Der Tag, an dem die IT-Welt kollektiv blau machte: Anatomie eines globalen Mega-Fails.
Ein Update von ein paar mickrigen Kilobyte, das eigentlich für mehr Sicherheit sorgen sollte, schickte im Sommer 2024 die halbe Welt in den erzwungenen Offline-Modus. Der CrowdStrike-Vorfall ist nicht nur ein spektakulärer IT-Gau, er ist ein Lehrstück darüber, was passiert, wenn man dem falschen Türsteher die Schlüssel zum gesamten Club überlässt.
Freitag, der 19. Juli: Nichts geht mehr
Es begann wie ein völlig normaler Freitagmorgen. In den IT-Abteilungen freute man sich schon aufs Wochenende, als plötzlich die Ticket-Systeme förmlich explodierten. Und zwar nicht nur hier und da, es war ein globaler Flächenbrand. An den Flughäfen blieben die Check-in-Schalter tot, Flugzeuge blieben am Boden. Banken machten dicht, Krankenhäuser mussten Not-OPs verschieben.
Der gemeinsame Nenner all dieser lahmgelegten Systeme: Sie liefen unter Windows und nutzten die sündhaft teure Sicherheitssoftware Falcon
von CrowdStrike. Das Ergebnis sah auf Millionen von Bildschirmen rund um den Globus exakt gleich aus: der gute alte Blue Screen of Death (BSOD). Ein nostalgischer Anblick, den man in dieser Größenordnung eigentlich für ausgestorben hielt.
Wenn der Türsteher randaliert
Um zu verstehen, wie es zu diesem Desaster kommen konnte, müssen wir einen kurzen Blick unter die Haube von modernen Endpoint-Detection-and-Response-Systemen (EDR) werfen. Damit Software wie der Falcon-Sensor clevere Malware oder Zero-Day-Exploits überhaupt erwischen kann, muss sie sich so tief wie möglich ins Betriebssystem eingraben.
Sie agiert im sogenannten Kernel-Modus (Ring 0), also der Ebene mit den absoluten Chef-Rechten.
Und genau da liegt das Problem: Wer auf Ring 0 operiert, darf absolut keine Fehler machen. Wenn sich im normalen User-Modus, also dort, wo unsere Browser und Office-Programme laufen, eine App verschluckt, stürzt eben die App ab. Ärgerlich, aber harmlos. Wenn aber im Kernel-Modus etwas schiefgeht, reißt das unweigerlich das komplette Windows in den Abgrund. Das System zieht die Notbremse, um Datenkorruption zu verhindern.
Der Bug im Detail: Es war nicht mal ein riesiges Versions-Update, das die Apokalypse auslöste, sondern lediglich ein kleines Konfigurations-Update, ein sogenanntes Channel File
. Ein winziger Logikfehler in dieser Datei führte im Falcon-Treiber zu einem Speicherzugriffsfehler. Der Kernel merkte, dass der Treiber auf Bereiche zugreifen wollte, die ihn nichts angingen, und schaltete sofort die Lichter aus.
Russisches Roulette beim Deployment
Dass Code mal Bugs enthält, wissen wir alle. Das ist nervig, aber Realität. Der eigentliche Skandal an diesem Freitag war in diesem Fall allerdings das völlig fehlende Sicherheitsnetz bei der Auslieferung.
In einer Zeit, in der uns das Mantra von Continuous Deployment
und automatisierten Testschleifen vorgebetet wird, brach CrowdStrike die heiligste aller Release-Regeln. Anstatt das Update brav in Wellen auszurollen, erst 1 Prozent der Rechner, dann 10 Prozent, und wenn alles stabil läuft, den Rest, wurde das fehlerhafte Update einfach pauschal an alle aktiven Sensoren weltweit rausgejagt.
Millionen Windows-Rechner luden sich die toxische Datei herunter, führten sie aus und verabschiedeten sich ins Nirvana.
Turnschuhnetzwerk reloaded: Der Admin-Albtraum
Das wirklich Perfide an diesem Bug war die Art und Weise, wie man ihn beheben musste. Da die PCs und Server beim Booten sofort wieder den Bluescreen zeigten, war das bequeme Remote-Management über das Netzwerk tot. Die Maschinen hingen in einer endlosen Boot-Schleife fest.
Für Systemintegratoren und Admins begann ein Wochenende, das sie so schnell nicht vergessen werden. Die Lösung klang simpel, war in der Praxis aber die reine Handarbeit:
- Schritt 1: Zum Rechner laufen (physisch!).
- Schritt 2: Im abgesicherten Modus starten.
- Schritt 3: Den 48-stelligen BitLocker-Recovery-Key eintippen (falls man ihn griffbereit hatte).
- Schritt 4: Über die Kommandozeile in die Untiefen von Windows abtauchen.
- Schritt 5: Die schuldige Datei manuell löschen und neu starten.
Was am heimischen Gaming-PC fünf Minuten dauert, wird bei Firmennetzwerken mit zehntausenden Endgeräten zur absoluten Sisyphusarbeit.
Die Quittung: Ein Milliarden-Kater
Wenn weltweit die Bänder stillstehen, wird es teuer, richtig teuer. Die wirtschaftlichen Schäden dieses kleinen
Updates schossen innerhalb von Stunden in gigantische Höhen. Experten schätzten den globalen direkten und indirekten wirtschaftlichen Schaden auf rund 15 Milliarden US-Dollar.
Allein die US-Fluggesellschaft Delta Airlines bezifferte ihren eigenen Verlust durch tausende gestrichene Flüge auf rund 500 Millionen Dollar und drohte prompt mit einer massiven Klage. Und CrowdStrike selbst? Die bekamen die Quittung direkt an der Börse serviert.
Die Aktie stürzte in den Tagen nach dem Vorfall ab, womit Milliarden an Börsenwert in Rauch aufgingen. Der verzweifelte Versuch, die gestressten IT-Admins als Entschuldigung mit einem läppischen 10-Dollar-Gutschein für »Uber Eats« abzuspeisen, sorgte dann noch für den endgültigen PR-Totalschaden.
Mehr zum Thema: Wieso die digitale Sicherheit im Netz von chaotisch brodelnden Wachsblasen abhängt
Fazit: Wer bewacht die Wächter?
Der CrowdStrike-Fail ist ein massiver Weckruf für die gesamte Branche und zeigt uns schmerzhaft das Risiko von IT-Monokulturen. Wir investieren ein Vermögen, um Netzwerke gegen Hacker abzuhärten, und vergessen dabei völlig, dass die eigenen Schutzmechanismen zum Single Point of Failure werden können.
Es reicht eben nicht, alle Systemrechte an einen Drittanbieter outzusourcen und blind auf dessen Auto-Updater zu vertrauen. Der 19. Juli 2024 wird definitiv in die IT-Geschichtsbücher eingehen – als der Tag, an dem wir lernen mussten, dass der teuerste Bodyguard manchmal derjenige ist, der die Bank in die Luft jagt.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.