Crowdstrike-Software laut Experten nicht genug geprüft
Aus Sicht von Cyber-Sicherheitsexperten ist das Update der IT-Sicherheitssoftware der Firma Crowdstrike, das zu weltweiten Ausfällen von IT-Systemen führte, vor seiner Bereitstellung nicht genug geprüft worden.
"Es sieht so aus, als ob bei der Überprüfung oder dem Sandboxing, das sie durchführen, wenn sie sich neuen Code ansehen, diese Datei möglicherweise nicht mit einbezogen wurde oder durchgeschlüpft ist", sagte Steve Cobb, Chief Security Officer bei Security Scorecard.
Auch dort waren einige Systeme von dem weltweiten Problem betroffen. Die neueste Version der Software "Falcon Sensor" sollte die Systeme von Crowdstrike-Kunden sicherer machen. Fehlerhafter Code in den Aktualisierungsdateien führte jedoch bei Unternehmen, die das Windows-Betriebssystem von Microsoft verwenden, weltweit zu Ausfällen. Auch Österreich blieb nicht davon verschont.
Patrick Wardle, ein Sicherheitsforscher, der sich auf die Untersuchung von Bedrohungen für Betriebssysteme spezialisiert hat, sagte Reuters, seine Analyse habe den für den Ausfall verantwortlichen Code identifiziert. Er befand sich demnach in einer Datei, die entweder Konfigurationsinformationen oder Signaturen enthalte. Signaturen sind Code, der bestimmte Arten von bösartigem Code oder Malware erkennt.
"Es ist üblich, dass Sicherheitsprodukte ihre Signaturen aktualisieren, etwa einmal am Tag... weil sie ständig nach neuer Malware Ausschau halten und weil sie sicherstellen wollen, dass ihre Kunden vor den neuesten Bedrohungen geschützt sind", sagte Wardle. "Die Vielzahl der Updates ist wahrscheinlich der Grund, warum Crowdstrike es nicht so oft getestet hat."
Es ist unklar, wie der fehlerhafte Code in das Update gelangen konnte und warum er nicht entdeckt wurde, bevor er für die Kunden freigegeben wurde. "Idealerweise wäre das Update zuerst an einen begrenzten Kundenkreis freigegeben worden", sagte der leitende Sicherheitsforscher von Huntress Labs. "Dies wäre sicherer gewesen und hätte das Chaos vermeiden können."
Der weltweite Ausfall von IT-Systemen hatte am Freitag rund um den Globus für massive Probleme gesorgt. Betroffen war vor allem der internationale Luftverkehr, aber auch Banken und Medien, Institutionen und Supermärkte berichteten von Störungen.
Crowdstrike-Chef George Kurtz entschuldigte sich im US-Sender NBC New. "Wir entschuldigen uns für die Probleme, die wir bei Kunden, Reisenden und allen Betroffenen, einschließlich unseres Unternehmens, verursacht haben." Die Probleme würden schnell behoben, aber es könnte bei einigen Systemen, die sich nicht automatisch wiederherstellen ließen, eine Weile dauern.
Am Freitag gingen Dienstleistungen von Fluggesellschaften über das Gesundheitswesen bis hin zur Schifffahrt und dem Finanzwesen nach oft stundenlangen Ausfällen wieder online. Viele Unternehmen haben jedoch immer noch mit einem Rückstau von verspäteten und gestrichenen Flügen und Arztterminen, verpassten Aufträgen und anderen Problemen zu kämpfen. Deren Behebung könnte Tage dauern.
Indessen warnt die australische Behörde für Cybersicherheit vor "bösartigen Websites und inoffiziellem Code" im Internet, die angeblich bei der Wiederherstellung der ausgefallenen Systeme helfen sollen. Betroffene Kunden sollten sich nur auf offizielle Informationen und Updates von Crowdstrike verlassen.