Ein kürzlich veröffentlichtes Update von CrowdStrike führte am vergangenen Freitag weltweit zu erheblichen IT-Ausfällen, die zahlreiche Branchen und kritische Infrastrukturen lahmlegten. Laut Microsoft waren rund 8,5 Millionen Windows-Geräte betroffen. Flughäfen, Banken, Gesundheitseinrichtungen und Regierungsinstitutionen litten unter den weitreichenden Folgen, deren volles Ausmaß noch nicht absehbar ist. Zusätzlich versuchten Cyberkriminelle, die Situation nach dem Vorfall auszunutzen.
Das fehlerhafte Update verursachte bei Tausenden von Windows-Computern BSOD-Probleme (Blue Screen of Death) beim Booten, was zu massiven Ausfällen bei Banken, Fluggesellschaften, Fernsehsendern, Supermärkten und vielen weiteren Unternehmen führte. Logistik- und Fluggesellschaften mussten den Transport von Personen und Gütern einstellen, während Banken mit eingeschränktem Zugang zum Online-Banking, Ausfällen von mobilen Banking-Apps und fehlgeschlagenen Transaktionen an Geldautomaten und Kassensystemen konfrontiert waren.
Das offensichtliche Dilemma: Sicherheitsupdates vs. Risikomanagement
Das Abschalten von wichtigen Sicherheitsupdates versus das Testen aller Updates vor der Installation in der eigenen IT-Umgebung stellt Unternehmen vor ein großes Dilemma. Einerseits riskieren Unternehmen unzureichenden Schutz, wenn sie automatische Updates deaktivieren. Andererseits kann das Testen jedes Updates enorme Ressourcen beanspruchen.
Ein Vorfall wie bei CrowdStrike zeigt, wie wichtig es ist, ein ausgewogenes Sicherheits- und Risikomanagement zu betreiben. Eine mögliche Empfehlung ist, automatische Updates für kritische IT-Infrastrukturen nach Möglichkeit abzuschalten und Testumgebungen einzurichten, um Updates gründlich zu prüfen, bevor sie in der produktiven Umgebung implementiert werden. Im Falle von CrowdStrike wäre es sinnvoll gewesen, die Implementierung des Updates zu verschieben.
NIS2 & DORA: Robustheit in der digitalen Landschaft sichern
Der jüngste globale IT-Ausfall, verursacht durch ein Software-Update von CrowdStrike, verdeutlicht die dringende Notwendigkeit robuster Cybersicherheitsmaßnahmen. Durch die strikte Einhaltung der NIS2-Richtlinien, die umfassende Tests, schnelle Incident-Response und kontinuierliche Überwachung umfassen, kann die Resilienz signifikant gesteigert und derartige Störungen verhindert werden. Lernen wir aus diesem Vorfall und arbeiten wir an einer sichereren digitalen Zukunft.
Bedeutung von NIS2 und DORA in der digitalen EU-Landschaft
Dieser Vorfall unterstreicht eindrücklich die Bedeutung von Vorschriften wie dem Digital Operational Resilience Act (DORA) und der Network and Information Systems Directive 2 (NIS2) für die digitale Landschaft der EU. In einer immer komplexer werdenden digitalen Welt geht es bei der Einhaltung dieser Vorschriften nicht nur um Compliance, sondern auch um die Sicherstellung von Resilienz, Geschäftskontinuität und Stabilität der vernetzten Systeme entlang der Lieferkette. Nutzen wir diesen Vorfall, um unsere IT-Governance-Praktiken zu stärken und den Geist von DORA und NIS2 zu verinnerlichen.
Wichtige Aspekte von DORA und NIS2
- Schnelle Vorfallmeldung: Die strengen Meldefristen von DORA (24 Stunden/72 Stunden/1 Monat) sorgen für eine schnellere Reaktion und mehr Transparenz bei Sicherheitsvorfällen.
- Risikomanagement für Drittanbieter: Sowohl DORA als auch NIS2 betonen das Management von Third-Party-Risiken und der Supply Chain – ein entscheidender Faktor in diesem Fall.
- Belastbarkeitstests: DORA legt großen Wert auf regelmäßige Belastbarkeitstests, um weit verbreitete Probleme zu verhindern.
- Operative Resilienz: NIS2 fokussiert sich auf Geschäftskontinuität und Krisenmanagement, um die Auswirkungen von Störungen zu minimieren.
