Crowdstrike-Ausfall: Was wurde aus dem IT-Fiasko gelernt?
Größter IT-Ausfall aller Zeiten:Was hat uns das Crowdstrike-Fiasko gelehrt?
von Nils Metzger
|
Vor einem Jahr löste der IT-Dienstleister Crowdstrike massive weltweite Computerausfälle aus. Wurden daraus Konsequenzen gezogen? Und könnte das heute wieder passieren?
Flugausfälle, Schäden in Milliardenhöhe: Der Crowdstrike-Ausfall vor einem Jahr offenbarte, wie verwundbar viele Unternehmen sind. Was wurde daraus gelernt? (Archivbild)
Quelle: Imago
Der 19. Juli 2024 war ein Tag, an dem die IT-Welt in weiten Teilen stillstand. Mehr als acht Millionen Windows-Rechner in Unternehmen zeigten plötzlich die gefürchtete blaue Fehlermeldung, den "Blue Screen of Death". Nichts ging mehr. Von Zürich bis Washington fielen Tausende Flüge aus. Krankenhäuser und Banken schalteten in den Notbetrieb.
Verantwortlich für den wohl größten IT-Ausfall der Geschichte vor genau einem Jahr war die Software des IT-Sicherheitsdienstleister Crowdstrike, einem milliardenschweren US-Techgiganten. Eigentlich sollte Crowdstrike IT-Infrastruktur sicherer machen, doch ein fehlerhaftes Update in Kombination mit Microsoft-Produkten löste eine fatale Kettenreaktion aus.
In zahlreichen Ländern - darunter auch Deutschland - musste der Flugverkehr wegen technischer Ausfälle weitgehend eingestellt werden. 19.07.2024 | 3:30 min
Warum war das Ausmaß der Schäden so groß?
"Es war eine unglückliche Verkettung mehrerer Faktoren: Unzureichende Qualitätssicherung bei Crowdstrike in Verbindung mit einem globalen IT-Monopol bei Microsoft", erklärt Dennis-Kenji Kipker vom Cyberintelligence Institute in Frankfurt am Main. Microsofts Windows-Betriebssystem hätte der Sicherheitssoftware zu viele Privilegien erteilt, sagt Kipker ZDFheute. So brachte der Fehler bei einem Programm den ganzen Rechner zum Absturz.
Die Wahrscheinlichkeit von großen und flächendeckenden IT-Ausfällen steigt. In der Branche hält man es für nicht unwahrscheinlich, dass ein vergleichbares Ereignis wie bei Crowdstrike nochmal auftritt.
„
Dennis-Kenji Kipker, Cyberintelligence Institute
Bis der Vorfall aufgearbeitet sei, könnte es Monate dauern, sagte IT-Sicherheitsexperte Dennis-Kenji Kipker im vergangenen Jahr.19.07.2024 | 9:51 min
Warum werden Unternehmen immer verwundbarer?
"Der Grad an Auslagerung in die Cloud nimmt zu und dadurch steigt automatisch die Verwundbarkeit", sagt Kipker. "Unternehmen und Behörden haben immer weniger eigenes IT-Fachwissen." Selbst IT-Leitungen hätten teils gar keinen Überblick, welche Software ihre eigenen Abteilungen und externe Dienstleister einsetzten.
Schnell war klar, dass der Crowdstrike-Ausfall ein Fehler war, kein gezielter Angriff. Aber: "Wir erleben zunehmend, dass Cyberangriffe auf die digitale Lieferkette erfolgreich sind. Also Unternehmen werden nicht selbst kompromittiert, für Cyberkriminelle sind Anbieter von Cloud-Lösungen und digitalen Dienstleistungen viel interessanter", so Kipker, der IT-Sicherheitsrecht an der Hochschule Bremen lehrt.
Quasi im Wochentakt müssen Großkonzerne Kunden und Geschäftspartner darüber informieren, dass sie von Angriffen auf externe Dienstleister betroffen sind. Ende Mai traf es den Kundendienst von Adidas, vergangene Woche die Fluggesellschaft Quantas. Oft sind direkt Millionen Datensätze betroffen.
