Die jüngste Großstörung durch ein fehlerhaftes CrowdStrike-Update hat nicht nur die Security-Szene, sondern auch Microsoft auf Trab gehalten. Millionen von PCs weltweit waren betroffen, was sowohl IT-Techniker als auch Unternehmen vor große Herausforderungen stellte.

Microsofts Krisenmanagement: Techniker im Dauereinsatz

Microsoft hat Hundertschaften von Technikern mobilisiert, um betroffene Kunden zu unterstützen. Diese Teams arbeiten unermüdlich daran, Windows-Systeme, die nach dem Update nicht mehr starten, wieder zum Laufen zu bringen. Laut Microsoft sind rund 8,5 Millionen Systeme betroffen – eine Zahl, die sich aus den Telemetriedaten des Unternehmens ergibt. Diese Zahl entspricht etwa einem Prozent aller Windows-Rechner, wobei betroffene Systeme überproportional häufig in Unternehmen zu finden sind. Das liegt daran, dass CrowdStrike Falcon, die betroffene Software, hauptsächlich in professionellen Umgebungen eingesetzt wird.

Die Ursachensuche: Ein Null-Pointer-Fehler

Während Microsoft mit der Behebung der Schäden beschäftigt ist, forschen IT-Sicherheitsexperten nach der genauen Ursache des Fehlers. Der Konsens: Es handelt sich um einen „Null-Pointer“-Fehler. Doch wo genau dieser Fehler im Update steckt, bleibt Gegenstand intensiver Analysen. Der IT-Security-Experte Patrick Wardle hat den Fehler mittels Disassembler untersucht und herausgefunden, dass die fehlerhafte „Channel-Datei“ mit der Nummer 291 der Übeltäter ist. Der eigentliche Kerneltreiber CSAgent.sys blieb unverändert. CrowdStrike hat diese Analyse bestätigt und betroffene Kunden angewiesen, die fehlerhafte Datei zu löschen.

Börsenwert im freien Fall

Die CrowdStrike-Aktie hat durch die Störung erheblich gelitten. Am Freitag fiel der Kurs um 11,1 Prozent, nachbörslich um knapp ein weiteres Prozent. Insgesamt hat das Unternehmen seit Beginn der Störung etwa 20 Milliarden US-Dollar an Marktkapitalisierung verloren. Trotzdem bleibt das Unternehmen stabil, da der Börsenwert in den letzten 12 Monaten mehr als verdoppelt wurde.

Cyberkriminelle nutzen die Krise

Parallel zur technischen und finanziellen Krise haben Cyberkriminelle die Situation ausgenutzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte bereits am Samstag vor Phishing-Wellen und Cyberangriffen. Fake-Domains wie crowdstrike.phpartners[.]org und crowdstrikedown[.]com tauchten schnell auf, um ahnungslose Nutzer in die Falle zu locken. Eine umfassende Liste dieser Domains steht Mitgliedern von heise security PRO zur Verfügung.

Humor in der Krise

Trotz des Ernstes der Lage zeigt sich die IT-Security-Szene auch von ihrer humorvollen Seite. Domains wie „clownstrike“, „failstrike“ und „crowdstuck“ kursieren als humorvolle Anspielungen auf die Großstörung. Diese Tradition, wohlklingende Namen für schwerwiegende Fehler und Cyberangriffe zu vergeben, ist in der IT-Security-Welt weit verbreitet – man denke nur an Begriffe wie Shellshock oder Heartbleed.

Alte Software als Schutzengel

Interessanterweise meldeten einige Unternehmen, dass sie dank veralteter Software von der Störung verschont blieben. Selbst wer seine Installation von CrowdStrike Falcon angewiesen hatte, Updates zu unterlassen, erhielt das als „Inhaltsaktualisierung“ markierte Update trotzdem, was bei manchen eher Galgenhumor auslöste.

Die Aufarbeitung dieses Vorfalls wird sicherlich noch einige Zeit in Anspruch nehmen. Bis dahin bleibt zu hoffen, dass solche Fehler in Zukunft vermieden werden können – und dass sich Unternehmen besser gegen ähnliche Vorfälle wappnen können.