Kurzer Hinweis für Administratoren und Nutzer, die die Finanzsoftware SFIRM der Sparkassen bei sich einsetzen. Es kristallisiert sich heraus, dass es seit September 2023 (ca. 8. Sept. 2023) Probleme mit dieser Software gibt, wenn als Schutzlösung der Watchguard eingesetzt wird. Dann funktioniert SFIRM schlicht nicht mehr auf den Clients und dem Server, keine Zahlungen mehr möglich und Buchhaltung auch tot.
Anzeige
SFIRM fällt plötzlich aus
Blog-Leser Hagen Backhaus hat sich zum 12. September 2023 mit dem Hinweis gemeldet (danke dafür), dass bei ihm binnen 3 Tagen alle mit SFIRM arbeitenden PCs inklusive dem Server selbst nach und nach ausfielen und die SFIRM-Plattform nicht mehr funktionierte. Das bedeutet Zahlungsausfall, die Buchhaltung ist quasi tot.
SFIRM ist eine von den Sparkassen vertriebene Finanzsoftware für kleine Firmen, die Electronic-Banking für Unternehmen und eine übersichtliche Steuerung der Finanzen ermöglicht. Details lassen sich auf der SFIRM -Webseite der Sparkassen nachlesen.
Ursache ist Watchguard EDR
Als Ursache hat Hagen dann nach einigen Analysen den Watchguard EDR Core und den Watchguard Agent ausgemacht, der auf den PCs und den Servern installiert war. Diese Sicherheitslösung scheint neuerdings nicht mehr mit SFIRM kompatibel zu sein.
Die Lösung besteht darin, die Watchguard-Applikation von allen SFIRM-relevanten Servern und Clients zu entfernen und die Systemen neustarten zu lassen. Dann die Reparaturkonsole von SFIRM durchlaufen lassen und das System sicherheitshalber nochmals neu starten. Dann sollte SFIRM wieder funktionieren.
Anzeige
Anzeige
Ja da sieht man wieder Sicherheitssoftware führt oft zu ungewollten Problemen.
Vor allem wenn die sich noch in an ansich schon sehr wackeliges zusammen gestümpertes System integrieren soll.
Das nennt man dann Sicherheitssoftware?
Das ist eine Ebene mehr Unsicherheit.
Ok, euphemismen sind ja schon lang in.
Wir fahren unseren Müll ja zum Entsorgungspark, nicht zur Müllkuhle.
Die ct hatte mal das so ein tolles Carton, ich glaub das bezog sich auf W95. Erinnert mich gerade sehr daran…
Auf eine total kaputte uralte Villa baut man ein chickens Penthaus.
Eine Firewall abreißen, damit eine Applikation läuft.
Geil.
Aber die Sparkasse hatte ja eh so gute Software, die die Kunden sogar benutzen sollten, wenn ihr Rechner infiziert war.
Gibt es zu diesem Ausfall und seinen Symptomen vielleicht ein paar weitere Hintergrundinformationen?
– Welche Fehler wurden auf den Clients genau beobachtet?
—–> Prozesse werden blockiert?
—–> Hohe Auslastung der CPU?
—–> Defekte / Korrupte Dateien?
—–> Gibt es Logs von der EDR-Lösung?
– Auf welchem OS läuft der Server von SFirm?
– Ist der Server auf dem aktuellen Patchlevel?
– Welche Edition des Microsoft SQL-Server wird verwendet?
– Ist der SQL-Server auf dem letzten Stand was Updates angeht?
– Welche Version der EDR wird verwendet?
– Ist die EDR-Version auf dem letzten Stand?
– Gibt es irgendwelche Fehlermeldungen?
Ich frage, weil wir Panda AD360 verwenden, welches inzwischen ebenfalls zu WatchGuard gehört. Außerdem gibt es auch einen Server mit SFirm und angebundenen Clients. Bisher haben wir allerdings keine Probleme im Zusammenspiel mit SFirm beobachten können.
Ich weiß nicht genau wie das bei WatchGuard läuft, aber bei Panda AD360 muss man ein Konsolenupgrade und damit eine Upgrade der Schutzversion manuell anstoßen. Irgendwann wird man zwar von WatchGuard „zwangsmigriert", aber so lange haben wir nie gewartet. Vielleicht sind dort irgendwo alte Komponenten im Spiel.
Leider etwas schwer einzuschätzen, da nicht viele Detailinformationen verfügbar sind. Trotzdem danke für den Hinweis, dass Thema im Auge zu behalten.
Wir hatten in einigen von uns betreuten Umgebungen das gleiche Problem mit sFirm und AD360/EPDR (nicht Core) und die Lösung war sFirm über die "Authorized Software" Funktion freizugeben.
Das funktioniert aber leider nicht mit EPDR Core, da dort die Funktion nicht unterstützt wird
Wir sind auch durch Zufall darauf gestossen, dass SFIRM nach dem erzwungenen Wechsel von TDR auf EDR Core nicht mehr funktionierte. In der Watchguard Cloud Konsole gab es keine einzige Warnung.
Wir haben daraufhin EDR Core überall entfernt.
Watchguard EDR Core ist doch schon ewig abgelöst und migriert.
Watchguard hat einen Task dafür im Center.
Gruß Final
Hallo Günter,
wurde ein Case bei WatchGuard bereits aufgemacht von den Betroffenen?
Ich betreue Panda Adaptive Defense (Äquivalent zu WatchGuard EPDR) bereits seit 15 Jahren und habe keinen einzigen Vorfall bei dem sich aktuell jemand mit SFIRM über Probleme beklagt.
Hier wäre es auf jeden Fall sinnig etwas mehr Informationen zu geben, sowie es es "Singlethreaded" auch nachgefragt hat.
Viele Grüße,
Christian
Da es nur ein Kommentar mit einem Hinweis eines Lesers war und sich dieser nicht mehr in die Diskussion eingeklinkt hat, kann ich dazu nichts sagen. War auch nur ein Hinweis, falls jemand in SFIRM-Probleme läuft.
Bei unseren Kunden kam es auch zu Problemen.
In der Beschreibung von Watchguard EDR steht:
"WatchGuard EDR reagiert auf bekannte und unbekannte Bedrohungen, indem es für Transparenz sorgt und die im Netzwerk ausgeführten Anwendungen kontrolliert."
Da SFirm auf dem Client installiert ist, aber auf Daten vom Server zugreift, wird dieser Zugriff unterbunden.
Beim Starten von SFirm erscheint die Fehlermeldung:
Der Start einer SFirm-Programmkomponente ist fehlgeschlagen.
[…]
SFirm-Fehlercode: 100
Systemfehlercode 0x23F
[…]
=> Watchguard EDR muss nicht komplett deinstalliert werden, es reicht aus, wenn man den Installationspfad von SFirm "C:\Program Files (x86)\SFirmV4" bei den Ausnahmen des Scans hinzufügt