Nachrichten in der Welt

Wirtschaft

Globaler Computer-Kollaps: Warum weltweit an Flughäfen oder in Krankenhäusern nichts mehr geht, erklärt Dominik Merli, Professor für IT-Security an der Technischen Hochschule Augsburg, im Interview. Es geht um den Hintergrund des Crowdstrike-Crashs, einen möglichen Cyber-Angriff – und die Frage, wie Deutschland sich in Zukunft schützen kann.

ntv.de: Herr Merli, was wissen Sie über die weltweiten IT-Probleme, die unter anderem die Flughäfen so stark betreffen?

Dominik Merli: Heute sehen wir, dass weltweit Computersysteme in diversen Bereichen nicht funktionieren, etwa an Flughäfen, in Krankenhäusern, oder bei der Bahn. Der Crowdstrike-Agent auf den Computern in diesen Bereichen – also eine Sicherheitssoftware von der Cybersicherheitsfirma, die auf einem Windows-System läuft und dort analysiert, ob Angriffe passieren – wurde durch ein Update zum Absturz gebracht.

Aber nicht nur die Crowdstrike-Software, sondern ganze Computersysteme funktionierten weltweit nicht mehr.

Der Crowdstrike-Agent hat mit seinem Problem das ganze System in Mitleidenschaft gezogen. Das führte dazu, dass die Systeme nicht mehr richtig starten. Durch ein alltägliches Update sind die Computer also nicht mehr verfügbar, weil sie nicht mehr hochfahren können.

Kann jedes Computersystem durch ein einfaches Update abstürzen?

So etwas ist nicht normal. Eigentlich haben Betriebssysteme wie Windows, Linux oder das macOS eine Methodik, um Softwareapplikationen zu trennen. Das heiß: Stürzt eine davon ab, dann stürzt sie halt ab. Der Rest läuft aber weiter. Funktioniert etwa Word nicht mehr, dann funktioniert der Music Player trotzdem.

Was war beim globalen Absturz anders?

Solche Sicherheitsprogramme greifen in das System selbst ein, also in die Windows-Grundschicht. Weil sie auf dieser Ebene überwachen, wie sich das System verhält und was passiert, um Anomalien oder Angriffe zu erkennen. Und deswegen sagt man schon immer, dass solche Software, die so tief integriert ist und so tief eingreift – auch Virenscanner, die es schon lange gibt – im System auch etwas kaputt machen kann.

04:16 min

Wirtschaft 19.07.24 Experte schätzt Windowsstörung ein "Ist eine relativ simple, aber dramatische IT-Panne"

Wie kann es passieren, dass weltweit nichts mehr geht?

Knackpunkt ist, dass IT-Systeme komplex sind. Beim aktuellen Problem handelt es sich um ein Zusammenspiel von zwei verschiedenen Softwareprodukten: Microsoft Windows und der Crowdstrike-Agent. Nur im Zusammenspiel kommt es zum Crash. Der Agent auf einem Linux- oder Mac-System macht keine Probleme und Windows-Systeme ohne die neue Software machen auch keine Probleme. Durch die Komplexität und dadurch, dass wir viele verschiedene Software auf einem System gleichzeitig laufen lassen, wird so etwas wahrscheinlicher. Das ist aber nicht vermeidbar, die Systeme sind so komplex, weil es nicht anders geht.

Die Firma Crowdstrike gibt mittlerweile den Fehler zu und nennt ein eben solches Software-Problem als Grund für den Kollaps. Können Sie einen Cyber-Angriff komplett ausschließen?

Von außen betrachtet ist es schwierig, weil wir nicht wissen, was genau in diesem Update drinsteckt und wir haben im Moment keine Anhaltspunkte für einen Angriff. Die Updates starten in verschiedenen Zeitzonen zu unterschiedlichen Zeitpunkten und es wäre ein normales Vorgehen, wenn sie in Australien, das besonders von den Systemfehlern betroffen ist, zuerst begonnen haben, weil dort der Tag startet. Das ist also ein Indiz dafür, dass es eine normale Panne war. Allerdings könnte ein Angreifer das auch so aussehen lassen, wenn er den Anschein erwecken will, dass es sich nur um einen Fehler bei einem routinemäßigen Update handelt.