Cyberangriffe nehmen in Deutschland jährlich zu. Fachleute diskutierten auf der Potsdamer Konferenz für Nationale Cybersicherheit, wie für mehr Sicherheit gesorgt werden kann.21.05.2025 | 2:32 min
Gab es im Fall Crowdstrike Konsequenzen?
Für einen IT-Sicherheitsanbieter wie Crowdstrike ist so ein Ausfall das größtmögliche Desaster - mag man meinen. Doch der Aktienkurs erholte sich innerhalb eines halben Jahres und eine Massenklage von Flugpassagieren wurde Mitte Juni in Texas abgewiesen. Die besonders betroffene Airline Delta klagt weiterhin.
"Das hat auch Sicherheitsexperten überrascht, wie gut Crowdstrike aus diesem Vorfall herausgekommen ist", sagt Experte Kipker unter Verweis auf Schäden in Milliardenhöhe. "Wenige Kunden sind in Folge abgewandert, auch weil eine Umstellung enorm aufwändig gewesen wäre." Sowohl Crowdstrike als auch Microsoft hatten im Anschluss Prozesse angepasst und Besserung gelobt. "Für die meisten Unternehmen war der Kuchen damit gegessen."
Laut Branchenverband Bitkom waren fast die Hälfte aller deutschen Unternehmen vom Crowdstrike-Ausfall betroffen. Strukturelle Änderungen habe es laut Kipker trotzdem kaum gegeben.
Alle sind verwundbar. Es macht keinen Unterschied, ob wir staatliche Strukturen nehmen oder kleine und mittelständische Unternehmen. Im Software-Bereich werden immer mehr Monokulturen aufgebaut.
„
Dennis-Kenji Kipker, Cyberintelligence Institute
Kipker verweist etwa auf den Anbieter Datev und seine Buchhaltungssoftware: "Zigtausende Unternehmen in Deutschland verlassen sich darauf, dass das funktioniert. Wenn sowas über mehrere Tage ausfallen sollte, hätten wir erhebliche volkswirtschaftliche Schäden."
Cyberangriffe - die haben zuletzt stark zugenommen. Wie also darauf reagieren. In Potsdam wurde auf der Cybersicherheitskonferenz zwei Tage lang diskutiert, wie man darauf reagieren kann. 23.05.2025 | 2:27 min
Braucht es strengere staatliche Regeln?
Unabhängig von dem Crowdstrike-Vorfall werden in Europa die IT-Sicherheitsbestimmungen verschärft. Ab Dezember 2027 müssen alle digitalen Produkte Mindestanforderungen an die digitale Sicherheit erfüllen. Dazu kommt die sogenannte NIS2-Richtlinie. In Deutschland steigen dadurch Vorgaben für etwa 30.000 Unternehmen. Diese Bestimmungen sollen gegen Cyberkriminalität und hybride Angriffe helfen, können aber auch dazu führen, dass Nachlässigkeiten wie im Fall Crowdstrike weniger Schaden anrichten.
Doch der Zeitplan stockt. Eigentlich sollten die NIS2-Vorgaben schon bis Oktober 2024 in nationales Recht umgesetzt werden. Diese Frist hat Deutschland verpasst. Aktuell liegt das Gesetz als Referentenentwurf vor, wann es zur Abstimmung in den Bundestag kommt, ist noch nicht klar.
Der Staat kann höchstens Leitlinien und Sanktionen aussprechen. Das Bewusstsein für mehr Cybersicherheit muss von den Unternehmen selbst kommen. Das ist definitiv nicht der Fall.
„
Dennis-Kenji Kipker, Cyberintelligence Institute
Zeitdruck macht dabei auch die Trump-Administration in den USA. Dort erlebt die Cybersicherheitsbehörde eine massive Kürzung bei Personal und Budget. Auflagen für Datenschutz werden gelockert, Ermittlungen nach großen Sicherheitsvorfällen eingestellt. Sich blind auf große US-Dienstleister zu verlassen, dürfte noch mehr zum Risiko werden.
Amerikanische Tech-Unternehmen dominieren den globalen Cloud-Markt. Doch unter Trump schwindet das Vertrauen in die Konzerne - und die Abhängigkeit wird zunehmend zum Problem.