Wir hatten heute viel Spaß mit den Problemen rund um den CrowdStrike EDR.

Am Nachmittag hat sich der ORF bei mir gemeldet, sie hätten gerne für die ZiB 1 ein Interview mit mir. Das lief dann soweit gut, ich will hier meine "Speaking Notes" offenlegen, weil sicher nicht alles, was ich gesagt habe, in den kurzen O-Ton Beiträgen im Fernsehen zu sehen sein wird.

Das sind nur die Stichworte, die ich für mich selber geschrieben habe, und nicht voll ausformulierte Argumente.

Was ist passiert?

• Fehler in einem Automatischen Update einer Sicherheitssoftware, nicht bei Microsoft selber
  • Das kam schon bei vielen Anbietern vor
• Diese ist tief im System verankert, damit sie ihre Arbeit machen kann
• Ein schweres Problem dort -> Computer ist als Ganzes ist nicht mehr brauchbar
• Damit konnten auch die Korrekturen nicht mehr automatisch übernommen werden
• Es ging rein um die Verfügbarkeit
  • Keine Auswirkungen auf Datenschutz / Geheimnisse / Spionage
  • Keine Manipulation von Daten

Ursache / Grund

• Automatische Update der Einstellungen einer Sicherheitssoftware:
  • Nötig, um schnell auf neue Gefahren reagieren zu können
  • Kein ausführliches Testen beim Kunden machbar
• Warum das passiert ist, wissen wir noch nicht. Das kann man nach 12 Stunden auch noch nicht erwarten. Spekulationen sind sinnlos.

Effekte

• Die Gesellschaft hängt an vielen Stellen vom Funktionieren der Computer ab
• Ausfälle dort treffen rasch das normale Leben
• Die betreffende Software wird gerade bei wichtigen Firmen eingesetzt, daher waren auch die Auswirkungen global signifikant

Reparaturzeit

• Das Problem wurde sehr schnell identifiziert
• Lösungswege sind vorhanden
  • Manchmal einfach
  • In einigen Fällen braucht es Handarbeit
• Heute Stress bei den Betriebsteams (Hoffentlich hab ich noch die Fähigkeiten im eigenen Haus, wenn alle das auf ein paar Dienstleister outgesourced haben, ist dort schnell ein Riesenengpass an Manpower)
• Sicher noch einiges an Überstunden am Wochenende
• Nächste Woche noch aufräumen: Laptops im Homeoffice oder Dienstreise

Lektionen

• Vorbereitung auf Ausfall der Computer und Datennetze
  • Wie reagieren wir? Was geht noch?
  • Es ist nicht immer nur das Blackout
• Sicherheitssysteme kommen immer mit Nebenwirkungen
  • Wie bei Medizin: Was hilft es, welche Probleme handle ich mir ein?
  • Beispiel Alarmanlagen: Wie ist da das Verhältnis von Fehlalarmen zu echten?
• Eine gute Risikobewertung ist nötig
  • Risiko, eine Unterwanderung des Netzes nicht zu erkennen
  • vs. Risiko, dass die Sicherheitslösung im Betrieb Probleme macht.
• Globale Abhängigkeiten
  • Ein Fehler einer Firma in Amerika kann direkte Auswirkungen in Österreich haben
  • Lizenzen (was mach ich, wenn ein Lizenzserver für Router/Firewall/Virtualisierungslösung/... falsch antwortet)
  • Cloud (Ausfälle schlagen bei Software as a Service sofort auf alle Kunden durch)