![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
[English]Ende Juni 2025 gab es Meldungen (habe ich jedenfalls so interpretiert), dass Virenscanner in \"B\u00e4lde\" nicht mehr den Kernelmode von Windows verwenden d\u00fcrfen. Der CrowdStrike-Fall, der Millionen Windows-Systeme lahm legte, war laut Microsoft die endg\u00fcltige Warnung, den Schritt einzuleiten. Die Frage ist nun, ob wir einen Paradigmenwechsel erleben oder ob es sich um eine Mogelpackung handelt, und was hinter dem Ganzen steckt.<\/p>\n
<\/p>\n
Zum 19. Juli 2024 kam es (ab den fr\u00fchen Morgenstunden) weltweit zu Ausf\u00e4llen von ca. 8,5 Millionen Windows-Systemen, auf denen die EDR-Software CrowdStrike Falcon installiert war. CrowdsStrike Falcon ist eine weit verbreitete Enterprise Detection und Response (EDR) Schutzsoftware f\u00fcr Endger\u00e4te.<\/p>\n
Die Ursache war ein vom Hersteller ausgerolltes Update f\u00fcr die CrowdsStrike Falcon Sensoren. In Folge wurde auf den betroffenen Systemen ein Bluescreen of Death (BSOD) (mit der Fehlermeldung PAGE_FAULT_IN_NONEPAGED_AREA) ausgel\u00f6st. Verantwortlich war die Datei\u00a0csagent.sys<\/em>\u00a0und eine per Update verteilte, fehlerhafte sys-Datei, die von diesem Treiber geladen wurde.<\/p>\n Windows-Systeme, die f\u00fcr einen automatischen Neustart nach einem fatalen Fehler konfiguriert waren, verfielen in eine BSOD-Restart-Schleife. Systeme, die auf dem BSOD verharrten, zeigten den ber\u00fchmten blauen Bildschirm (BSOD). Ich hatte ausgiebig \u00fcber dieses Ereignis berichtet (siehe Links am Artikelende) und eine grobe Analyse des Sachverhalts im Beitrag Nachlese des CrowdStrike-Vorfalls, der bisher gr\u00f6\u00dften Computerpanne aller Zeiten<\/a>\u00a0ver\u00f6ffentlicht.<\/p>\n Sp\u00e4ter gab Microsoft dann zu Protokoll dass man an seiner Windows-Kernelarchitektur \u00c4nderungen vornehmen will, um solchen \"Kollateralsch\u00e4den\" vorzubeugen (ich hatte dies im Beitrag Microsofts Analyse des CrowdStrike-Vorfalls und Empfehlungen<\/a> angedeutet).<\/p>\n Zum 12. September 2024 stellte David Weston, Vice President Enterprise and OS Security bei Microsoft, Pl\u00e4ne in dieser Richtung im Beitrag Taking steps that drive resiliency and security for Windows customers<\/a> vor. Hintergrund war der Windows Endpoint Security Ecosystem Summit am 10. September 2024. Dieses von Microsoft veranstaltete Forum brachte eine Gruppe von Endpunktsicherheitsanbietern und Regierungsmitgliedern aus den USA und Europa zusammen, um Strategien zur Verbesserung der Widerstandsf\u00e4higkeit und zum Schutz der kritischen Infrastruktur der gemeinsamen Kunden zu diskutieren.<\/p>\n Microsoft sei von Kunden und Anbietern von Sicherheitsl\u00f6sungen aufgefordert worden, mehr f\u00fcr die Kernelsicherheit zu tun und Mechanismen bereitzustellen, die einen CrowdStrike-Fall verhindern, hie\u00df es. Ich hatte dies im Beitrag Nach CrowdStrike: Microsoft plant Security-L\u00f6sungen aus dem Windows-Kernel zu entfernen<\/a> nachgezeichnet.<\/p>\n Zum 26. Juni 2025 erschien bei Microsoft der Artikel\u00a0The Windows Resiliency Initiative: Building resilience for a future-ready enterprise<\/a> von David Weston. Dort erw\u00e4hnte er die \u00a0Windows Resiliency Initiative (WRI)<\/a> und die Microsoft Virus Initiative (MVI)<\/a>. Was in Deutschland die \"Arbeitskreise\" sind, findet bei Microsoft in \"Initiativen\" ihr Gegenst\u00fcck. In der MVI sind Hersteller von Antivirus-Software vertreten.