In den letzten Wochen gab es einen grosses Thema in der Informatik Welt. Der massive Ausfall von Windows Computern aufgrund von einem Software Update des IT-Security-Unternehmens CrowdStrike.
Ich habe ein beschrenktes Wissen wenn es um IT-Security und den Aufbau des Windowsbetriebssystem geht. Trotzdem möchte ich gewisse Komentare zu dem Problem abgeben.
Vieles basiert nicht auf meiner direkten Erfahrung, sondern auf Erzählungen von verschiedenen Personen. Da ich die meisten Erzählungen von verscheidenen unterschiedlichen Quellen habe, benutze ich sie trotzdem für diesen Artikel.
Stellenwert der IT-Security
ein Thema, welches ich voraus ansprechen muss, ist der Kampf ums Budget. Bei den meisten Firmen wird das Budget für IT-Security klein gehalten, egal was die zuständigen Personen sagen. Dies liegt daran, dass viele Managment Mitglieder keinen Sinn darin sehen, Geld für einen etwaigen Angriff auszugeben. Die erhöhte Anzahl von Angriffen in letzter Zeit haben an dieser Meinung etwas geändert, trotzdem wird die IT-Security oftmals vernachlässigt.
Frage der Schuld
Die grosse Frage ist, wer ist Schuld am Vorfall. Technisch gesehen ist CrowdStrike alleine verantwortlich, da sie das Update veröffentlicht haben. Jedoch gibt es noch verschiedene Aspekte, welche das Bild leicht aufweichen. Trotzdem liegt die Hauptschuld immernoch bei CrowdStrike. Diese haben sich zum Glück jedoch für diesen Fall Vertraglich abgesichert, so dass man als geschädigte Partei nicht auf Schadenersatz klagen kann.
wieso ein aufgeweichtes Bild?
Sobald es um Sicherheitssoftware geht, möchte man halt die Updates am besten schon gestern haben. Die Verteidiger hinken in der Erkennung immer den Angreifern hinterher. Daher sind die Verteidiger bemüht, neuste Erkenntnisse möglichst schnell an die Kunden weiterzugeben.
Was hat das nun mit dem Vorfall zu tun? Es gab Gerüchte, dass das Update nicht getestet wurde, bevor es ausgeliefert wurde. Ich habe noch keine offizielle Bestätigung dafür gesehen, daher ist es immernoch als Gerücht anzusehen.
Entschuldigt der Zeitdruck das fehlen von Tests? Absolut nicht, jedoch kann es zu einem gewissen Grad erkläreen, wieso das es passiert ist.
Eine Software, welche innert kürzester Zeit an eine grosse Anzahl von Computern verteillt wird, sollte immer getestet werden.
Antivierensoftware
Ein weiteres Puzzlestück ist der Zweck der Software. Antivierensoftware muss aufgrund des Zwecks stark in das Betriebssystem integriert werden. Daher ist fehlerhafte Antivierensoftware seit jeher für Betriebssystemprobleme verantwortlich. Der bisher grösste Vorfall war, als McAffee eine wichtige Systemdatei von Windows als Gefährlich eingestuft hat und diese entfernt hat. Dies hat auch zu grösseren Systemausfällen geführt, jedoch waren Computersysteme zur damaligen Zeit nicht so integriert.
Jeder Heimanwender mit einer Antivierensoftware kennt das Problem. So kann ein Systemscann zu einem Blue Screen führen.
All diese Probleme sollen jedoch nicht vom Nutzen von einer Antivirenlösung ablenken. Vorallem als Firma sollte man eine solche Lösung einsetzten.
Wie hätte man sich schützen können?
Die meisten Sicherheitsvorkehrungen auf Kundenseite wurden nicht angewendet, da es sich um einen wichtige Sicherheitssoftware handelt. So werden oft Windows- oder Software-Updates in Firmen nicht gleichzeitig auf allen Clienten angewendet. Mit dem Hintergrund das ein fehlerhaftes Update nicht alle Computer lahmlegt.
Geht es jedoch um Sicherheitsupdates oder Antivirensoftware, so werden diese Massnahmen meistens nicht angewendet, da sie den Schutz der Systeme verschlechtern.
Eine weitere Möglichkeit ist, das man sich nicht auf nur eine Lösung verlässt. Jedoch vertragen sich verschiedene Antivirensoftware auf dem gleichen Computer nicht gut miteinander. Ausserdem müssen gewisse Antivirenlösungen alle Computer im Netzwerk überwachen, um eine zuverlässige Erkennung gewährleisten zu können.
Man könnte jetzt die Computerflotte halbieren und pro Hälfte eine andere Sicherheitslösung einsetzten. Jedoch hat man dadurch einen höheren Wartungsaufwand und eine tiefere Sicherheit, da beide Lösungen nicht das komplette Netzwerk sehen.
Wird es wieder geschehen?
Die Frage ist nicht ob, sondern wann. Dieser Vorfall hat gezeigt, was ein fehlerhaftes Update bewirken kann. Der nächste Vorfall muss nicht mehr nur ein Unfall sein. Bad Actors haben nun gesehn, was möglich ist. Zwar setzten die Antivierenhersteller umfangreiche Kontrollen ein. Jedoch haben diese nicht einmal einen Programierfehler abgefangen. Wie gut kann man diesen Kontrollen vertrauen, wenn es um ein platziertes Problem geht. Dabei muss der Hersteller nicht gehackt werden. Man kann auch einen Programmierer einschleusen, welcher den fehlerhaften Code einschleusen wird.
Auf Kundenseite kann man sich nur mit einem gestaffelten verteilen der Updates schützen. Auch wenn dies eine leicht tiefere Sicherheit bedeutet. Im Fall von CrowdStrike hätte das Ausliefern des Updates um einen Tag verzögert ausgereicht und nicht alle Computer wären betroffen gewesen.
Comments