Crowdstrikes massiver Cyber-Ausfall ein Jahr später: Lehren, die Unternehmen zur Verbesserung ihrer Sicherheit ziehen können

Wie wir bereits in unserer ersten Analyse des CrowdStrike-Vorfalls schrieben, war der Ausfall vom 19. Juli 2024 eine eindringliche Erinnerung an die Bedeutung von Cyber-Resilienz. Ein Jahr später haben sowohl CrowdStrike als auch die gesamte Branche einen tiefgreifenden Wandel durchgemacht. Auslöser waren 78 Minuten, die alles veränderten.

„Der erste Jahrestag des 19. Juli markiert einen Moment, der unsere Kunden und Partner tief beeindruckt hat und zu einem der prägendsten Kapitel in der Geschichte von CrowdStrike wurde“, schrieb CrowdStrike-Präsident Mike Sentonas in einem Blog, in dem er den einjährigen Weg des Unternehmens hin zu mehr Widerstandsfähigkeit beschrieb.

Die Zahlen sind weiterhin ernüchternd: Ein fehlerhaftes Channel File 291-Update, das um 04:09 UTC bereitgestellt und nur 78 Minuten später wieder rückgängig gemacht wurde, ließ weltweit 8,5 Millionen Windows-Systeme abstürzen. Versicherungsschätzungen zufolge belaufen sich die Schäden allein für die 500 größten US-Unternehmen auf 5,4 Milliarden US-Dollar. Besonders hart traf es die Luftfahrt mit 5.078 weltweit ausgefallenen Flügen.

Steffen Schreier, Senior Vice President für Produkte und Portfolio bei Telesign , einem Unternehmen von Proximus Global, bringt die Bedeutung dieses Vorfalls auch ein Jahr später auf den Punkt: „Ein Jahr später ist der CrowdStrike-Vorfall nicht nur in Erinnerung geblieben, er ist einfach nicht zu vergessen. Ein routinemäßiges Software-Update, das ohne böse Absicht installiert und in nur 78 Minuten zurückgesetzt wurde, legte dennoch kritische Infrastruktur weltweit lahm. Kein Datenleck. Kein Angriff. Nur ein interner Fehler mit globalen Folgen.“

Seine technische Analyse enthüllt unbequeme Wahrheiten über moderne Infrastrukturen: „Das ist der eigentliche Weckruf: Selbst Unternehmen mit bewährten Verfahren, einem stufenweisen Rollout und einem schnellen Rollback können die Risiken, die durch die Infrastruktur entstehen, die eine schnelle, Cloud-native Bereitstellung ermöglicht, nicht umgehen. Dieselbe Geschwindigkeit, die uns schnellere Auslieferungen ermöglicht, erhöht auch den Explosionsradius, wenn etwas schiefgeht.“

Die Ursachenanalyse von CrowdStrike deckte eine Reihe technischer Fehler auf: eine Nichtübereinstimmung der Eingabefelder im IPC-Vorlagentyp, fehlende Laufzeit-Array-Grenzwertprüfungen und einen Logikfehler im Content Validator. Dies waren keine Randfälle, sondern grundlegende Qualitätskontrolllücken.

Merritt Baer, der künftige Chief Security Officer bei Enkrypt AI und Berater von Unternehmen wie Andesite, liefert wichtige Einblicke: „Der Ausfall von CrowdStrike war demütigend; er hat uns daran erinnert, dass selbst sehr große, etablierte Unternehmen manchmal Prozesse falsch machen. Dieses spezielle Ergebnis war zwar in gewisser Weise Zufall, hätte aber niemals möglich sein dürfen. Es zeigte, dass sie es versäumt hatten, grundlegende CI/CD-Protokolle zu implementieren.“

Ihre Einschätzung ist direkt, aber fair: „Hätte CrowdStrike das Update in Sandboxes ausgerollt und es nur schrittweise in die Produktion geschickt, wie es die beste Vorgehensweise ist, wäre es, wenn überhaupt, weniger katastrophal gewesen.“

Baer erkennt jedoch auch die Reaktion von CrowdStrike an: „Die Kommunikationsstrategie von CrowdStrike zeugt von guter Eigenverantwortung der Geschäftsführung. Führungskräfte sollten immer Verantwortung übernehmen – es ist nicht die Schuld des Praktikanten. Wenn Ihr Junior-Mitarbeiter etwas falsch macht, ist es meine Schuld. Es ist unsere Schuld als Unternehmen.“

