fehler hier den Systemstart betreffen. Denn der Kernel ist die erste aktive Instanz nach dem Einschalten eines Computers, er lädt die notwendigen Treiber sowie das Betriebssystem.

Die CrowdStrike Sicherheitssoftware agiert auf dem Kernel-Level, um z. B. Bootkits abzuwehren. Da das CrowdStrike-Update fehlerhafte Dateien enthielt, wurden die betroffenen PCs und Server in einen Boot-Loop (Kreislauf aus andauernden Neustarts) versetzt oder im nicht für die reguläre Nutzung brauchbaren Wiederherstellungsmodus gestartet. Beides sorgte schließlich für das Chaos.

Ablauf des Vorfalls: Chronologie des CrowdStrike-Fehlers

Hier ein zeitlicher Ablauf des Vorfalls vom 19. Juli 2024 – ohne Anspruch auf 100-prozentige Vollständigkeit oder Richtigkeit:

  • 4:09 Uhr UTC / 6:09 Uhr MESZ: Das Update für das Falcon-Softwarepaket wird ausgespielt und auf Millionen Windows-PCs weltweit installiert. Das führte in den meisten Fällen direkt zu Boot-Loops, dem Starten im Wiederherstellungsmodus oder zum „Bluescreen of Death“. Auch virtuelle Computersysteme in Microsofts Azure-Cloud waren direkt betroffen.
  • 5:27 Uhr UTC / 7:27 Uhr MESZ: CrowdStrike zieht das Update zurück und ersetzt die fehlerhaften Bestandteile gegen regulär funktionierende Dateien.
  • 6:48 Uhr UTC / 8:48 Uhr MESZ: Google meldet, dass auch virtuelle Maschinen in der „Google Compute Engine“ von dem Fehler betroffen waren / sind.
  • 9:45 Uhr UTC / 11: 45 Uhr MESZ: Der CrowdStrike-CEO George Kurz teilt über X (vormals Twitter) mit, dass ein Fix für das fehlerhafte Update bereitgestellt wurde. Darin zeigt er auch auf, dass nur Windows-PCs und keine Computer mit macOS oder Linux betroffen seien (ChromeOS war ebenfalls nicht betroffen). Zudem teilt er mit, dass es sich nicht um ein Sicherheitsleck oder einen Cyberangriff gehandelt hat.
  • Folgende Stunden und Tage: Die Wiederherstellung des betrieblichen Ablaufs wurde in betroffenen Bereichen durch mehrere Faktoren erschwert. Deshalb dauerte die Rückkehr zum weltweit gewohnten Ablauf in unterschiedlichen Branchen teils das ganze Wochenende; oder dauert sogar weiterhin an.

Wodurch wurde die Lösung des CrowdStrike-Problems erschwert?

Da einzelne Computer und Server durch das fehlerhafte Update in einen Status versetzt wurden, der nicht aus der Ferne oder durch einen Netzwerkbefehl behoben werden konnte, mussten sie händisch reaktiviert werden. Millionen einzelne Computer und Server wieder zum Laufen zu bekommen, den CrowdStrike-Fix zu installieren und dann das reguläre Funktionieren des Systems zu sichern, dauert natürlich seine Zeit.

Da es als Sicherheitsmaßnahme in Unternehmen üblich ist, den unter Windows angebotenen BitLocker (ähnlich FileVault unter macOS) zu aktivieren, der zur Speicherverschlüsselung gegen Fremdzugriffe dient, wurde das Wiederherstellungsverfahren zusätzlich erschwert. Denn teilweise lagen die für den Zugriff nötigen Schlüssel-Codes auf Servern, die ebenfalls durch das fehlerhafte Sicherheitsupdate ihren Dienst versagten. 

Welche Branchen waren im Detail betroffen?

Weltweit waren mehrere Branchen und Konzerne betroffen, darunter auch kritische Infrastruktur. Microsoft meinte nach ersten Schätzungen, dass rund 8,5 Millionen Geräte betroffen waren. CrowdStrike gab an, dass das Unternehmen zur Zeit des Vorfalls rund 24.000 Kunden in 170 Ländern habe – darunter etwa 60% der sogenannten Fortune 500 und etwa die Hälfte der Fortune 1.000. Zur Zeit des fehlerhaften Updates waren Asien und Ozeanien mitten im Arbeitstag, in Europa war es früher Morgen und auf den amerikanischen Kontinenten gab es ein böses Erwachen. Der Schaden soll im Milliardenbereich liegen.

Betroffene Branchen waren dabei Flughäfen und Flugunternehmen, die Finanzbranche u. a. mit mehreren Banken und Börsen, staatliche Einrichtungen und Systeme, Straßen- und Schienenverkehrssysteme, der Gesundheitsbereich u. a. mit Krankenhäusern und Rettungsdiensten, Kommunikationsdienste, Medien-Unternehmen und Sendeanstalten, der Einzelhandel und größere (Online-)Verkaufsplattformen sowie vereinzelt Häfen, Minen, Sicherheitsfirmen und Teslas Gigafactory Berlin-Brandenburg.

Wie konnte es zu dem fehlerhaften Update kommen?

