Crowdstrike führt Updates "seit vielen Jahren" auf diese Weise durch - was ist dieses Mal schief gelaufen?
Die fehlerhafte Crowdstrike-Aktualisierung, die zu einem beispiellosen weltweiten Microsoft-Ausfall führte, wirft angesichts der möglicherweise langwierigen Wiederherstellung Fragen auf. Der automatische Aktualisierungsprozess für Cybersicherheits-Tools hat diesen Mal versagt.
Es ist keine Übertreibung, wenn man wie John Hammond am vergangenen Freitag sagt, dass der IT-Ausfall, der durch ein fehlerhaftes Crowdstrike-Software-Update verursacht wurde, "weltbewegend" war. Wenn es jemals einen Cybervorfall gab, der sowohl schwerwiegende Störungen als auch globale Ausmaße hatte, dann ist es dieser - wie der leitender Sicherheitsforscher beim Cybersicherheitsspezialisten Huntress zu Recht feststellte. Der Clou ist jedoch, dass es kein Cyberangriff war, der die weit verbreitete Katastrophe verursachte.
Stattdessen waren es die Handlungen eines Anbieters von Cybersicherheitslösungen, deren einziger Zweck es ist, Cyberstörungen zu verhindern, die zum Zusammenbruch von möglicherweise Millionen von Microsoft-Windows-Systemen weltweit führten und einen Großteil dessen beeinträchtigten, wovon die moderne Welt abhängt: vom Flugverkehr über das Gesundheitswesen bis zum Bankwesen. "Zweifelsohne hat uns diese Krise alle überrascht", sagte Hammond.
George Kurtz, Mitbegründer und CEO von Crowdstrike, scheint ebenso schockiert zu sein wie alle anderen. Warum? Weil es sich nicht um ein neues Verfahren handelt, das der Cybersecurity-Anbieter anwandte, als er ein "Content"-Update für seine Falcon-Software bereitstellte. "Die Updates werden seit vielen, vielen Jahren auf dieselbe Weise durchgeführt", sagte Kurtz am vergangenen Freitag im amerikanischen Fernsehen in der NBC-Sendung Today.
Und nun? Was könnte schief gelaufen sein?
Trellix-CEO Bryan Palma, dessen Unternehmen mit Crowdstrike auf dem Gebiet der Endpunktsicherheit konkurriert, sagte, die Zeit für diese Fragen werde sicherlich kommen, sobald die Wiederherstellung abgeschlossen ist. Und das wird vielleicht nicht so bald sein.
"Wenn man Hunderttausende oder Millionen von Endpunkten hat, ist das eine große Sache", so Palma gegenüber CRN. "Es wird Wochen dauern, das herauszufinden. Und es ist extrem schwierig, das in großem Maßstab zu tun. Das ist also kein Problem, das in 24 bis 48 Stunden gelöst ist."
Sobald sich die Lage stabilisiert hat, wird Crowdstrike zweifellos mit schwierigen Fragen zu seinem automatischen Aktualisierungsprozess konfrontiert werden, der nach Ansicht von Experten nicht so gestaffelt zu sein scheint, dass ein problematisches Update nur begrenzte Auswirkungen haben würde.
"Die nächste Reihe von Fragen wird lauten: Ist das akzeptabel? Wer macht das sonst noch so? Warum wurde es auf diese Weise gemacht?" sagte Palma. "All das wird sich mit der Zeit herausstellen."
Danny Jenkins, CEO von ThreatLocker, sagte, dass das Crowdstrike-Update offenbar nicht gestaffelt war, weil es sich nicht um einen vollständigen Software-Patch handelte, der schrittweise veröffentlicht worden wäre.
Stattdessen, so Jenkins, handelte es sich um ein Update für Crowdstrike Falcon, das wahrscheinlich darauf abzielt, Kunden vor neu entdeckten Cyberbedrohungen zu schützen, was eine häufige Art von Update für ein Endpunkt-Sicherheitstool ist. "Um die Kunden zu schützen, möchte Crowdstrike diese Bedrohungsupdates sofort an so viele Personen wie möglich weitergeben", sagte er.
