{"id":2860,"date":"2024-07-24T11:14:15","date_gmt":"2024-07-24T09:14:15","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=2860"},"modified":"2024-11-04T08:32:07","modified_gmt":"2024-11-04T06:32:07","slug":"crowdstrike-debakel-wie-schutzen-wir-uns","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/crowdstrike-debakel-wie-schutzen-wir-uns\/","title":{"rendered":"Crowdstrike-Debakel: Wie sch\u00fctzen wir uns?"},"content":{"rendered":"\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"599\" src=\"https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/07\/Blue_screen_of_death_on_a_Dell_laptop2-1024x599.jpg\" alt=\"\" class=\"wp-image-2862\" srcset=\"https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/07\/Blue_screen_of_death_on_a_Dell_laptop2-1024x599.jpg 1024w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/07\/Blue_screen_of_death_on_a_Dell_laptop2-300x175.jpg 300w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/07\/Blue_screen_of_death_on_a_Dell_laptop2-768x449.jpg 768w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/07\/Blue_screen_of_death_on_a_Dell_laptop2-1536x898.jpg 1536w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/07\/Blue_screen_of_death_on_a_Dell_laptop2-2048x1197.jpg 2048w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Source: <a href=\"https:\/\/commons.wikimedia.org\/wiki\/File:Blue_screen_of_death_on_a_Dell_laptop.jpg\">https:\/\/commons.wikimedia.org\/wiki\/File:Blue_screen_of_death_on_a_Dell_laptop.jpg<\/a> (cropped)<\/figcaption><\/figure>\n\n\n\n<p>Ein schadhaftes Softwareupdate der Antimalware Software Falcon des Software-Herstellers Crowdstrike sorgte am vergangenen Freitag f\u00fcr einen der folgenschwersten IT-Ausf\u00e4lle der Geschichte. In zahlreichen Krankh\u00e4usern, Banken, TV-Stationen und Flugh\u00e4fen waren die Bildschirme pl\u00f6tzlich blau. Ein sogenannter \u201eBlue Screen of Death\u201c war das Einzige, was auf den Monitoren von rund 8,5 Millionen betroffenen Windows Endger\u00e4ten noch zu sehen war. Da Crowdstrike Unternehmen mit hohen Sicherheitsanforderungen mit ihrer Software beliefert, war die kritische Infrastruktur besonders stark betroffen. Die Folgen waren verheerend: Krankenh\u00e4user mussten Operationen verschieben, mehr als 5000 Fl\u00fcge mussten gestrichen werden. W\u00e4hrend viele Passagiere noch immer auf Flugh\u00e4fen rund um den Globus gestrandet sind und die technische Ursachenforschung noch nicht abgeschlossen ist, stellen sich Verantwortliche in Unternehmen, Beh\u00f6rden und anderen Institutionen die Frage, wie wir unsere Verwundbarkeit durch solche Vorf\u00e4lle in Zukunft verringern k\u00f6nnen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Ein Ausfall kann nie ausgeschossen werden<\/h2>\n\n\n\n<p>Allgemein k\u00f6nnen Risiken auf zwei unterschiedliche Arten verringert werden: Einerseits kann die Eintrittswahrscheinlichkeit eines negativen Ereignisses reduziert werden. Dazu z\u00e4hlen im konkreten Fall eine bessere Qualit\u00e4tssicherung bei den Softwareherstellern und eine bessere Qualifizierung der Produkte in der Lieferkette durch die nutzenden Unternehmen. Da die Wahrscheinlichkeit eines derartigen Vorfalls nie auf 0% gesenkt werden kann, m\u00fcssen andererseits die negativen Auswirkungen eines eingetretenen Ereignisses auf den Betrieb der Organisation abgeschw\u00e4cht werden. Dazu z\u00e4hlen das Betriebskontinuit\u00e4tsmanagement (business continuity management) und die Wiederherstellung nach einem Notfall (disaster recovery), die auch als BCM\/DR bezeichnet werden. Es geht hier zum Beispiel darum Redundanzen aufzubauen, sodass bei Ausf\u00e4llen alternative Systeme zur Verf\u00fcgung stehen.