BSI bestätigt zum Crowdstrike-Ausfall: Es reicht, eine Datei zu löschen

Das manuelle Löschen einer Datei behebt laut BSI die Startprobleme bei Windows-Rechnern mit Software von Crowdstrike. Auch Microsoft Azure macht Probleme.

In Pocket speichern vorlesen Druckansicht 131 Kommentare lesen
Bonn,,North,Rhine-westphalia,/,Germany,-,May,14,,2018:,Sign

(Bild: Superstar/Shutterstock.com)

Lesezeit: 2 Min.
Von
  • Nico Ernst

Am Freitagnachmittag wandte sich BSI-Chefin Claudia Plattner mit einer kurzfristig angesetzten Pressekonferenz zu den weltweiten IT-Ausfällen an Journalisten. Plattner differenzierte dabei zwischen zwei verschiedenen Gründen für die Probleme: Zum einen gab es ein fehlerhaftes Update für die Software "Falcon Sensor" von Crowdstrike, zum anderen wies Microsoft auf einen Konfigurationsfehler bei seinen Azure-Servern hin. Ob und wie diese Ereignisse zusammenhängen, wurde nicht erläutert, in der Fragerunde der Pressekonferenz durch die Journalisten aber auch nicht erwähnt.

In einer Mitteilung des BSI findet sich auch ein Link zu diesem PDF, in dem die Behörde den bereits von Crowdstrike selbst bekannt gegebenen Workaround durch Löschen der Datei C-00000291*.sys im Verzeichnis C:\Windows\System32\drivers\CrowdStrike bestätigt. Trägt diese Datei den Zeitstempel 05:27 UTC 19.07.2024 oder den eines späteren Datums, so handelt es sich schon um die korrigierte Version.

Dem BSI zufolge gibt Crowdstrike an, es könnten durch die Korrektur Systeme, die erst nach dieser Zeit eingeschaltet wurden, nicht betroffen sein. Es scheint aber, als wäre das korrigierte Update am Freitagmorgen nicht überall sofort angekommen, denn 5:27 Uhr UTC entspricht 7:27 Uhr deutscher Zeit. Die Ausfälle häuften sich aber weltweit erst rund eine Stunde später. Ebenso beobachtete Microsoft laut BSI schon ab 19:00 UTC am Vorabend erste Ausfälle.

Neben den Problemen mit Crowdstrike gab es zeitgleich auch eine Fehlkonfiguration durch Microsoft selbst in deren System Azure. Dadurch hatten viele Dienste wie Teams, Onedrive, Microsoft Defender oder Sharepoint keine Verbindung zu den Azure-Servern. Microsoft weist auf der Statusseite seiner Cloud-Dienste darauf hin.

Bis all diese Schwierigkeiten behoben sind, wird "es noch ein bisschen dauern", sagte BSI-Chefin Plattner. Zwar hätten zahlreiche Organisationen ihre Systeme schon wieder an den Start gebracht, aber das oft nur manuell mögliche Löschen der Crowdstrike-Datei verzögert die Reparaturen. Dabei können auch per Bitlocker verschlüsselte Laufwerke Probleme machen. Wie man die behebt, und auch Windows-Installationen mit Crowdstrike in VMs behandelt, findet sich ebenfalls in der Anleitung des BSI.

(nie)