{"id":297660,"date":"2024-07-22T00:21:00","date_gmt":"2024-07-21T22:21:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297660"},"modified":"2024-07-24T00:34:44","modified_gmt":"2024-07-23T22:34:44","slug":"nachlese-des-crowdstrike-vorfalls-der-grten-computerpanne-aller-zeiten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/22\/nachlese-des-crowdstrike-vorfalls-der-grten-computerpanne-aller-zeiten\/","title":{"rendered":"Nachlese des CrowdStrike-Vorfalls, der bisher größten Computerpanne aller Zeiten"},"content":{"rendered":"

\"Stop[English<\/a>]Es gilt als die bisher weltweit der gr\u00f6\u00dfte Computerpanne, die 8,5 Millionen Windows-Systeme lahm legte und Milliarden Schaden verursachte. Inzwischen beginnen die Aufr\u00e4umarbeiten, die Schuldzuweisungen und das \"Waschen der H\u00e4nde in Unschuld\". Im Rahmen einer Nachlese\u00a0 m\u00f6chte ich noch einige Informationen zusammen tragen. Vom Umfang der Betroffenheit, \u00fcber Wiederherstellungsma\u00dfnahmen, bis hin zu Fragen und Antworten, die andere jetzt stellen.<\/p>\n

<\/p>\n

Der CrowdStrike-Vorfall<\/h2>\n

\"\"Am 19. Juli 2024 kam es weltweit zu zahlreichen St\u00f6rungen an IT-Systemen mit Windows. Der Betrieb an Flugh\u00e4fen stand, Banken konnten nicht mehr arbeiten, Z\u00fcge fielen aus, und Firmen schickten ihre Mitarbeiter nach Hause (z.B. Tegut), weil die IT-Systeme nicht mehr gingen. Auch deutsche Kommunen, Firmen und Banken waren betroffen. Ich hatte zeitnah im Beitrag Ausfall von Microsoft 365 und weltweite St\u00f6rungen \u2013 wegen CrowdStrike-Update, was zum BSOD f\u00fchrt?<\/a> berichtet.<\/p>\n

Es war aber kein Cyberangriff, sondern ein fehlerhaftes Update f\u00fcr eine EDR-Sicherheitsl\u00f6sung des US-Anbieters CrowdStrike, die Windows-Systeme mit einem BlueScreen abst\u00fcrzen lie\u00dfen. Eine erste Analyse, was passiert sein k\u00f6nnte, findet sich in meinem Blog-Beitrag CrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen f\u00fchrte<\/a>. In diesem Tweet<\/a> zitiert jemand, dass das fehlerhafte Update neu beobachtete, b\u00f6sartige \u201enamed pipes\", die von g\u00e4ngigen C2-Frameworks bei Cyberangriffen verwendet werden, ins Visier nehmen sollte.<\/p>\n

\"CrowdStrike<\/a><\/p>\n

Ist aber schief gegangen- und bei Microsoft sowie in einigen Firmen war m\u00e4chtig was los – dieser Tweet<\/a> enth\u00e4lt ein Video, welches mir zugespielt wurde.<\/p>\n

Wie gro\u00df war der Umfang?<\/h2>\n

Die spannende Frage ist, wie gro\u00df der Umfang der Betroffenheit war. Experten bezeichnen den Vorfall als bisher gr\u00f6\u00dfte Computerpanne aller Zeiten.<\/p>\n

Nur 8,5 Millionen Windows-Systeme betroffen<\/h3>\n

Am 20. Juli 2024 hat Microsoft den Techcommunity-Beitrag Helping our customers through the CrowdStrike outage<\/a> ver\u00f6ffentlicht und berichtet \u00fcber die Bem\u00fchungen, betroffenen Kunden aus der Patche zu helfen. Dabei wurde auch die Zahl von 8,5 Millionen betroffenen Windows-Systemen genannt.<\/p>\n

Das sei weniger als ein Prozent aller Windows-Rechner, habe aber weitreichende wirtschaftliche und gesellschaftlichen Auswirkungen, was die Nutzung von CrowdStrike durch Unternehmen widerspiegele.<\/p>\n

Mir ging bei dieser Relativierung von \"weniger als 1 % der Windows-Systeme betroffen\" sofort folgendes durch den Kopf: Es m\u00fcssen also um die 850 Millionen Windows-Systeme in Benutzung sein. Davon ist es gro\u00dfer Teil bei Privatnutzern oder kleinen Firmen im Einsatz.<\/p>\n

Nur gr\u00f6\u00dfere Unternehmen werden eine EDR-Sicherheitsl\u00f6sung wie CrowdStrike Falcon einsetzen. Das relativiert dann doch dieses \"weniger als 1 %\" – von den CrowdStrike-Kunden d\u00fcrfte der Gro\u00dfteil betroffen gewesen sein.<\/p>\n

Folgen des Ausfalls<\/h3>\n

Ich hatte ja in diversen Blog-Beitr\u00e4gen erw\u00e4hnt, dass eine breite Spur an Unternehmen und Organisationen betroffen waren. HackManac hat auf X in einem Tweet<\/a> einige der weltweit betroffenen Instanzen aufgelistet.<\/p>\n

<\/a><\/p>\n

Jens Lange f\u00fchrt auf Kommunaler Notbetrieb<\/a> deutsche Verwaltungen auf, die durch den Vorfall betroffen waren. Ein gutes Bild vom Ausma\u00df der Auswirkungen zeigt folgender Tweet von Flight-Radar \u00fcber die Flugbewegungen \u00fcber den USA. Einfach auf das Bild klicken<\/a>, um die Simulation zu starten.<\/p>\n

<\/a><\/p>\n

Es zeigt sich, dass der Flugverkehr \u00fcber Stunden zum Erliegen kommt, weil keine Flugzeuge mehr abgefertigt werden konnten.<\/p>\n

Computertomographen und Medizintechnik ausgefallen?<\/h3>\n

Ich bin ja daf\u00fcr kritisiert worden, weil ich mich \u00fcber ein kaputtes Eco-System echauffiert habe – kann man tun. Ich stelle aber mal ein Beispiel hier ein, das das kaputte System zeigt:<\/p>\n

\"Ausgefallener<\/a><\/p>\n

Ein Computertomograph ist ausgefallen, weil Toshiba meint, in dem Multi-Millionen-Euro-Ger\u00e4t Windows verbauen zu m\u00fcssen. Der Poster des obigen Tweets weist berechtigt darauf hin, dass das ein No-Go ist. Anmerkung: Es gibt nachfolgend einen Kommentar, dass das Bild alt sei – mag sein, aber ich habe mehrere Tweets gelesen, die auf Probleme in diesem Bereich hinwiesen. Unabh\u00e4ngig davon zeigt das obige Bild die fatalen Abh\u00e4ngigkeiten.<\/p>\n

Golem schreibt hier<\/a>, dass Cyberversicherungen die Sch\u00e4den eher nicht abdecken.<\/p><\/blockquote>\n

Microsoft sagt: \"EU hat uns gezwungen\"<\/h2>\n

Inzwischen befeuern die Folgen des fehlerhaften CrowdStrike-Update f\u00fcr Windows, welches ja global Systeme besch\u00e4digt hat, erneut Bedenken hinsichtlich des Monopols von Microsoft bei IT-Systemen von Beh\u00f6rden und Unternehmen. The Guardian hat beispielsweise einen Artikel<\/a> dazu ver\u00f6ffentlicht.<\/p>\n

Inzwischen weist Microsoft darauf hin, dass die EU das Unternehmen ja 2009 gezwungen habe, die internen Schnittstellen f\u00fcr Drittanbieter zu \u00f6ffnen – also quasi am Debakel schuld sei. Neowin.net weist z.B. hier<\/a> auf das Thema hin (das Wall Street Journal hat einen Artikel ver\u00f6ffentlicht, den ich aber wegen einer Paywall nicht verlinkt). Ein Sprecher soll dem soll dem WSJ gesagt haben, dass eine Vereinbarung mit der Europ\u00e4ischen Kommission aus dem Jahr 2009 der Grund daf\u00fcr ist, dass Microsoft sein Betriebssystem nicht st\u00e4rker absichern kann.<\/p>\n

Nach einer Beschwerde, so der Sprecher, habe Microsoft 2009 mit der Europ\u00e4ischen Kommission vereinbart, den Herstellern von Sicherheitssoftware den gleichen Zugang zu Windows zu gew\u00e4hren wie Microsoft. Diese Entscheidung bedeute, dass Anbieter von Sicherheitssoftware mehr M\u00f6glichkeiten haben, Systeme zu manipulieren<\/p>\n

Sortieren wir das Ganze doch etwas – es ist das Spiel \"mit dem Finger auf andere zeigen – der hat Schuld\". Die Vereinbarung mit der EU-Kommission hatte einen wettbewerbsrechtlichen Hintergrund, weil Microsoft den Mitbewerb durch nicht offen gelegte Schwachstellen ausgebremst und behindert hat. Die EU hat die \u00d6ffnung f\u00fcr Drittanwender zwar erzwungen – aber die Implementierung der betreffenden APIs ist wohl so lausig, dass es jetzt zum Debakel kam.<\/p>\n

Niemand hat Microsoft gezwungen, das so zu implementieren und seit dieser Zeit nicht auf \"stabilere F\u00fc\u00dfe\" zu stellen. Nur zur Erinnerung: Seit 2009 haben wir Windows 8, Windows 8.1, Windows 10 und nun Windows 11 in verschiedenen Funktionsupdate-Varianten gesehen. Aber Microsoft arbeitet offenbar mit alten Konzepten weiter, die Redmond bei einem Lieferkettenangriff genau so auf die F\u00fc\u00dfe gefallen w\u00e4ren.<\/p>\n

Microsoft CrowdStrike Recovery-Tool<\/h2>\n

Inzwischen hat Microsoft ein CrowdStrike Recovery-Tool ver\u00f6ffentlicht. Dieses soll Administratoren das Recovern von Maschinen, die in einer BlueScreen-Schleife h\u00e4ngen, erleichtern. Nachfolgender Tweet<\/a> weist auf dem betreffenden Techcommunity-Beitrag<\/a> mit weiteren Informationen hin.<\/p>\n

\"Microsoft<\/a><\/p>\n

Und John Hammond weist in nachfolgendem Tweet<\/a> drauf hin, dass jemand ein PowerShell-Script zum Extrahieren von BitLocker-Schl\u00fcsseln<\/a> aus einer NTDS.dit-Datei geschrieben habe. Das k\u00f6nnte hilfreich werden, wenn der Dom\u00e4nencontroller durch die CrowdStrike-Katastrophe besch\u00e4digt ist, WinRE aber beim Booten den BitLocker Wiederherstellungsschl\u00fcssel anfordert.<\/p>\n

\"Bitlocker<\/a><\/p>\n

Wichtige Information: Cyberkriminelle machen sich das Chaos zunutze und richten CrowdStrike-Webseiten ein, auf denen Fake-Reparaturtools angeboten werden. Die Warnung des BSI und anderer Organisationen lautet: Nur auf offizielle Informationen und Werkzeuge von CrowdStrike sowie Microsoft zur\u00fcckzugreifen.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nWeltweiter Ausfall von Microsoft 365 (19. Juli 2024)<\/a>
\nAusfall von Microsoft 365 und weltweite St\u00f6rungen \u2013 wegen CrowdStrike-Update, was zum BSOD f\u00fchrt?<\/a>
\nWieso weltweit zahlreiche IT-Systeme durch zwei Fehler am 19. Juli 2024 ausfielen<\/a>
\nCrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen f\u00fchrte<\/a>
\nNachlese des CrowdStrike-Vorfalls, der bisher gr\u00f6\u00dften Computerpanne aller Zeiten<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es gilt als die bisher weltweit der gr\u00f6\u00dfte Computerpanne, die 8,5 Millionen Windows-Systeme lahm legte und Milliarden Schaden verursachte. Inzwischen beginnen die Aufr\u00e4umarbeiten, die Schuldzuweisungen und das \"Waschen der H\u00e4nde in Unschuld\". Im Rahmen einer Nachlese\u00a0 m\u00f6chte ich noch einige … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[301],"tags":[24,3288],"class_list":["post-297660","post","type-post","status-publish","format-standard","hentry","category-windows","tag-problem","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297660","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=297660"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297660\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=297660"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=297660"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=297660"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}