<\/p>\n\n\n\n<p>Die Europ\u00e4ische Union hat in den vergangenen Monaten zwei legislative Initiativen auf den Weg gebracht, die diese beiden Aspekte der Risikoreduktion adressieren und sowohl die Hersteller als auch die Nutzer von Software in die Pflicht nehmen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">NIS2-Richtlinie<\/h2>\n\n\n\n<p>Die NIS2-Richlinie, die in den EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umgesetzt werden muss (eine Einigung der Regierungsparteien steht in \u00d6sterreich noch aus), verpflichtet Unternehmen in besonders sensiblen Sektoren, Risikomanagementma\u00dfnahmen in Bezug auf die Sicherheit in der Lieferkette umzusetzen und Ma\u00dfnahmen zur Aufrechterhaltung des Betriebs und der Wiederherstellung nach einem Notfall zu definieren. &nbsp;Es geht, wie man am aktuellen Crowdstrike-Vorfall beobachten kann, nicht nur um das eigene Unternehmen, sondern auch um die Auswirkungen auf andere Unternehmen der kritischen Infrastruktur. Da kritischen Sektoren weit gefasst sind und direkt betroffene Unternehmen auch ihre Lieferanten in die Pflicht nehmen m\u00fcssen, ber\u00fchrt die NIS2-Richtlinie einen sehr gro\u00dfen Teil der europ\u00e4ischen Wirtschaft. Obwohl das nationale Gesetz noch ein Entwurf ist, haben Unternehmen 2024 stark in Cyber-Sicherheit investiert, um der Richtlinie gerecht zu werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Cyber Resilience Act<\/h2>\n\n\n\n<p>Der Cyber Resilience Act (CRA), der in den kommenden Wochen beschlossen und in etwa drei Jahren vollst\u00e4ndig in Kraft treten soll, wird die Hersteller von Software- und Hardwareprodukten neben der Behebung und Meldung von Schwachstellen und der Bereitstellung von Updates \u00fcber einen Zeitraum von f\u00fcnf Jahren auch zur Etablierung eines Qualit\u00e4tssicherungssystems f\u00fcr die Konzeption, Entwicklung, Endabnahme und Pr\u00fcfung von digitalen Produkten verpflichten. Da auch Importeure und H\u00e4ndler in die Pflicht genommen werden, sind auch Produkte von US-Herstellern wie Crowdstrike, die am europ\u00e4ischen Markt in Verkehr gebracht werden, von der EU-Verordnung betroffen. Software f\u00fcr die \u201eSuche, Entfernung und Quarant\u00e4ne von Schadsoftware\u201c ist als wichtiges Produkt der Klasse I und \u201eAngriffserkennungs- und\/oder -pr\u00e4ventionssysteme\u201c als wichtiges Produkt der Klasse II sogar explizit einer strengeren Konformit\u00e4tsbewertung unterworfen als Software mit geringerem Risiko. Bei Verst\u00f6\u00dfen drohen Strafen von bis zu 15 Millionen Euro oder 2,5% des globalen Umsatzes.<\/p>\n\n\n\n<p>Auch Microsoft wird sich um eine widerstandsf\u00e4higere Architektur ihres Betriebssystems Gedanken machen m\u00fcssen. Der Cyber Resilience Act klassifiziert n\u00e4mlich auch Betriebssysteme als wichtige Produkte der Klasse I. Um die Resilienz von Windows im Fall eines schadhaften Updates eines Drittanbieters zu erh\u00f6hen und die Verf\u00fcgbarkeit von Windows Endger\u00e4ten auch nach einem derartigen Vorfall zu gew\u00e4hrleisten, k\u00f6nnte Microsoft beispielsweise daf\u00fcr sorgen, dass fehlerhafte Kernel Treiber nach einem Neustart nicht mehr geladen werden, wobei zu beachten ist, dass dies nicht von Angreifern zur Deaktivierung des Sicherheitsprodukts missbraucht werden kann.