Infolgedessen war ein hoher Anteil der Crowdstrike-Kunden wahrscheinlich von dem Update betroffen, das nach Angaben des Unternehmens einen nicht näher spezifizierten "Defekt" für die Windows-Version von Falcon enthielt.
Hammond wies darauf hin, dass viele Anbieter von Cybersicherheitslösungen ähnliche Praktiken bei der automatischen Aktualisierung anwenden, um mit den Hackern Schritt zu halten. Der Zugriff auf den Windows-Kernel - der in den Microsoft-Ausfall verwickelt ist - werde ebenfalls als "entscheidend für die Sicherheit" angesehen, sagte er.
Das Zusammentreffen mehrerer Faktoren, die den Ausfall ermöglichten, liegt laut Hammond "in der Natur der Sache, wenn es um die heutigen Praktiken der Cybersicherheit geht."
Was hat den Absturz versursacht? Eine Frage, die auch alle Konkurrenten von Crowdstrike stellen. Omer Grossman, CIO bei CyberArk, beispielsweise. "Die Bandbreite der Möglichkeiten reicht von menschlichem Versagen – zum Beispiel ein Entwickler, der ein Update ohne ausreichende Qualitätskontrolle heruntergeladen hat – bis hin zum komplexen Szenario eines groß angelegten Cyberangriffs, der im Voraus vorbereitet wurde und bei dem ein Angreifer einen 'Doomsday Command' oder 'Kill Switch" aktiviert hat." Die Analysen und Updates von Crowdstrike in den kommenden Tagen seien von "großem Interesse", so Grossman.
Hackern immer einen Schritt voraus
In seinen Fernsehkommentaren vom vergangenen Freitag sagte Kurtz, dass Crowdstrike auf diese Weise vorgeht, weil das Unternehmen "immer versucht, den Gegnern einen Schritt voraus zu sein".
"Unsere Systeme sind immer auf der Suche nach den neuesten Angriffen der Gegner", sagte Kurtz und wies darauf hin, dass diese 'Inhaltsaktualisierung' in Verbindung mit der sich verändernden Bedrohungslage erfolgte. "Wenn man sich Software ansieht, ist es eine sehr komplexe Welt mit vielen Wechselwirkungen. Und dem Gegner immer einen Schritt voraus zu sein, ist sicherlich eine große Aufgabe", sagte der CEO von Crowstrike.
Gleichzeitig gehe es bei der effektiven Verbreitung von Cybersicherheits-Updates darum, "die richtige Balance zu finden", so Palma von Trellix. "Und offensichtlich war das Gleichgewicht hier nicht in Ordnung."
In einer Erklärung, die CRN am vergangenen Freitag zur Verfügung gestellt wurde, sagte Crowdstrike, dass es "mit allen betroffenen Kunden zusammenarbeitet, um sicherzustellen, dass die Systeme wieder funktionieren und sie die Dienstleistungen erbringen können, auf die sich ihre Kunden verlassen". Man sei sich "des Ernstes der Lage bewusst und bedauern die Unannehmlichkeiten und Unterbrechungen zutiefst", so Crowdstrike in der Erklärung.
Kin Mitra, Präsident und CEO von Mission Critical Systems, einem Crowdstrike-Partner mit Sitz in Fort Lauderdale, Florida, erklärte in einer E-Mail an CRN, dass die meisten Kunden seines Unternehmens Crowdstrike auf Windows-Rechnern einsetzen. "Wir sind schon den ganzen Tag im Löschmodus", so Mitra.
Während Crowdstrike sicherlich "auf den Plan getreten ist, um den Kunden zu helfen", sagte er, "ist es unklar, warum der Anbieter das Update nicht intern besser überprüft hat, bevor es bereitgestellt wurde", so Mitra. "Ich denke, sie haben eine harte Lektion gelernt", sagte er.