Bugs, fehlerhafte Skripte und ähnliche Softwarefehler sind nichts Ungewöhnliches. Je spezieller und komplexer eine Software ist, desto wahrscheinlicher ist es, dass sich während der Erstellung Fehler einschleichen. Jedoch muss ein Update für eine Kernel-Erweiterung, die weltweit auf Abermillionen von Geräten installiert werden soll, ausnahmslos funktionieren. Warum hat das CrowdStrike-Update vom 19. Juli 2024 also nicht funktioniert?

Der genaue Fehler konnte zwar recht schnell ermittelt und deshalb auch binnen kurzer Zeit ein Fix angeboten werden. Doch hätte es gar nicht erst so weit kommen dürfen. Es wird deshalb angenommen, dass entweder aus zu viel Routine oder aus Zeitdruck der Test des Updates in einer Sandbox-Umgebung ausgespart wurde. Entweder war man bei CrowdStrike zu überzeugt von der eigenen Arbeit oder aufgrund eines einzuholenden Zeitplans zu unvorsichtig. Bestätigt ist das alles aber nicht.

Was sind die Folgen aus dem weltweiten Crash?

In den betroffenen Branchen sowie in der Fachbranche der IT-Sicherheit wird jetzt wahrscheinlich über mehr Diversifizierung von Systemen und Sicherheitsmaßnahmen nachgedacht. Auch wenn der Fehler nicht bei Microsoft oder dessen Betriebssystem Windows lag, so wird sicher dessen so breitflächige Verwendung hinterfragt. CrowdStrike als Verursacher des Problems hat bei vielen mit Sicherheit seinen Vertrauensvorschuss verloren, sodass man sich nach Alternativen umsieht. Ein Auflösen der Oligopole von Microsoft und CrowdStrike hieße, dass zukünftige Fehler weniger umfangreiche Probleme mit sich brächten.

Weltweiter Computer-Crash wegen fehlerhaftem CrowdStrike-Update: Nicht nur das Vertrauen in das Unternehmen für IT-Sicherheit ist im Keller, sondern auch die Aktie hat einen Absturz hinter sich.
Weltweiter Computer-Crash wegen fehlerhaftem CrowdStrike-Update: Nicht nur das Vertrauen in das Unternehmen für IT-Sicherheit ist im Keller, sondern auch die Aktie hat einen Absturz hinter sich.

Jetzt ist aber nicht nur die Zeit für die Betroffenen gekommen, sich nach Alternativen umzusehen. Die Anbieter dieser Alternativen werden sich höchstwahrscheinlich nicht lumpen lassen und sich zeitnah selber mit ihren Angeboten melden. Das wird dann auch betrügerische Subjekte auf den Plan rufen, die sich entweder als Anbieter für CrowdStrike-Alternativen ausgeben oder angebliche Entschädigungen für den verursachten Schaden anbieten. Sicher sind die ersten Phishing-Mails mit entsprechenden Inhalten bereits unterwegs. Was rechtliche Folgen für CrowdStrike oder gesetzliche Maßnahmen für die IT-Sicherheit angeht, kann man noch nichts sagen.

Technisch gesehen werden sicherere Update-Vorgehen gefordert – etwa ein doppelter Test-Boot nach einer Aktualisierung. Der erste Neustart soll die neuen Inhalte implementieren, der zweite soll überprüfen, ob alles wie gewollt funktioniert. Tut es das nicht, soll ein Backup von vor dem Update starten. Mit dem Ganzen werden zudem Stimmen laut, die für mehr Anbieter im Cloud-Bereich plädieren. Denn das Angebot großer Cloud-Speicher- und Cloud-Computing-Angebote auf dem weltweiten Markt lässt sich ebenfalls auf ein paar wenige beschränken: Microsoft Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP).

Meine Quellen und weitere Infos

Wie eingangs erwähnt, so habe ich mich für diesen Beitrag in das Thema eingelesen. Natürlich behalte ich die verwendeten Quellen nicht für mich, sondern gebe sie euch für die eigene Recherche weiter:

  • „Technical Details: Falcon Content Update for Windows Hosts“ (CrowdStrike Blog): Hier
  • „REMEDIATION AND GUIDANCE HUB: FALCON CONTENT UPDATE FOR WINDOWS HOSTS“ (CrowdStrike Webseite): Hier
  • „How a software update from cyber firm CrowdStrike caused one of the world’s biggest IT blackouts“ (CNBC): Hier
  • Meldung von George Kurz auf X: Hier
  • „How a Routine CrowdStrike Update Crashed the World’s Computers“ (Bloomberg): Hier
  • „From ATMs to Flights, Epic IT Crash Leaves Trail of Chaos“(Bloomberg): Hier
  • „CrowdStrike’s Global Outage Doesn’t Have to Be a Recurring Nightmare“ (Kolumne von Parmy Olson bei Bloomberg): Hier
  • „2024 CrowdStrike incident“ (Wikipedia): Hier
  • „Crowdstrike-Computerausfall 2024“ (Wikipedia): Hier

Meine Tipps & Tricks rund um Technik & Apple

Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft unterstützen würdest.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Im Sir Apfelot Blog findest du Ratgeber, Anleitungen und Testberichte zu Apple Produkten wie iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini und Mac Studio.

Specials
Shopping
  •  
  •  

Meine Tipps & Tricks rund um Technik & Apple