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Wettbewerbsrecht<\/h2>\n\n\n\n<p>Wenn man nicht einzelne Unternehmen, sondern die Verwundbarkeit der gesamten Gesellschaft betrachtet, kann auch das Wettbewerbsrecht zur Reduktion von Risiken beitragen. Denn eine hohe Marktkonzentration f\u00fchrt dazu, dass von derartigen Vorf\u00e4llen viele Unternehmen gleichzeitig betroffen sind. Dass Monokulturen gro\u00dfe Risiken bedeuten, ist der Menschheit sp\u00e4testens seit der Gro\u00dfen Hungersnot in Irland zwischen 1845 und 1849 bekannt. Da Irland nur auf zwei Kartoffelsorten setzte, f\u00fchrten Ernteausf\u00e4lle zu gro\u00dfen Hungersn\u00f6ten. Durch den Anbau von unterschiedlichen Sorten, h\u00e4tten die Auswirkungen der Verbreitung von Pilzen ma\u00dfgeblich reduziert werden k\u00f6nnen. Microsoft sieht das als Marktf\u00fchrer naturgem\u00e4\u00df anders und macht ausgerechnet das Wettbewerbsrecht der Europ\u00e4ischen Union f\u00fcr den aktuellen Vorfall mitverantwortlich [1]. Denn Microsoft musste sich im Jahr 2009 nach einem Wettbewerbsverfahren gegen\u00fcber der Europ\u00e4ischen Kommission dazu verpflichten, Herstellern von Sicherheitssoftware den gleichen Zugang zum Betriebssystem zu gew\u00e4hren wie Microsoft Defender, der von Microsoft selbst angebotenen Software zur Erkennung von Schadsoftware. Dies ist insofern von Vorteil, da ein Fehler in der Sicherheitssoftware bei einer Monopolstellung alle Systeme zum Ausfall bringen k\u00f6nnte.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Fazit<\/h2>\n\n\n\n<p>Abschlie\u00dfend lehrt uns dieser Vorfall, \u201eZero Trust\u201c nicht l\u00e4nger als Marketingbegriff zur Bewerbung von Sicherheitsprodukten zu verstehen. Paradoxerweise bewirbt Crowdstrike die eigenen Produkte als Zero-Trust-L\u00f6sungen, erfordert aber, dass ihre Kunden ihrer Software hochprivilegierten Zugriff auf ihren Systemen anvertrauen. Wer das Zero-Trust-Prinzip ernsthaft umsetzen will, muss es als umfassende Strategie zur Risikominimierung verstehen, die auch Abh\u00e4ngigkeiten zu Herstellern von \u201eZero-Trust-L\u00f6sungen\u201c ber\u00fccksichtigt.<\/p>\n\n\n\n<p>Die Reduzierung des Risikos von Systemausf\u00e4llen wie diesem ist klares Ziel der j\u00fcngsten EU-Initiativen mit NIS2 und CRA, allerdings kommen sie f\u00fcr diesen Vorfall mehrere Monate zu sp\u00e4t. Man sollte die EU-Vorgaben aber nicht nur am Papier erf\u00fcllen, sondern Sicherheit auch tats\u00e4chlich als Teil der Firmenkultur leben. Gerade hier liegt meist der Schl\u00fcssel zum Erfolg: IT-Security muss auf die Stra\u00dfe gebracht werden, nicht nur aufs Papier.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ein schadhaftes Softwareupdate der Antimalware Software Falcon des Software-Herstellers Crowdstrike sorgte am vergangenen Freitag f\u00fcr einen der folgenschwersten IT-Ausf\u00e4lle der Geschichte. In zahlreichen Krankh\u00e4usern, Banken, TV-Stationen und Flugh\u00e4fen waren die Bildschirme pl\u00f6tzlich blau. Ein sogenannter \u201eBlue Screen of Death\u201c war das Einzige, was auf den Monitoren von rund 8,5 Millionen betroffenen Windows Endger\u00e4ten noch zu [&hellip;]<\/p>\n","protected":false},"author":15,"featured_media":2862,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[228,34,217],"tags":[],"class_list":["post-2860","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance","category-expert","category-presseaussendung"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2860","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=2860"}],"version-history":[{"count":3,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2860\/revisions"}],"predecessor-version":[{"id":3201,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2860\/revisions\/3201"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/2862"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=2860"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=2860"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=2860"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}