Globaler IT-Ausfall: BSI nimmt Crowdstrike und Microsoft in die Pflicht
Nach den massiven Problemen durch ein fehlerhaftes Crowdstrike-Update will das BSI nun Taten sehen – auch von Microsoft.
(Bild: Superstar/Shutterstock.com)
Die massiven Probleme infolge des fehlerbehafteten Updates von Crowdstrikes Software Falcon Sensor haben für die Anbieter ein Nachspiel mit Deutschlands Cybersicherheitsbehörde. Der Vorfall hatte weltweit massive Ausfälle zur Folge, 8,5 Millionen Windows-Rechner waren laut Microsoft betroffen und de facto arbeitsunfähig.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das seit Beginn der Vorfälle sowohl mit Crowdstrike als auch mit dem Betriebssystemanbieter Microsoft in Kontakt steht, will die beiden Unternehmen nun stärker in die Pflicht nehmen, um eine Wiederholung zu verhindern.
Kritische Infrastruktur betroffen
Über 50 Betreiber Kritischer Infrastrukturen hatten sich im Zuge der Ausfälle beim BSI in Bonn gemeldet, teilt das BSI auf Anfrage mit. Demnach war fast jede kritischen Branche betroffen – Gesundheit, Finanzen, Energie, Ernährung, Transport und IT etwa. Auch bislang nicht meldepflichtige Unternehmen hätten dem BSI mitgeteilt, dass sie betroffen sind.
Noch in dieser Woche will das BSI mit beiden Unternehmen eine erste technische Analyse durchführen und über das weitere Vorgehen beraten. Dabei gehe es nicht nur um die grundsätzliche Verbesserung der Produkte, erklärte ein BSI-Sprecher gegenüber heise security. So fordert das BSI etwa, dass Crowdstrike Updates nur noch gestaffelt ausspielt, um das Schadenspotenzial klein zu halten.
Zudem solle die Firma, "mittelfristige Maßnahmen" treffen, die die Gesamtarchitektur der Produktlandschaft des Anbieters betreffen. Insgesamt sieht das BSI einen Bedarf, die Crowdstrike-Produkte weiter zu härten – und dabei den Einsatz auf unterschiedlichen Betriebssystemen zu gewährleisten. Crowdstrike hat unterdessen am Mittwoch erste Maßnahmen angekündigt, die in diese Richtung gehen.
Microsoft in der Verantwortung
Es gehe zudem darum,"auch ganz grundsätzlich in kritischen Fehlersituationen technisch unmittelbar wieder nutzbare Betriebssystem- und Anwendungszustände automatisch herzustellen", sagt der BSI-Sprecher. Das Bundesamt wolle hier auch die Betriebssystemhersteller in die Verantwortung nehmen.
Insbesondere bei der Implementierung des Cyber Resilience Act sollen die Erkenntnisse aus den Vorfällen der vergangenen Wochen eine Rolle spielen – Aufsichtsbehörde für diesen ist in Deutschland das BSI. Der europäische Cyber Resilience Act regelt unter anderem die Pflichten zu Sicherheitsupdates durch Anbieter von Hard- und Software und wird bis 2027 schrittweise in Kraft treten.
(vbr)