Crowdstrike-Panne: Ein Weckruf für Administratoren

Fehlerhafte Updates, die Rechner außer Betrieb setzen, sind keinesfalls selten. Eigentlich sollte jeder Admin für diesen Notfall gerüstet sein. Wie präventive Maßnahmen IT-Risiken erheblich reduzieren können, beschreibt Jürgen Jakob vom Security-Distributor Jakobsoftware.

Da haben wir also mal wieder einen gefunden, auf den wir einprügeln können: Crowdstrike. Klar, solche Fehler dürfen nicht passieren. Aber sie geschehen quasi mindestens einmal im Quartal bei diversen Softwareherstellern. Effektiv ist dann immer ein "Treiber", eine tiefgreifende DLL betroffen. Statt groß über Crowdstrike zu lamentieren, sollten wir uns einmal die Mechanismen anschauen und auch überlegen, was sich daraus als Prävention für einen Admin ergibt.

Die Bedeutung von Wiederherstellungspunkten

Zunächst einmal sind Wiederherstellungspunkte ein essenzielles Werkzeug. Sind sie überhaupt aktiv? Wenn ja, sollte man über das Rechnerstarten im abgesicherten Modus den Zustand der Software vor dem Update wiederherstellen können.

Wiederherstellungspunkte sind ein gutes Konzept von Microsoft, aber sie nützen nichts, wenn sie nicht aktiviert werden. Das kann durch ein Update selbst, durch Systemeinstellungen oder auch manuelle Eingriffe erfolgen. Es ist wichtig sicherzustellen, dass Wiederherstellungspunkte regelmäßig erstellt und überprüft werden.

Unterstützung durch den Hersteller

Ein weiterer wichtiger Schritt ist die Kommunikation mit dem Softwarehersteller. Über die Originalwebsite des Herstellers lassen sich oft schnell Hinweise und Anleitungen finden, wie man mit einem fehlerhaften Update umgeht. Diese Anleitungen umfassen oft das Löschen gewisser Dateien und das Ersetzen aus Backups. Hier stellt sich die Frage: Ist ein Backup vorhanden? Der Hersteller liefert in der Regel auch Downloadlinks für notwendige Dateien, was die Wiederherstellung erleichtert.

Update-Management

Ein häufig übersehener Schritt ist das Abschalten der automatischen Updates, um zu verhindern, dass das fehlerhafte Update erneut eingespielt wird. Hat der Hersteller ein bereinigtes Update bereitgestellt, sollte man dieses natürlich einspielen. Dabei gilt es jedoch, zunächst sicherzustellen, dass das Update stabil ist.

Remote-Management von Serverlandschaften

Bei Serverlandschaften stellt sich zusätzlich die Frage: Lässt sich das Problem remote lösen, oder muss man dem betroffenen Rechner persönlich die Hand schütteln? Wenn ein physischer Zugang erforderlich ist, kann die Fehlerbehebung zeitaufwändig sein. Eine effektive Remote-Management-Strategie kann hier wertvolle Zeit und Ressourcen sparen.

Daraus ergeben sich folgende wichtige Ansätze für die Prävention

• Regelmäßige Backups: Ein verlässliches Backup-System ist unerlässlich. Es sollte regelmäßig überprüft werden, ob die Backups vollständig und wiederherstellbar sind.
• Remote-Management-Fähigkeiten: Sorgen Sie dafür, dass Sie auf alle wichtigen Systeme remote zugreifen können, um schnell auf Probleme reagieren zu können.
• Sorgfältige Update-Strategie: Statt Updates sofort auf alle Systeme auszurollen, sollten sie zunächst auf weniger wichtigen Servern getestet werden. Eine Verzögerung von ein bis zwei Wochen kann helfen, Probleme zu identifizieren, bevor sie die gesamte Infrastruktur betreffen.
• Community-Erfahrungen nutzen: Nutzen Sie die Erfahrungen der Community. Wenn in den ersten Wochen nach einem Update keine Beschwerden auftauchen, ist die Wahrscheinlichkeit geringer, dass das Update größere Probleme verursacht.

Fazit

Unsere IT-Verwaltung bei Jakobsoftware hat ungefähr einmal im Quartal mit ähnlichen Problemen zu kämpfen. Statt sich zu ärgern, haben wir eine Strategie entwickelt, die das Problem beherrschbar macht. Dazu gehören regelmäßige Backups, ein durchdachtes Update-Management und die Nutzung von Wiederherstellungspunkten. Diese Maßnahmen können auch anderen Administratoren helfen, besser auf ähnliche Vorfälle vorbereitet zu sein und die Auswirkungen auf die Infrastruktur zu minimieren.

Jürgen Jakob ist Gründer und Inhaber von Jakobsoftware aus Göttingen. Der Distributor ist auf Security und Backup spezialisiert. Sein Beitrag erschien zuerst im Blog auf der Webseite des Unternehmens.