- Sektorübergreifende Zusammenarbeit: Der Vorfall zeigt, warum der sektorübergreifende Informationsaustausch, wie von NIS2 gefordert, so wichtig ist.
Fokus auf die Supply Chain
NIS2 und DORA betonen beide die Notwendigkeit eines soliden Risikomanagements und einer Überwachung der Supply Chain. Lieferanten und Drittanbieter müssen angemessene Cybersicherheitsmaßnahmen ergreifen. NIS2 fordert die Integration von Sicherheitsanforderungen in Lieferantenverträge sowie die kontinuierliche Überwachung und Meldung von Sicherheitsvorfällen innerhalb der Supply Chain. DORA legt besonderen Wert auf IKT-Risikomanagement, Outsourcing-Regeln sowie regelmäßige Überprüfung und Testung von IT-Systemen.
NIS2 & DORA: Fokus auf Business Continuity
Der CrowdStrike-Vorfall verdeutlicht, dass NIS2-Einrichtungen nicht nur Prävention, sondern auch die rasche Wiederherstellung des Betriebs priorisieren müssen. Bei einem entfernten BSOD (Blue Screen of Death) ist die physische Anwesenheit eines Technikers erforderlich, was die Wiederherstellungszeit erheblich verlängern kann. Trotz der umfangreichen Diskussionen über Ursachen und Verantwortlichkeiten des Ausfalls wurde wenig darüber gesprochen, wie Unternehmen die Krise bewältigten. Viele Unternehmen verlassen sich zu stark auf ein einziges IT-System oder eine Lösung. Es ist essenziell, sich ständig zu fragen, welche Systeme für den Betrieb des Unternehmens entscheidend sind und wie man reagiert, wenn diese plötzlich ausfallen.
Wie DORA hätte helfen können
Mit der baldigen Inkraftsetzung von DORA ist es wichtig zu erörtern, wie die DORA-Vorschriften Finanzinstituten geholfen hätten, den Vorfall besser zu bewältigen. DORA betont die Notwendigkeit von Systemredundanz und Notfallplänen. DORA-konforme Institute hätten alternative Systeme bereitgestellt, um kritische Vorgänge während eines Ausfalls aufrechtzuerhalten. Zudem schreibt DORA eine strenge Überwachung von Drittanbietern wie CrowdStrike vor, einschließlich rigoroser Testprotokolle für Software-Updates, die solche weitreichenden Störungen möglicherweise verhindert hätten. DORA fordert auch fortlaufende Bewertungen von Sicherheitslücken und detaillierte Pläne zur Reaktion auf Zwischenfälle.
Der CrowdStrike-Einsatzfehler, der Windows-Systeme unzugänglich machte, unterstreicht die Bedeutung der Einhaltung von DORA und NIS2 für Softwarehersteller und die Notwendigkeit einer gründlichen Mitarbeiterschulung zur Minimierung der Auswirkungen von Ausfällen. Diese Maßnahmen betonen die Notwendigkeit einer robusten betrieblichen Ausfallsicherheit.
Optimierte Maßnahmen für unterbrechungsfreien Betrieb
Die Einhaltung von NIS2 und DORA ist entscheidend für die Sicherstellung der Business Continuity. Unternehmen sollten regelmäßige Risikoanalysen durchführen, Notfallpläne entwickeln und die Resilienz ihrer IT-Infrastrukturen stärken. Die Integration redundanter Systeme und die Schulung von Mitarbeitern sind wesentliche Schritte, um die Auswirkungen von IT-Ausfällen zu minimieren.
Durch die Umsetzung dieser Richtlinien können Unternehmen sicherstellen, dass sie auf unerwartete Störungen vorbereitet sind und ihre betriebliche Kontinuität gewahrt bleibt.
EDR in Bedrängnis: Besser einen umfassenden Blick auf die Cybersicherheit
Endpoint Detection and Response (EDR) ist eine unverzichtbare Komponente der Cybersicherheit. Doch allein reicht sie nicht aus, um Unternehmen vor Bedrohungen in der Software-Supply-Chain zu schützen. EDR-Lösungen wie Crowdstrike Falcon konzentrieren sich auf Endpunkte wie Computer und mobile Geräte. Allerdings umfasst die Software-Supply-Chain zahlreiche weitere Komponenten, darunter Netzwerke, Server und Cloud-Dienste. Diese Komplexität bietet Angreifern zahlreiche Einfallstore, die von EDR-Systemen nicht vollständig abgedeckt werden können.