<\/p>\n Microsoft verlangt im MVI 3.0-Programm von den Partnern, dass sie sich verpflichten, bestimmte Ma\u00dfnahmen zur Verbesserung der Sicherheit und Zuverl\u00e4ssigkeit von Windows zu ergreifen. Zu den Anforderungen geh\u00f6ren das Testen von Prozessen zur Reaktion auf Vorf\u00e4lle und die Einhaltung von SDP-Verfahren (Safe Deployment Practices) f\u00fcr Updates auf Windows-Endpunkten.<\/p>\n Im Juli 2025 stellt Microsoft einer Reihe von MVI-Partnern eine nicht \u00f6ffentliche Vorschau der Windows-Endpunkt-Sicherheitsplattform zur Verf\u00fcgung. Die MVI-Partner k\u00f6nnen damit L\u00f6sungen so entwickeln, dass sie au\u00dferhalb des Windows-Kernels laufen. Dies bedeutet laut Microsoft, dass Sicherheitsprodukte wie Antiviren- und Endpunktschutzl\u00f6sungen im Benutzermodus ausgef\u00fchrt werden k\u00f6nnen, genau wie Anwendungen.<\/p>\n Der Artikel\u00a0The Windows Resiliency Initiative: Building resilience for a future-ready enterprise<\/a> enth\u00e4lt noch Stellungnahmen diverser Hersteller von Antivirus-L\u00f6sungen, die das mehr oder weniger freudig begr\u00fc\u00dfen (und Anbieter Sophos ist erst gar nicht aufgef\u00fchrt). Zudem gibt Weston noch einen Ausblick auf weitere \"Innovationen\" aus dem Haus Microsoft (vereinfachte UI f\u00fcr Abst\u00fcrze von Windows, Microsoft Connected Cache, Universal Print etc.).<\/p>\n In den Medien kam meinem Eindruck nach nur \"Microsoft verbannt Virenscanner aus dem Windows-Kernel\" an. Heise titelte\u00a0Microsoft wirft Antivirensoftware aus dem Windows-Kernel<\/a>, bei WinFuture hie\u00df es\u00a0Neues Security-Konzept f\u00fcr Windows: Kein Kernel-Zugang f\u00fcr Antivirus<\/a>, wobei dort der Satz steht, dass sich viele Anbieter vorsichtig geben. Eine klare Verpflichtung zur vollst\u00e4ndigen Verlagerung ihrer Sicherheitsl\u00f6sungen aus dem Kernel-Raum gibt es bislang nicht, hei\u00dft es. F\u00fcr Chip ist dagegen klar:\u00a0Windows radikal: Stehen Virenscanner bald vor dem Aus?<\/a><\/p>\n M\u00f6chte ich alles nicht klein reden, aber es kommt darauf an, dass alle Sicherheitsanbieter der Branche mitziehen und ihre Virenscanner bzw. Sicherheitsl\u00f6sungen aus dem Kernel raushalten. Martin Geu\u00df von Dr. Windows hat das im Artikel\u00a0Windows Kernel-Zugriff f\u00fcr Antivirenprogramme: Die Faulheit darf nicht erneut siegen<\/a> thematisiert und eine interessante Hintergrundinformation beigesteuert. Dort erf\u00e4hrt man, dass die M\u00f6glichkeit f\u00fcr Sicherheitssoftware, im Windows Kernel zu laufen, auf Druck der EU zustande kam. Antivirus-Hersteller hatten sich beschwert, als Microsoft mit dem Defender in Windows als Konkurrent auftrat. W\u00e4hrend der Defender im Kernel lief, bangten die Sicherheitsanbieter mit ihren User-Mode-Scannern ins Hintertreffen zu gelangen. Jetzt also wieder die Rolle r\u00fcckw\u00e4rts und raus aus dem Kernel? Das scheint der – zumindest so kommunizierte – Plan von Microsoft zu sein.<\/p>\n Mir ist vor wenigen Stunden dieser Tweet<\/a> von Sicherheitsexperte Florian Roth untergekommen, in dem er auch nachfolgend das \"Versprechen, Virenscanner aus dem Windows-Kernel zu verbannen\" aufgegriffen hat.