Crowdstrike-Debakel: BSI will an die Privilegien
Nach Gesprächen mit Crowdstrike und Microsoft legt das Bundesamt für Sicherheit in der Informationstechnik einen Zeitplan fest – und erwartet Kooperation.​
Nach dem Crowdstrike-Debakel formuliert das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun seine Erwartungen an Anbieter von Sicherheitssoftware und Betriebssystemen. Mit Microsoft und Crowdstrike hat die Behörde einige Maßnahmen vereinbart, um eine Wiederholung des massenhaften Ausfalls von Windowsrechnern möglichst zu verhindern. Der Ausfall war durch ein fehlerhaftes Update des Crowdstrike Falcon Sensors verursacht worden.
Genaue Fehleranalyse
So soll bis spätestens Mitte August eine Analyse vorliegen, welche Systeme in Deutschland betroffen waren und wie viele der betroffenen Systeme wieder am Netz sind – Stand Donnerstagabend der vergangenen Woche waren das laut Crowdstrike 97 Prozent aller Systeme mit Windows-Sensoren. Bis Ende September soll zudem eine abschließende Analyse des Fehlers vorgelegt werden.
Crowdstrike soll dem BSI und anderen international zuständigen Behörden darüber hinaus ein überarbeitetes Testkonzept vorlegen. Unter anderem soll Crowdstrike ein Konzept entwickeln, wie bei zügigen Updates der Signaturen für die Sensoren auch mögliche Auswirkungen auf die Stabilität der betroffenen Systeme mitgeprüft werden. Dazu soll auch die Nutzung von Telemetriedaten dargelegt werden, mit denen Crowdstrike künftig einem vergleichbaren Vorfall im Rollout entgegenwirken will.
Bis spätestens Jahresende will das BSI mit Crowdstrike eine Evaluation der Prozesse für die Softwareentwicklung bei der Firma diskutieren. Die Cybersicherheitsbehörde will zudem "mit allen relevanten Stakeholdern" die Architektur von Endpoint-Detection- and Response-Tools diskutieren. Der Wunsch ist, dass bis 2025 neue Architekturen mit weniger Systemprivilegien entstehen.
Test für BSI-Durchsetzungsfähigkeit
Langfristig sei es das Ziel des BSI, neue und resiliente Komponenten "konzipieren und umsetzen zu lassen, die die gleiche Funktionalität und Schutzwirkung entfalten wie bisher, die allerdings weniger tiefgreifende Eingriffsrechte in die Betriebssysteme benötigen", erklärte die Behörde am Montag.
Der Fall Crowdstrike kann dabei als Lackmustest für die Bonner Cybersicherheitsexperten gesehen werden: Schafft es die Behörde, mit den ihr zur Verfügung stehenden Mitteln die Branche zu besserer Softwarepflege zu bringen – auch wenn der Vorfall in einigen Monaten von der Tagesordnung verschwunden sein dürfte?
Dabei überschneidet sich der Zeitplan mit der Entwicklung von Vorgaben nach dem Cyber Resilience Act der EU. Dieses umfangreiche Regelwerk, das bis 2027 Vorgaben unter anderem zur Produktsicherheit bei digitalen Produkten oder Produkten mit digitalen Komponenten macht, wird in den kommenden Monaten durch Ausführungsbestimmungen ergänzt für viele wesentliche Bestandteile neue Anforderungen festlegen – zuständige Behörde dafür ist in Deutschland das BSI.
Microsoft bestätigt Crowdstrike-Analyse
Unterdessen hat Microsoft in seiner Aufarbeitung der Ereignisse die Verantwortung in weiten Teilen klar bei Crowdstrike verortet. Die Firma bestätigte, dass ein Speicherfehler maßgeblich für das massenhafte Lahmlegen der Systeme war.
Zudem verweist der Betriebssystemhersteller allgemein auf die besonderen Sorgfaltspflichten von Sicherheitssoftware, die sich in privilegierte Bereiche des Betriebssystemkerns (Kernel) einklinken darf: "Da Kernel-Treiber auf der vertrauenswürdigsten Ebene von Windows ausgeführt werden, wo Möglichkeiten zur Eindämmung und Wiederherstellung von Natur aus eingeschränkt sind, müssen Anbieter von Sicherheitslösungen die Anforderungen wie Sichtbarkeit und Manipulationssicherheit mit dem Risiko des Betriebs im Kernel-Modus sorgfältig abwägen."
Eine umfangreiche Validierung und Testung sei unerlässlich, da in diesem Bereich kein einfacher Neustart möglich sei. Microsoft habe bereits einige Maßnahmen ergriffen, um kritische Prozesse außerhalb des Kernels in den User Mode zu verschieben. Sicherheit und Verlässlichkeit könnten heute ausbalanciert werden, nur noch minimale Sensorik müsse im Kernel verbleiben, meint Microsoft – das Crowdstrike hier zwar in diesem Zusammenhang nicht namentlich nennt, aber wohl gemeint haben dürfte.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(vbr)