Ein wesentlicher Schwachpunkt von EDR ist die Erkennung von Zero-Day-Sicherheitslücken. Diese bisher unbekannten Schwachstellen besitzen keine Signaturen, die von EDR-Systemen identifiziert werden könnten. Zudem können Probleme tief in der Supply-Chain verborgen sein, etwa durch fehlerhafte Treiber oder andere Softwarekomponenten, die EDR-Systeme nicht aufspüren.
Da EDR reaktiv ist und Bedrohungen erst erkennt, wenn sie bereits eingetreten sind, erfordert eine umfassende Supply-Chain-Sicherheit proaktive Maßnahmen. Dazu zählen Risikomanagement, regelmäßige Sicherheitsaudits und Ausfallsicherheitstests. Effektive Sicherheit erfordert auch die Zusammenarbeit und den Informationsaustausch zwischen verschiedenen Organisationen und Systemen – eine Aufgabe, die EDR-Lösungen oft nicht leisten können.
Zusammengefasst ist EDR natürlich ein wichtiger Bestandteil der Cybersicherheitsstrategie. Doch um die Software-Supply-Chain umfassend zu sichern, sind zusätzliche Maßnahmen und Technologien notwendig.
Agentenlose Sicherheit: Die Zukunft der Cybersicherheit
Der Vorfall bei Crowdstrike zeigt, dass jeder EDR-Anbieter mit Agent-basierten Lösungen anfällig sein kann, insbesondere wenn Treiber in der Anfangsphase injiziert werden. Crowdstrike, als einer der ausgereiftesten EDR-Anbieter, wird aus diesem Vorfall sicherlich gestärkt hervorgehen. Dennoch stellt sich die Frage: Sind agentenlose Lösungen nicht die bessere Alternative? Und welche Vorteile bieten sie?
Agentenlose Cybersecurity-Lösungen bieten eine effizientere, konsistentere und ressourcenschonendere Möglichkeit, Sicherheitsupdates durchzuführen. Besonders in komplexen und schnelllebigen IT-Umgebungen sind diese Vorteile erheblich. Da keine Client-Installation notwendig ist, entfällt der Aufwand für die Verteilung und Aktualisierung von Software auf einzelnen Geräten. Dies vereinfacht den Aktualisierungsprozess erheblich und macht ihn unabhängig von Treiberfehlern.
Die zentralisierte Verwaltung und Durchführung von Updates erhöht die Konsistenz und Geschwindigkeit der Implementierung. Dadurch wird das Risiko von Inkonsistenzen und Fehlern, die bei verteilten Update-Prozessen auftreten können, minimiert. Während der Aktualisierung bleiben Produktivität und Sicherheit der Endgeräte ungestört. Außerdem können agentenlose Lösungen schneller auf neue Bedrohungen reagieren, da Updates und Patches sofort bereitgestellt werden können, ohne Verzögerungen durch Client-Installationen.
Eine umfassende Sicherheitsstrategie erfordert mehr als nur EDR. Durch die Integration von agentenlosen Lösungen und proaktiven Sicherheitsmaßnahmen können Unternehmen ihre Abwehr gegen Bedrohungen in der Software-Supply-Chain erheblich stärken. EDR bleibt eine wichtige Komponente, doch die Zukunft der Cybersicherheit liegt in einem ganzheitlichen Ansatz, der Flexibilität, Effizienz und schnelle Reaktionsfähigkeit vereint.
Die Bedeutung von Asset Management und Risikomanagement
Nach dem CrowdStrike-Vorfall wurde Unternehmen dringend empfohlen, umgehend einen Triage-Prozess zu implementieren, um Vermögenswerte, Kommunikations- und Geschäftsprozesse basierend auf den Auswirkungen der Störung und der Komplexität der Abhilfemaßnahmen zu kategorisieren. Dieser Prozess sollte Priorisierungspläne für die Behebung auch auf eingebettete Systeme wie Kassensysteme, Abfahrtsautomaten und andere Geräte anwenden, die spezielle Behandlung erfordern oder potenzielle Nebenwirkungen und unbeabsichtigte Folgen der Abhilfe aufweisen können. Hierzu zählen auch „Nachzügler“-Geräte, die möglicherweise den bösartigen Treiber enthalten, aber in der ersten Sanierungswelle übersehen wurden.
