Crowdstrike vs. CounterStrike

Crowdstrike Falcon gehört zwar nicht zu den von uns eingesetzten Produkten, uns ist es im Kundenkreis auch noch nicht begegnet. Dennoch lässt das pure Ausmaß aufhorchen.

Am 19. Juli 2024 sorgte eine flächendeckendes, fehlerhaftes Update für das Security Product „Falcon“ der texanischen Firma Crowdstrike für Totalausfälle bei vielen Unternehmen der KRITIS Infrastruktur. Betroffen waren viele Fluggesellschaften, Behörden und kommunale Einrichtungen. Die Nachwirkungen dauern an. Der kritische Effekt dabei: Nach dem Update/Neustart von Windows Rechnern und Servern fuhren die Systeme in einen Blue Screen.

Um das Update wieder loszuwerden, waren/sind vielfach manuelle Eingriffe notwendig, da es nicht über das Windows Update-System von Microsoft verteilt wurden (das ermöglicht einen „Rollback“), sondern über einen eigenen Updater von Crowdstrike installiert wurden.

Fakt: Jeder betroffene PC und Server musste/muss von Hand angefasst, die schadhafte Datei ersetzt und neu gestartet werden.

Warum vs. CounterStrike? Hört sich fast genauso an. Auch ich nahm im ersten Augenblick an, dass es sich um das Spiel dreht. CS ist ein „Ego-Shooter“-Computerspiel, in dem es darum geht, im Team Terroristen zu vernichten. Crowdstrike hat es geschafft, IT-Systeme von über 20.000 Kunden weltweit lahmzulegen – nur das hier unschuldige Unternehmen und keine Terroristen das Ziel waren.

Kommentar der Redaktion:
Ernsthaft – Microsoft passiert es auch mal, das man einen Patch an die Tester im Insider-Programm ausliefert, die 2 Wochen nichts merken und es am Patchday knallt. Allerdings war beim Print Nightmare (dem letzten großen Fail in der Größenordnung) nicht auf allen Geräten ein Bluescreen und Admins konnten den Patch zurückrollen.

Hier haut man einen Patch raus, der flächendeckend einen Bluescreen erzeugt – nicht nur auf spezifischer Hardware. Die Aktionäre haben die texanische Firma schon bestraft, aber für sowas muss doch Schadenersatz gezahlt werden – und (nur) wenn einer der Schergen dahintersteckt auch hohe Bußgelder verhängt werden.

Ohne auf Verschwörungstheorien zu setzen – Kaspersky wird in den USA verboten, weil der CEO auf der russischen Geheimdienstschule war. Der 2. CEO von Crowdstrike kommt vom FBI, der erste CEO und Gründer war früher bei McAfee. Beides auch keine Vertrauens-Garanten, wenn man die Geschichte von John McAfee aus Belize kennt. Ein Verbot ist hier aber unwahrscheinlich. Da die Ursache für den Massen-Rollout des Crowdstrike Patches noch untersucht wird, ist es durchaus denkbar, dass Schurkenstaaten und deren Cyberkriminelle dahinter stecken.

Die Darstellung im Kasten stellt eine Einschätzung und die Meinung der Redaktion dar.

Wir verfolgen die Untersuchungen und sind gespannt auf die Ursache und welche Maßnahmen ergriffen werden, um so etwas zukünftig zu vermeiden

Zusammenfassung
  1. Kommentar der Redaktion:Ernsthaft – Microsoft passiert es auch mal, das man einen Patch an die Tester im Insider-Programm ausliefert, die 2 Wochen nichts merken und es am Patchday knallt.
  2. Um das Update wieder loszuwerden, waren/sind vielfach manuelle Eingriffe notwendig, da es nicht über das Windows Update-System von Microsoft verteilt wurden (das ermöglicht einen „Rollback“), sondern über einen eigenen Updater von Crowdstrike installiert wurden.
  3. Crowdstrike Falcon gehört zwar nicht zu den von uns eingesetzten Produkten, uns ist es im Kundenkreis auch noch nicht begegnet.
Verwandte Beiträge
Über den Autor:
Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert