Crowdstrike-Debakel: IT-Firmen müssen stärker für ihre Fehler haften
Ein kaputtes Crowdstrike-Update legt große Teile der IT-Welt lahm. Hersteller müssen für Fehler Verantwortung tragen, meint Security-Experte Jürgen Schmidt.
Ein fehlerhaftes Crowdstrike-Update hat am Freitag unzählige Windows-Computer zum Absturz gebracht und damit Fluggesellschaften, Banken, Geschäfte und andere Unternehmen außer Gefecht gesetzt. Es ist noch zu früh, eine schlüssige Erklärung der Vorkommnisse zu liefern und Konsequenzen fordern. Zu viel ist dazu bislang nicht bekannt. Neben dem Crowdstrike-Update-Problem gibt es etwa auch Berichte über Ausfälle bei Microsofts-Cloud-Diensten. Noch ist unklar, ob und wie sie zusammenhängen. Doch man kann durchaus schon ein wenig vorsortieren, fehlerhafte Ideen ausräumen und vielversprechende Denkansätze formulieren – etwa den Wunsch, dass Hersteller endlich selbst für ihre Fehler einstehen sollten.
Am Freitag verteilte Crowdstrike ein Update, das dazu führte, dass Windows-Rechner, auf denen deren Software lief, abstürzten und auch nicht mehr starten konnten. Crowdstrikes zentrales Produkt ist die sogenannte Falcon-Plattform, eine Art weiterentwickelte Antiviren-Software, die bösartige Software und Aktivitäten erkennen und im Idealfall auch unterbinden soll. Der Fachbegriff dafür ist Endpoint Detection and Response – kurz EDR. Dabei installiert man einen sogenannten Agenten auf dem zu schützenden Systemen, der sich dazu sehr tief in das System einklinkt. Und genau dieser Crowdstrike-Agent bekam das fehlerhafte Update und blockierte daraufhin alle Geräte, auf denen er aktiv war.
Keine Monokultur
Dieser Vorfall ist jedoch nicht, wie vielfach behauptet, auf eine Monokultur zurückzuführen. Jedenfalls nicht, was die Sicherheits-Software angeht, die die Ausfälle verursachte. Crowdstrike ist zwar prominent und weit verbreitet, aber nicht der einzige Player in diesem Markt. Da gibt es noch SentinelOne, Microsoft und zwei, drei weitere, die in der gleichen Liga spielen.
Auch von den Firmen kann man nicht erwarten, dass sie an dieser Stelle mehr diversifizieren. Der parallele Betrieb von verschiedenen Security-Lösungen würde letztlich zu noch weniger Sicherheit führen. Sicherheit ist nur so gut wie das schwächste Glied in der Kette, zusätzliche Tools vergrößern die Angriffsfläche. Wenn man drei verschiedene Lösungen im Produktivbetrieb hat, nimmt man auch die Probleme von allen dreien mit. Ganz zu schweigen davon, dass man natürlich auch das Know-how und die Ressourcen haben muss, alle drei zu pflegen – was schlicht aussichtslos ist.
Qualität ist das Problem
Bleiben Windows und Microsoft als Monopolist, dem auch in vielen Kommentaren gleich die Schuld zugeschoben wurde. Doch das ist in diesem Fall nicht stichhaltig. Jedenfalls nicht so direkt. Der Auslöser dieses Problems war ganz klar Crowdstrike und nicht Microsoft. Und natürlich gibt es auch Crowdstrike-Software für MacOS; ja sogar für Linux bietet Crowdstrike EDR. Und auch wenn die diesmal nicht betroffen waren, könnte es diese Versionen genauso treffen, wie es am Freitag die Windows-Version erwischt hat. Das würde dann nur viel weniger Leute interessieren. Was möglicherweise zusätzlich mit Microsofts-Cloud-Diensten vorgefallen ist und ob das mit dem Crowdstrike-Update zusammenhängt, wissen wir aktuell nicht.
Die gemeinsame Wurzel beider Probleme ist jedenfalls mangelhafte Qualität. Zum einen mangelhafte Qualität von Software, deren Sicherheitslücken gleich einen ganzen Stack von Sicherheitsmaßnahmen und ständige Updates erforderlich machen. Und zum anderen natürlich die der Updates, die diese Sicherheitslücken beseitigen oder zumindest in ihrer Gefährlichkeit einschränken sollen. Und da kommt tatsächlich auch wieder Microsoft ins Spiel. Mit seiner Software, die so fehlerbehaftet ist, dass ein sicherer Betrieb kaum noch möglich ist, mit dem Treiben der Kunden in die (Microsoft-)Cloud und mit dem systematischen Zugrunderichten der eigenen Security-Kultur hat der Konzern wesentlich zur aktuell so brandgefährlichen Gesamtsituation beigetragen.
Letztlich kann man Microsoft dafür nicht mal wirklich einen Vorwurf machen. Denn solange wir Hersteller von der Verantwortung für die Konsequenzen ihrer Schlamperei weitgehend freisprechen und deren Kosten auf Kunden und die Gesellschaft im Allgemeinen abwälzen, rechnet sich ein Investment in Qualität der Produkte für sie nicht. Börsennotierte Unternehmen sind sogar ihren Aktionären gegenüber verpflichtet, gewinnoptimierende Maßnahmen wie das weitestmögliche Zusammenstreichen der teuren Qualitätssicherung oder der internen Security-Teams umzusetzen.
Es braucht Herstellerhaftung
Was wir brauchen, ist letztlich Herstellerhaftung. Wenn Microsoft sich einen Master-Schlüssel für die eigene Cloud klauen lässt (den es so gar nicht hätte geben dürfen), dann muss das Konsequenzen für Microsoft haben, wenn deren Kunden damit Daten gestohlen werden. Wenn Cisco ein "Secure Email Gateway" verkauft, das ganz offensichtlich grob fahrlässig grundlegende Sicherheitskonzepte wie Sandboxing und Least Privilege ignoriert, dann muss es direkte Konsequenzen für Cisco haben, wenn das den Kunden irgendwann um die Ohren fliegen sollte.
Dann hätte es sich auch die Firma Crowdstrike zweimal überlegt, ob sie es wirklich darauf ankommen lassen sollte, dass ein Update Tausende Systeme lahmlegt – oder sie nicht doch mehr in die Qualitätssicherung investieren sollte. Dann stünden jetzt nämlich Banken, Flughäfen und andere Betroffene bei dem Konzern vor der Tür, um sich die damit verursachten Kosten erstatten zu lassen. So bleiben die Leidtragenden auf den Kosten sitzen – und Microsoft, Cisco und Crowdstrike optimieren weiter ihre Gewinne.
(ju)