<\/p>\n Roth schreibt, dass\u00a0Microsofts neue \"Sicherheitsinitiative f\u00fcr den Benutzermodus\" auf den ersten Blick wie eine notwendige Reaktion auf ein weit verbreitetes architektonisches Risiko aussieht. Doch bei n\u00e4herem Hinsehen handele es sich haupts\u00e4chlich um eine kosmetische Ma\u00dfnahme. Die Darstellung impliziere, dass die M\u00f6glichkeit, Sicherheitsl\u00f6sungen au\u00dferhalb des Windows-Kernels laufen zu lassen, irgendwie neu ist – oder dass die meisten Anbieter die ganze Zeit unverantwortlich auf Kernel-Ebene gearbeitet h\u00e4tten.<\/p>\n Das sei aber nicht wahr, denn die meisten modernen Sicherheitsanbieter f\u00fchren die Erkennungslogik der Virenscanner bereits im Benutzermodus aus und verwenden nur wenige Kernel-Komponenten f\u00fcr den Selbstschutz. Das sei eine g\u00e4ngige Praxis, so Florian Roth. Worum geht es bei dieser Initiative also wirklich?<\/p>\n Roth sch\u00e4lt dann im Tweet heraus, dass es um einen Anbieter – CrowdStrike – geht, dessen Architektur sich \u00fcber diesen Standard hinwegsetzt. Das Unternehmen bettete die Anpassungslogik in einen Kernel-Mode-Treiber ein. Ein ein fehlerhaftes Update, ausgerollt ohne dass eine ordnungsgem\u00e4\u00dfe interne Pr\u00fcfung oder ein Test, brachte weltweit Millionen Computer zum Absturz.<\/p>\n Diese eine Entscheidung von CrowdStrike verursachte den weltweiten Ausfall. Microsoft habe den Vorfall nicht verursacht – aber es nutzt ihn jetzt, um seine Botschaft zu unterstreichen: \"Der Zugriff von Drittanbietern auf den Kernel ist riskant. W\u00e4ren sie im Benutzermodus geblieben oder h\u00e4tten sie unseren Defender verwendet, w\u00e4re das alles nicht passiert.\"<\/p>\n Das Ergebnis? Eine neue Initiative, die sich eher wie eine strategische Positionierung anf\u00fchlt als eine Antwort auf einen umfassenden technischen Bedarf, schreibt Roth. Sie befasse sich mit einem Problem, das f\u00fcr die meisten Anbieter nicht existiert (wer setzt schon CrowdStrike ein). Aber jetzt werde es von Microsoft so dargestellt, als ob das Problem existiert und die Sicherheit von Windows bedroht. CrowdStrike war nicht die Norm, so Roth, das Produkt ware der Ausrei\u00dfer. Und Microsoft hat gerade eine ganze Strategie\u00e4nderung auf diesem Versagen eines Anbieters aufgebaut.<\/p>\n L\u00e4sst zwei Schl\u00fcsse f\u00fcr mich zu: Microsoft steht wegen vieler Sicherheitsvorf\u00e4lle und weiterer Problem m\u00e4chtig unter Druck. Und die andere Sichtweise k\u00f6nnte zum Schluss kommen, dass die EU-Vorgabe, den Kernel f\u00fcr Sicherheitsanbieter zu \u00f6ffnen, jetzt auf die elegante Art ins Grab geschickt wurde. Bringt mich zum Schluss, dass da eine sch\u00f6ne Magier-Show veranstaltet wurde, aber unter dem Strich so etwas wie eine Mogelpackung auf der B\u00fchne herum gereicht wird.<\/p>\n Philip Lieberman, CEO und Gr\u00fcnder von Sicherheitsanbieter Analog Informatics hat mir folgenden Kommentar zu obigem Thema zukommen lassen.<\/p>\n Der Schutz der Kernel-Ring-0-\u00c4nderung des Windows-Betriebssystems kommt mehr als 30 Jahre zu sp\u00e4t. Wir alle, die in den 1990er Jahren mit Windows NT auf Intel-Prozessoren gearbeitet haben, waren verbl\u00fcfft, dass Microsoft die Ger\u00e4tetreiber oberhalb von Ring 0 (privilegierteste) nicht isoliert hat.