19.07.2024 17:21

Notizen zum CrowdStrike Vorfall

Wir hatten heute viel Spaß mit den Problemen rund um den CrowdStrike EDR.

Am Nachmittag hat sich der ORF bei mir gemeldet, sie hätten gerne für die ZiB 1 ein Interview mit mir. Das lief dann soweit gut, ich will hier meine "Speaking Notes" offenlegen, weil sicher nicht alles, was ich gesagt habe, in den kurzen O-Ton Beiträgen im Fernsehen zu sehen sein wird.

Das sind nur die Stichworte, die ich für mich selber geschrieben habe, und nicht voll ausformulierte Argumente.

Was ist passiert?

  • Fehler in einem Automatischen Update einer Sicherheitssoftware, nicht bei Microsoft selber
    • Das kam schon bei vielen Anbietern vor
  • Diese ist tief im System verankert, damit sie ihre Arbeit machen kann
  • Ein schweres Problem dort -> Computer ist als Ganzes ist nicht mehr brauchbar
  • Damit konnten auch die Korrekturen nicht mehr automatisch übernommen werden
  • Es ging rein um die Verfügbarkeit
    • Keine Auswirkungen auf Datenschutz / Geheimnisse / Spionage
    • Keine Manipulation von Daten

Ursache / Grund

  • Automatische Update der Einstellungen einer Sicherheitssoftware:
    • Nötig, um schnell auf neue Gefahren reagieren zu können
    • Kein ausführliches Testen beim Kunden machbar
  • Warum das passiert ist, wissen wir noch nicht. Das kann man nach 12 Stunden auch noch nicht erwarten. Spekulationen sind sinnlos.

Effekte

  • Die Gesellschaft hängt an vielen Stellen vom Funktionieren der Computer ab
  • Ausfälle dort treffen rasch das normale Leben
  • Die betreffende Software wird gerade bei wichtigen Firmen eingesetzt, daher waren auch die Auswirkungen global signifikant

Reparaturzeit

  • Das Problem wurde sehr schnell identifiziert
  • Lösungswege sind vorhanden
    • Manchmal einfach
    • In einigen Fällen braucht es Handarbeit
  • Heute Stress bei den Betriebsteams (Hoffentlich hab ich noch die Fähigkeiten im eigenen Haus, wenn alle das auf ein paar Dienstleister outgesourced haben, ist dort schnell ein Riesenengpass an Manpower)
  • Sicher noch einiges an Überstunden am Wochenende
  • Nächste Woche noch aufräumen: Laptops im Homeoffice oder Dienstreise

Lektionen

  • Vorbereitung auf Ausfall der Computer und Datennetze
    • Wie reagieren wir? Was geht noch?
    • Es ist nicht immer nur das Blackout
  • Sicherheitssysteme kommen immer mit Nebenwirkungen
    • Wie bei Medizin: Was hilft es, welche Probleme handle ich mir ein?
    • Beispiel Alarmanlagen: Wie ist da das Verhältnis von Fehlalarmen zu echten?
  • Eine gute Risikobewertung ist nötig
    • Risiko, eine Unterwanderung des Netzes nicht zu erkennen
    • vs. Risiko, dass die Sicherheitslösung im Betrieb Probleme macht.
  • Globale Abhängigkeiten
    • Ein Fehler einer Firma in Amerika kann direkte Auswirkungen in Österreich haben
    • Lizenzen (was mach ich, wenn ein Lizenzserver für Router/Firewall/Virtualisierungslösung/... falsch antwortet)
    • Cloud (Ausfälle schlagen bei Software as a Service sofort auf alle Kunden durch)

Verfasst von: Otmar Lendl