Netzwerküberwachung durch Network Detection and Response (NDR) Systeme ist entscheidend, da sie den Netzwerkverkehr passiv überwachen und alle Geräte und Systeme im Netzwerk identifizieren. Diese Systeme erstellen ein aktuelles Inventar aller Anlagen und identifizieren neue und unbekannte Geräte durch Verhaltensanalyse des Netzwerkverkehrs. Dynamisches Inventar bedeutet, dass NDR-Systeme die Bestandsdatenbank automatisch aktualisieren, wenn neue Geräte hinzugefügt oder entfernt werden.
Ständige Überwachung und Integration in Asset Management Systeme
Durch kontinuierliche Netzwerküberwachung wird sichergestellt, dass die Bestandsdatenbank in Echtzeit aktualisiert wird. NDR-Systeme können in bestehende Konfigurationsmanagement-Datenbanken (CMDB) und andere Asset-Management-Systeme integriert werden, um konsistente und aktuelle Asset-Informationen bereitzustellen. Die Risikobewertung und Priorisierung durch NDR ermöglicht die Bewertung der Kritikalität verschiedener Anlagen basierend auf ihrer Rolle im Netzwerk und ihrer Gefährdung durch Bedrohungen. Bedrohungen und Anomalien werden gemäß der Kritikalität der betroffenen Anlagen priorisiert, was gezielte und effektive Sicherheitsmaßnahmen ermöglicht. Dashboard-Ansichten und visuelle Darstellungen des gesamten Netzwerks verbessern die Sichtbarkeit und Transparenz der Anlagen.
Kritische Infrastrukturen und die Rolle von CrowdStrike
Der CrowdStrike-Vorfall hat erhebliche Störungen im Flugverkehr, Finanzsektor und in Teilen der kritischen Infrastruktur (KRITIS) verursacht. Positiv zu vermerken ist, dass keine Energieversorger, Abwasserentsorger, Finanzdienstleister oder Discounter in Deutschland betroffen sind. Lediglich wenige Krankenhäuser und Behörden waren betroffen, sodass 90 % der KRITIS unversehrt blieben.
CrowdStrike warnt ausdrücklich vor der Nutzung seiner Sicherheitssoftware in kritischen Infrastrukturen. Die Allgemeinen Geschäftsbedingungen (AGB) besagen, dass die CrowdStrike-Tools nicht fehlertolerant sind und nicht für gefährliche Umgebungen konzipiert wurden, in denen Ausfälle schwerwiegende Folgen haben könnten. Beispiele hierfür sind Flugzeugnavigation, Kernkraftwerke und lebenserhaltende Systeme. In der Schweiz waren am 19. Juli die staatlichen Energieversorger und die Flugsicherung betroffen und mussten gemäß den AGB für die sichere Nutzung der Software sorgen, was praktisch unmöglich ist. Dies wirft Fragen hinsichtlich der Zuverlässigkeit und Eignung von CrowdStrike für KRITIS auf.
Risiken einer Software-Monokultur
Am 19. Juli kam es weltweit zu erheblichen Ausfällen, als CrowdStrike-Software den berüchtigten blauen Bildschirm von Windows auslöste. Im Kontext von NIS2 und DORA wurde die Lieferkette stärker in den Fokus gerückt.
Diese Vorfälle verdeutlichen die Risiken einer Software-Monokultur. Die Konvergenz von weit verbreiteten Produktions- und Sicherheitsplattformen, wie CrowdStrike und Microsoft, birgt Gefahren. Eine Plattform bietet zwar einfache Verwaltung, Integration, geringere Komplexität und Kosteneinsparungen, jedoch auch Risiken wie Sicherheitslücken und langsame Innovationen. Eine Best-of-Breed-Strategie hingegen bietet Zugang zu spezialisierten Lösungen, erfordert jedoch höheren Verwaltungsaufwand und kann zu höheren Kosten führen.
Weitere Informationen:
https://exeon.com/de/blog/risikobasierte-alarmierung
https://exeon.com/de/blog/best-of-breed-in-der-cybersicherheit
https://exeon.com/de/product/exeontrace
Sie haben Fragen? Michael Tullius*, Sales Director, Exeon können Sie über Linkedin direkt ansprechen.
* Kontaktmöglichkeit über Linkedin