Letztes Wochenende kam es zu einem der größten Zusammenbrüche der Online-Infrastruktur seit McAfees Windows XP-Bug 2010, der auf einen durch ein Update verursachten Ausfall auf Systemen zurückzuführen war, auf denen CrowdStrike lief. Da der Schaden langsam behoben wird, ist es aufschlussreich, die Folgen von CrowdStrike zu betrachten und zu sehen, was uns dies für die Zukunft sagen kann.
Was ist passiert?
CrowdStrike, ein bedeutender Anbieter von Cybersicherheitslösungen für Unternehmen, hat am Freitag, den 22., ein Update für sein Produkt Falcon Sensor veröffentlicht. Das Update führte letztendlich dazu, dass die Systeme, auf denen es installiert war, abstürzten und den Bluescreen des Todes anzeigten. Schlimmer noch, betroffene Computer gerieten dann in eine Boot-Schleife, in der sie sich einschalteten, versuchten zu booten und sofort wieder abstürzten.
Aufgrund der Bootschleife konnten keine weiteren Updates zur Behebung des Problems bereitgestellt werden. Die betroffenen Systeme mussten einzeln manuell repariert werden. Dies führte dazu, dass Unternehmen auf der ganzen Welt und in allen Branchen komplett aus dem Verkehr gezogen wurden.
Der Ausfall führte dazu, dass Flugzeuge am Boden blieben, Züge einfroren und allgemein Chaos angerichtet wurde. Microsoft teilte mit, dass man „Maßnahmen zur Schadensbegrenzung“ ergreife und nach einer Lösung für die Probleme suche. Auch CrowdStrike-CEO George Kurtz postete auf X, dass „CrowdStrike aktiv mit Kunden zusammenarbeitet, die von einem Defekt betroffen sind, der in einem einzelnen Inhaltsupdate für Windows-Hosts gefunden wurde.“
Was ist die sofortige Problemumgehung?
Es gibt einen manuellen Eingriff, der die Funktionalität von Systemen wiederherstellen kann.
- Starten Sie Windows im abgesicherten Modus oder WRE.
- Gehe zu C:\Windows\System32\drivers\CrowdStrike
- Suchen und löschen Sie übereinstimmende Dateien „C-00000291*.sys“
- Booten Sie normal.
Das Problem liegt darin, dass die manuelle Reparatur einzelner Systeme Zeit kostet. Als wichtiger Akteur auf dem Unternehmensmarkt war CrowdStrike auf einer Reihe kritischer Systeme von Flughäfen bis hin zu Krankenhäusern aktiv im Einsatz. Die zeitkritische Natur dieser Systeme bedeutet, dass einige Benutzer stattdessen eine Wiederherstellung aus Backups oder die Verwendung der integrierten Schattenkopien von Microsoft in Betracht ziehen könnten.
So oder so sind die vorgeschlagenen Lösungen nicht perfekt – sie kosten Zeit und möglicherweise auch Daten, wenn die Backups nicht auf dem neuesten Stand sind. Die Gesamtauswirkungen werden noch berechnet, aber der kumulative wirtschaftliche Schaden dürfte immens sein.
Was kommt als nächstes?
Es wird noch einige Zeit dauern, die Ereignisse des Wochenendes vollständig zu verarbeiten. Dennoch werden die Folgen des Fehltritts von CrowdStrike wahrscheinlich bittersüß sein – sie werden positive Veränderungen mit sich bringen, die die schweren finanziellen Verluste und Schwierigkeiten, die er verursacht hat, ausgleichen.
Die Folgen unterstreichen noch mehr als zuvor die Notwendigkeit, eine Reihe von Backups und Archiven für Ihre kritischen Daten aufzubewahren. Die Mehrheit der aktuellen Verluste betrifft Organisationen, die völlig funktionsunfähig sind, bis sie wieder Zugriff auf ihre Daten haben. Mit einem Backup hätten sie eine frühere, ungepatchte Version mit weniger schwerwiegenden Auswirkungen auf ihre Leistung wiederherstellen können. Noch besser wäre es gewesen, wenn Mitarbeiter mit Endbenutzerzugriff auf Archive in einigen Fällen weiter produktiv hätten arbeiten können, während die Hauptsysteme repariert wurden.
Daher ist zu hoffen, dass Organisationen weltweit die Verwundbarkeit von Online-Systemen erkennen und Schritte unternehmen, um das Problem zu beheben. Es ist vielleicht nützlich, dass es sich bei dem Vorfall nicht um einen Cyberangriff oder einen absichtlichen Versuch handelte, den Betrieb zu stören, sondern um einen einfachen Fehler. Dadurch ist es schwieriger, so zu tun, als könne so etwas niemandem irgendwo passieren, und hoffentlich werden viele umgehend Maßnahmen ergreifen, um sicherzustellen, dass der nächste Vorfall weniger schwerwiegend ist.
Sichern Sie Ihre Geschäftskontinuität mit TECH-ARROW