George Kurtz, Gründer und CEO von CrowdStrike, verkörperte dieses Eigentümerprinzip. In einem LinkedIn-Beitrag zum Jubiläum schrieb er: „Vor einem Jahr standen wir vor einem Moment, der alles auf die Probe stellte: unsere Technologie, unsere Abläufe und das Vertrauen, das andere in uns setzten. Als Gründer und CEO habe ich diese Verantwortung persönlich übernommen. Das habe ich immer getan und werde es auch immer tun.“

Seine Perspektive zeigt, wie das Unternehmen die Krise in Transformation umwandelte: „Was uns ausmachte, war nicht der Moment, sondern alles, was danach kam. Von Anfang an war unser Fokus klar: ein noch stärkeres CrowdStrike aufzubauen, basierend auf Widerstandsfähigkeit, Transparenz und konsequenter Umsetzung. Unser Leitstern waren immer unsere Kunden.“

CrowdStrikes Antwort konzentrierte sich auf das Resilient by Design-Framework, das laut Sentonas über „schnelle Lösungen oder oberflächliche Verbesserungen“ hinausgeht. Die drei Säulen des Frameworks – die grundlegenden, adaptiven und kontinuierlichen Komponenten – repräsentieren ein umfassendes Umdenken in der Funktionsweise von Sicherheitsplattformen.

Zu den wichtigsten Implementierungen gehören:

• Sensor-Selbstwiederherstellung : Erkennt automatisch Absturzschleifen und wechselt in den abgesicherten Modus
• Neues Content-Distribution-System : Ringbasierte Bereitstellung mit automatisierten Sicherheitsvorkehrungen
• Verbesserte Kundenkontrolle : Granulares Update-Management und Funktionen zum Fixieren von Inhalten
• Digital Operations Center : Speziell errichtete Einrichtung zur globalen Infrastrukturüberwachung
• Falcon Super Lab : Testen von Tausenden von Betriebssystem-, Kernel- und Hardwarekombinationen

„Wir haben nicht nur ein paar Optionen zur Inhaltskonfiguration hinzugefügt“, betonte Sentonas in seinem Blog. „Wir haben grundlegend neu gedacht, wie Kunden mit Unternehmenssicherheitsplattformen interagieren und diese steuern können.“

Der Vorfall erzwang eine umfassendere Auseinandersetzung mit den Abhängigkeiten von Lieferanten. Baer formulierte die Lektion deutlich: „Eine wichtige praktische Lektion war, dass Ihre Lieferanten Teil Ihrer Lieferkette sind. Als CISO sollten Sie daher das Risiko prüfen, um sich dessen bewusst zu sein. Kurz gesagt: Dieses Problem lag auf der Anbieterseite des Modells der geteilten Verantwortung. Ein Kunde hätte es nicht kontrollieren können.“

Der Ausfall von CrowdStrike hat die Bewertung von Anbietern nachhaltig verändert: „Ich sehe, dass erfolgreiche CISOs und CSOs daraus lernen, mit welchen Unternehmen sie zusammenarbeiten möchten und welche Sicherheit ihnen die Zusammenarbeit bietet. Ich arbeite nur mit Unternehmen zusammen, deren Sicherheitslage ich respektiere. Sie müssen nicht perfekt sein, aber ich möchte sicher sein, dass sie langfristig die richtigen Prozesse umsetzen.“

Sam Curry, CISO bei Zscaler, fügte hinzu: „Was CrowdStrike passiert ist, war bedauerlich, aber es hätte vielen passieren können. Deshalb sollten wir ihnen im Nachhinein vielleicht nicht die Schuld geben. Ich möchte sagen, dass die Welt dies genutzt hat, um sich neu zu orientieren und der Resilienz mehr Aufmerksamkeit zu schenken. Das ist ein Gewinn für alle, denn unser gemeinsames Ziel ist es, das Internet für alle sicherer zu machen.“