<\/p>\n Das Design war ein Kompromiss, um fr\u00fche Versuche zu unterst\u00fctzen, Windows plattform\u00fcbergreifend zu machen und Nicht-Intel-Prozessoren zu unterst\u00fctzen. Jeder, der Ger\u00e4tetreiber entwickelt, wei\u00df, dass der kleinste Fehler das Betriebssystem zum Absturz bringt und die Fehlersuche in diesen Treibern bis heute zu einem Albtraum macht.<\/p>\n Es gibt \u00e4hnliche Kompromisse aus dieser Zeit, wie z. B. die Tatsache, dass die C2-Sicherheitsarchitektur nie fertiggestellt wurde, um eine bessere Kontrolle von Verschlusssachen zu erm\u00f6glichen.<\/p>\n Die Fertigstellung der obligatorischen Zugangskontrollteile des Betriebssystems w\u00fcrde es kommerziellen Unternehmen erm\u00f6glichen, den Zugang zu sensiblen Informationen ordnungsgem\u00e4\u00df zu kontrollieren, anstatt auf alberne Hacks und Zusatzsoftware angewiesen zu sein, die kaum funktionieren.<\/p>\n Cutler und sein Team haben ein f\u00fcr die damalige Zeit fantastisches Betriebssystem entwickelt. Aber man hat ihnen nie erlaubt, die Vision zu Ende zu f\u00fchren.<\/p>\n Microsoft hat uns\u00e4glich viel Zeit seines eigenen Unternehmens und seiner Kunden damit verschwendet, alberne Benutzeroberfl\u00e4chen einzuf\u00fchren und Industriestandardtechnologien f\u00fcr die Plattformentwicklung aufzugeben (d. h. das Gesch\u00e4ft mit Windows Phone und eingebetteten Betriebssystemen mit ihren .NET- und Metro-Oberfl\u00e4chen zu zerst\u00f6ren).<\/p>\n Durch diese Fehlentscheidungen und das Vers\u00e4umnis, auf seine Entwickler und Kunden zu h\u00f6ren, hat Microsoft es Google und Apple erm\u00f6glicht, im \u00fcbertragenen Sinne sein Mittagessen zu essen.<\/p>\n Ihr j\u00fcngster Schritt, Windows 10-Nutzer auf dem Altar der \"Sicherheit\" im Stich zu lassen, ist tragisch komisch, wenn man bedenkt, dass sie jetzt endlich dazu \u00fcbergehen, den Kern des Betriebssystems zu sch\u00fctzen.<\/p><\/blockquote>\n \u00c4hnliche Artikel: [English]Ende Juni 2025 gab es Meldungen (habe ich jedenfalls so interpretiert), dass Virenscanner in \"B\u00e4lde\" nicht mehr den Kernelmode von Windows verwenden d\u00fcrfen. Der CrowdStrike-Fall, der Millionen Windows-Systeme lahm legte, war laut Microsoft die endg\u00fcltige Warnung, den Schritt einzuleiten. Die … Weiterlesen Microsoft reagiert mit Pl\u00e4nen …<\/h2>\n
Es geht angeblich an die Umsetzung<\/h2>\n
Sicherheitsexperte zur neuen Initiative<\/h2>\n
![\"Florian](\"https:\/\/i.postimg.cc\/3xzMhzCg\/image.png\")
<\/a><\/p>\nKommentar von Sicherheitsanbieter<\/h2>\n
\n<\/strong>Ausfall von Microsoft 365 und weltweite St\u00f6rungen \u2013 wegen CrowdStrike-Update, was zum BSOD f\u00fchrt?<\/a>
\nWieso weltweit zahlreiche IT-Systeme durch zwei Fehler am 19. Juli 2024 ausfielen<\/a>
\nCrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen f\u00fchrte<\/a>
\nNachlese des CrowdStrike-Vorfalls, der bisher gr\u00f6\u00dften Computerpanne aller Zeiten<\/a>
\nCrowdStrike: Untersuchungsbericht; Schadenssumme und Entsch\u00e4digungen; Schuldzuweisungen<\/a>
\nMicrosofts Analyse des CrowdStrike-Vorfalls und Empfehlungen<\/a>
\nKommunal IT-Dienstleister S\u00fcdwestfalen-IT nach Cybervorfall und CrowdStrike Bremsspuren endlich wieder arbeitsf\u00e4hig<\/a>
\nCrowdStrike-Nachlese: Neuer Bericht, aktueller Status, Klagen und deren Konter<\/a>
\nErneut Probleme mit CrowdStrike (22. August 2024)<\/a>
\nNach CrowdStrike: Microsoft plant Security-L\u00f6sungen aus dem Windows-Kernel zu entfernen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"