Europäische Gesetzgebung als Beispiel für IT-Sicherheit nach dem Crowdstrike-Debakel.
Der katastrophale CrowdStrike-Ausfall hat die Fragilität unserer modernen digitalen Infrastruktur schmerzlich offenbart. Der weltweite IT-Systemausfall, der durch ein fehlgeschlagenes Software-Update des Cybersicherheitsunternehmens CrowdStrike Holdings Inc. verursacht wurde, hat an Flughäfen, Börsen und Krankenhäusern für Chaos gesorgt. Diese Vorfälle scheinen immer häufiger vorzukommen, was ein besorgniserregender Trend ist.
Der Ausfall war auf ein Update der Falcon-Software von CrowdStrike zurückzuführen, die Systeme vor Viren und Cyber-Bedrohungen schützen soll. Falcon, das Microsoft zu seinen Großkunden zählt, hat Zugriff auf einen entscheidenden Kern von Betriebssystemen wie Windows. Diese Art des Zugriffs ist notwendig, um zu verhindern, dass böswillige Hacker die Antivirensoftware deaktivieren. Sollte sich jedoch wie jetzt ein Fehler in das Software-Update einschleichen, sind die Folgen verheerend.
Konsequenzen für die Welt
Dieses Mal war das Ausmaß des Ausfalls beispiellos. Windows-Computer weltweit zeigten das gefürchtete „Blue Screen of Death“, was sie unbrauchbar macht. Fluggesellschaften mussten Flugzeiten auf Whiteboards schreiben und handgeschriebene Papiertickets ausstellen. Ein britischer Fernsehsender wurde vorübergehend eingestellt. Obwohl inzwischen eine Lösung ausgerollt wurde, zeigt dieser Ausfall, wie abhängig wir von einer Handvoll Cloud-Anbietern sind.
Die Schuld liegt nicht nur bei CrowdStrike, sondern auch bei Microsoft, das für die Robustheit seines Betriebssystems verantwortlich ist. Laut einem Blogbeitrag von CrowdStrike waren interessanterweise die Betriebssysteme von Apple und Linux von dem Ausfall nicht betroffen. Beide Systeme gewähren Falcon keinen Zugriff auf ihren Kern, was nun eine vernünftige Wahl zu sein scheint. Microsoft antwortete nicht auf Anfragen nach Kommentaren.
Bei diesem Vorfall handelte es sich nicht um einen Cyberangriff, sondern um das Ergebnis der Komplexität der Cloud-IT-Prozesse. Im letzten Jahrzehnt hat sich die Cybersicherheitsbranche als Beschützer gegen alle Arten von Bedrohungen positioniert, dabei wurde jedoch möglicherweise die grundlegende IT-Hygiene vernachlässigt. „In den letzten Jahren haben die meisten unserer Kunden mehr für Cybersicherheit als für IT ausgegeben“, sagte Palo Alto Networks Inc. CEO Nikesh Arora Anfang des Jahres.

Eine mögliche technische Lösung ist das seit Jahren angewandte „Double Booting“ für Software-Updates. Joao Alves, Leiter der Technik beim Online-Marktplatz Adevinta, twitterte, dass die Technologiebranche wahrscheinlich von Cloud-Anbietern verlangen wird, doppelte Boot-Prozeduren für Updates zu implementieren. Dabei muss das System einmal neu gestartet werden, um das Update anzuwenden, und ein zweites Mal, um die Systemstabilität sicherzustellen, bevor die Änderungen vollständig aktiviert werden. Microsoft hat noch nicht auf Fragen dazu geantwortet, ob sie diese Verfahren verwenden.
Cloud-Anbieter
Die größere Herausforderung liegt in der Abhängigkeit von nur wenigen dominanten Cloud-Anbietern, was Unternehmen anfällig für einige Fehlerquellen macht. Nur drei Unternehmen – Microsoft, Amazon und Google – dominieren den Cloud-Computing-Markt. Das bedeutet, dass ein kleiner Vorfall weltweite Folgen haben kann.
Den größten Fortschritt bei der Bekämpfung dieser Marktmonopole hat der europäische Gesetzgeber mit seinem neuen Datengesetz erzielt, das darauf abzielt, die Kosten für den Wechsel zwischen Cloud-Anbietern zu senken und die Interoperabilität zu verbessern. Auch der US-Gesetzgeber sollte Maßnahmen ergreifen. Eine mögliche Maßnahme könnte darin bestehen, Unternehmen in kritischen Sektoren wie Gesundheitswesen, Finanzen, Transport und Energie zu verpflichten, mehr als einen Cloud-Anbieter für ihre Kerninfrastruktur zu nutzen. Dadurch wird sichergestellt, dass kein einzelner Anbieter für mehr als zwei Drittel seiner kritischen IT-Infrastruktur verantwortlich ist.
Der Ausfall am Freitag ist eine schmerzhafte Erinnerung an die Gefahren unserer aktuellen IT-Infrastruktur. Es wäre eine Schande, diese Chance nicht als Katalysator für Veränderungen zu nutzen. Indem wir aus diesen Vorfällen lernen und strukturelle Verbesserungen umsetzen, können wir verhindern, dass solche Albträume wieder zur Realität werden.