Weltweiter IT-Ausfall: Betrieb wird wieder aufgenommen
Das Update eines Programms hat weltweit Windows-Computer zum Absturz gebracht. Crowdstrike hat den Fehler mittlerweie gefunden und behoben.
Der Flughafen Berlin-Brandenburg liegt lahm: "Aufgrund einer technischen Störung kommt es zu Verzögerungen", heißt es in einem Banner, das auf der Webseite läuft. Es ist nur einer der zahlreichen Betroffenen einer weltweiten IT-Störung: Banken, Geschäfte und Unternehmen kämpfen weltweit mit Ausfällen. In Hamburg und Düsseldorf heben ebenfalls keine Flugzeuge ab, Krankenhäuser müssen Operationen absagen. Hintergrund ist ein fehlerhaftes Crowdstrike-Update, das Windows-Computer zum Absturz bringt.
Konkret sitzt der Fehler im Falcon Sensor – ein System, das Aktivitäten in Echtzeit überwacht und Angriffe blockieren soll. Viele große Unternehmen integrieren darüber einen Agent auf ihren Endgeräten, der Aktivitäten auf dem System überwacht. Weil dieser Agent sehr tief im System sitzt, kann ein fehlerhaftes Update den kompletten Rechner lahmlegen. Der Falcon Sensor richtet sich an Unternehmen und Behörden, Privatnutzer verwenden ihn in der Regel nicht. Dennoch treffen sie die Probleme, die bei den Dienstleistern, Unternehmen und Behörden durch den Einsatz entstehen.
Kein Sicherheitsvorfall
Die Störungen haben am Freitagmorgen begonnen. Mittlerweile gibt es einen Workaround und ein überarbeitetes Update, mit dem Administratoren den Fehler beheben können. Die Probleme und Nachwehen dauern jedoch noch an. Der BER etwa gibt an, den Betrieb langsam wieder hochfahren zu wollen. Das BSI erwartet, dass es noch "einige Zeit" dauert, bis sich die Lage wieder normalisiert.
Die Firma Crowdstrike hatte zunächst am Morgen bestätigt, dass sie an dem Problem arbeitet. Am Mittag meldete CEO George Kurtz bei X, dass man den Fehler ausfindig habe machen können. Kunden sollten auf der Supportseite ein neues Update herunterladen. Kurtz versichert in dem Beitrag auch, dass für die Probleme kein Angriff verantwortlich sei. Es handele sich nicht um einen Sicherheitsvorfall. Auf Nachfrage von heise online erklärt eine Sprecherin von Crowdstrike zudem: "Wir empfehlen unseren Unternehmen sicherzustellen, dass sie über die offiziellen Kanäle mit Vertretern von Crowdstrike kommunizieren. Unser Team ist vollständig im Einsatz, um die Sicherheit und Stabilität der Crowdstrike-Kunden zu gewährleisten."
Workaround als erste Hilfe
Betroffene Geräte zeigen einen Bluescreen of Death (BSOD). Auch nach dem automatischen Neustart folgt eine Fehlermeldung. Das heißt, die Geräte befinden sich in einer Art Endlosschleife, die durchbrochen werden muss. Dieses Problem erschwert auch den Zugang zum neuen, fehlerfreien Update.
Crowdstrike hat aber einen Workaround gefunden. Man kann in den abgesicherten Modus starten und den Ordner c:\windows\system32\drivers\Crowdstrike ansteuern, dort die Datei "C-00000291*.sys" auswählen und löschen. Danach wird der Rechner neu gestartet und das überarbeitete Update heruntergeladen. Das BSI empfiehlt den Schritt für alle betroffenen Systeme, die in der Neustartschleife festhängen. Wer keine Boot-Probleme hat, muss nicht aktiv werden.
Von dem Fehler betroffen sind Geräte, die in der Nacht zum Freitag das fehlerhafte Update bezogen haben. Ein Mitglied aus der Community von heise security PRO bestätigte: "Für alle Geräte, die heute Morgen offline waren, gibt es keinen Handlungsbedarf, da die fehlerhafte Datei nicht mehr verteilt wird." Laut Crowdstrike sind alle Systeme sicher, die erst um 7:27 Uhr oder später eingeschaltet wurden.
Weltweit groĂźe und kritische Betriebe betroffen
Zu Störungen kam und kommt es bei verschiedenen Microsoft-Diensten. Auch die Volksbanken, Sparda Banken, Sparkasse und weitere haben Probleme, die Deutsche Bank, die Allianz waren laut Störungsmeldungen teilweise nicht erreichbar. Bei mehreren Einzelhändlern fielen die Kassensysteme aus.
Auch für AWS wurden Ausfälle gemeldet. Mercedes und die Continental AG sind betroffen, genau wie die Fluggesellschaften Turkish Airlines, KLM, Lufthansa, Ryanair, die technische Störungen vermelden. Dabei ist nicht immer klar, ob die Unternehmen selbst die Software von Crowdstrike einsetzen und deshalb nur eingeschränkte Dienste anbieten können, oder ob es andere Abhängigkeiten gibt. Beispielsweise könnten im Falle der Fluggesellschaften, die tatsächlichen IT-Probleme bei den Flughäfen liegen. Andersherum können auch betroffene Fluggesellschaften den Flughäfen zu schaffen machen. Laut Bundesverkehrsminister Volker Wissing bestand für Fluggäste aber keinerlei Gefahr.
Das Universitätsklinikum Schleswig-Holstein musste bereits alle für den heutigen Freitag geplanten Operationen an ihren Standorten in Kiel und Lübeck absagen. Auch Apotheken, die die Software von CGM Lauer einsetzen, hatten Probleme. Die Deutsche Bundeswehr war laut Verteidigungsminister Boris Pistorius nicht betroffen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Zwischenzeitlich war nicht klar, ob wirklich Crowdstrike der Grund für die IT-Störungen war. Verdächtigt wurden auch Amazon Web Services (AWS), Microsoft Azure und Google Cloud – sie dürften wegen der Vielzahl an Betroffenen verdächtigt worden sein. Es gibt nicht viele Dienste, die gleichzeitig so viele Unternehmen nutzen und damit auch zu einem weltweiten Ausfall führen können. In manchen Berichten hieß es auch, es sei ein Microsoft-Problem, weil nur Windows-Geräte betroffen waren. Auf Nachfrage von heise online sagte ein Sprecher von Microsoft: "Wir sind uns des Problems bewusst, dass Windows-Geräte aufgrund eines Updates einer Softwareplattform eines Drittanbieters betroffen sind. Wir gehen davon aus, dass eine Lösung in Kürze gefunden wird."
Dieser Artikel wurde mehrfach aktualisiert, um aktuelle Entwicklungen zu berĂĽcksichtigen.
(emw)