Schreiers Analyse geht über CrowdStrike hinaus und umfasst die grundlegende Sicherheitsarchitektur: „Geschwindigkeit im großen Maßstab hat ihren Preis. Jedes Routine-Update birgt heute das Risiko eines Systemausfalls. Das bedeutet mehr als nur Tests, sondern auch Sicherheitsvorkehrungen für mehr Widerstandsfähigkeit: mehrschichtige Abwehrmaßnahmen, automatische Rollback-Pfade und Ausfallsicherungen, die davon ausgehen, dass Telemetriedaten genau dann verloren gehen könnten, wenn man sie am dringendsten benötigt.“

Seine wichtigste Erkenntnis betrifft ein Szenario, das viele nicht bedacht hatten: „Und wenn die Telemetriedaten ausfallen, braucht man Sicherheitsvorkehrungen, die davon ausgehen, dass die Sichtbarkeit verschwinden könnte.“

Dies stellt einen Paradigmenwechsel dar. Schreier fasst zusammen: „Heutzutage geht es bei Sicherheit nicht nur darum, Angreifer fernzuhalten – es geht darum, absolut sicherzugehen, dass die eigenen Systeme nie zum einzigen Ausfallpunkt werden.“

Baer sieht die nächste Entwicklung bereits im Entstehen: „Seitdem die Cloud es uns ermöglicht, Infrastruktur als Code zu entwickeln, aber insbesondere jetzt, da KI uns ermöglicht, Sicherheit anders zu handhaben, betrachte ich, wie Infrastrukturentscheidungen durch die Autonomie von Mensch und KI abgesichert werden. Wir können und sollten bei Prozessen wie erzwungenen Updates, insbesondere bei hohen Berechtigungsstufen, auf logisches Denken und eine effektive Risikominderung setzen.“

Zu den zukunftsweisenden Initiativen von CrowdStrike gehören:

• Einstellung eines Chief Resilience Officer, der direkt dem CEO unterstellt ist
• Project Ascent erkundet Möglichkeiten jenseits des Kernel-Speicherplatzes
• Zusammenarbeit mit Microsoft an der Windows Endpoint Security Platform
• ISO 22301-Zertifizierung für Business Continuity Management

Ein Jahr später ist der Wandel deutlich spürbar. Kurtz blickt zurück: „Wir sind heute ein stärkeres Unternehmen als vor einem Jahr. Die Arbeit geht weiter. Die Mission bleibt bestehen. Und wir entwickeln uns weiter: stärker, intelligenter und engagierter denn je.“

Kurtz würdigt auch diejenigen, die dem Unternehmen zur Seite standen: „An alle Kunden, die uns auch in schwierigen Zeiten treu geblieben sind: Vielen Dank für Ihr anhaltendes Vertrauen. An unsere großartigen Partner, die uns stets zur Seite standen und die Ärmel hochkrempelten: Vielen Dank, dass Sie unsere erweiterte Familie sind.“

Die Folgen des Vorfalls reichen weit über CrowdStrike hinaus. Unternehmen implementieren nun schrittweise Rollouts, verfügen über manuelle Übersteuerungsmöglichkeiten und planen – ganz wichtig – für den Fall, dass Sicherheitstools selbst versagen könnten. Lieferantenbeziehungen werden mit neuer Strenge bewertet, da in unserer vernetzten Infrastruktur jede Komponente entscheidend ist.

Sentonas räumt ein: „Diese Arbeit ist noch nicht abgeschlossen und wird es auch nie sein. Resilienz ist kein Meilenstein; sie ist eine Disziplin, die kontinuierliches Engagement und Weiterentwicklung erfordert.“ Der CrowdStrike-Vorfall vom 19. Juli 2024 wird nicht nur wegen der dadurch verursachten Störungen in Erinnerung bleiben, sondern auch, weil er eine branchenweite Entwicklung hin zu echter Resilienz katalysierte.

Angesichts ihrer größten Herausforderung haben CrowdStrike und das gesamte Sicherheitsökosystem ein tieferes Verständnis entwickelt: Schutz vor Bedrohungen bedeutet, sicherzustellen, dass die Beschützer selbst keinen Schaden anrichten können. Diese Lektion, die wir in 78 schwierigen Minuten und einem Jahr der Transformation gelernt haben, könnte sich als das wertvollste Erbe des Vorfalls erweisen.