Wäre denn eine Attacke auf Crowdstrike und das Update möglich?

Es ist denkbar, und das gab es in der Vergangenheit bereits, dass ein Hersteller kompromittiert ist. Ein Angreifer könnte beispielsweise in Systemen von Crowdstrike sitzen und dort die Software beeinflussen. Diese veränderte und nun bösartige Software findet anschließend ihren ganz normalen Weg über das Update in die Computer der Kunden.

Wirtschaft 19.07.24 IT-Störung torpediert Sicherheit Aktien von Cybersecurity-Firma Crowdstrike brechen ein

Crowdstrike hat den Fehler nach eigenen Angaben behoben und bietet Firmen nun ein Update an. Wird jetzt alles schnell wieder gut?

Ein wichtiger Punkt ist, dass Crowdstrike das Ausrollen des Updates gestoppt hat. Alle Systeme, die nicht online waren heute Morgen, die bekommen das Update nun nicht mehr, wenn sie eingeschaltet werden. Bei den Systemen, wo der Fehler schon passiert ist, kann Crowdstrike aus der Ferne aber nicht automatisiert helfen. Man muss eine bestimmte Datei löschen, um das System wieder lauffähig zu machen. Das gelingt aber nur, wenn sich ein Administrator vor Ort am Gerät in einem bestimmten Modus Zugriff auf diese Datei verschafft.

Klingt langwierig.

Wenn ein Unternehmen tausend PCs hat, die automatisiert das Update bekommen haben, aber jetzt muss man jeden einzelnen nicht-automatisiert bearbeiten, kann das zu viel Aufwand und langen Ausfällen führen. Eine genaue Zukunftsvorhersage kann man aber nicht treffen, weil es auch davon abhängt, inwiefern zum Beispiel manche Systeme virtualisiert sind, also in der Cloud.

Ist so ein Crash wie heute überhaupt vermeidbar?

Hundertprozentige Sicherheit gibt es bei Computern nicht. Wenn das jemand versprechen sollte, dann ist das ein Zeichen dafür, dass man misstrauisch sein sollte. Wir haben in solchen Systemen immer wieder Gefahren und Fehler, die in Software integriert sein können und momentan noch nicht bekannt sind.

Welche Gefahren lauern da? Die Flughäfen haben massive Probleme, aber ein Flugzeug ist ja heute zum Glück nicht vom Himmel gefallen.

Wenn durch den Ausfall einer bestimmten Komponente ein menschlicher Schaden entstehen kann, spielt Redundanz eine große Rolle und ist von Normen, Standards und Gesetzen vorgeschrieben. Gerade im Bereich Sicherheit in der Luftfahrt oder Automobil. Dort hat man zum Beispiel etwa drei Systeme einer Art und falls eines ausfällt, hat man noch zwei andere, die alle Funktionen übernehmen können. Würden jetzt aber alle mit Windows betrieben und hätten die Crowdstrike-Software drauf, wäre nichts gewonnen. Deswegen werden solche drei Komponenten von drei unterschiedlichen Teams entwickelt oder sie müssen auf verschiedener Software oder Technologien basieren.

19 Bilder

Wirtschaft 19.07.24 Abhängigkeit von wenigen Firmen Gigantischer IT-Crash bringt Teile der Welt zum Erliegen

Wie kann die Welt sich in Zukunft schützen?

Man könnte solche Fälle wie heute durchaus besser in den Griff bekommen. Es gibt zwei Seiten, die mitspielen müssen: Die Betreiber der Systeme, die sich Gedanken machen müssen, was passiert, wenn ein Kontrollsystem für einen bestimmten Bereich ausfällt. Habe ich dann ein Backup-System, das innerhalb von zehn Sekunden einspringt? Auf der anderen Seite muss man sich bei den Herstellern fragen, wie es passieren kann, dass ein Update zu solch einem Fehler führt? Wie schafft es solch ein Update durch die Qualitätskontrollen und Tests, dass es auf der ganzen Welt ausgerollt wird? Da würde ich mutmaßen, dass bei den Tests nicht alles optimal gelaufen ist. Ich kann mir nicht vorstellen, dass bekannt war, dass die Software solch ein Problem auslösen kann. Ich glaube eher, dass es für diesen Fall keine optimale Testprozedur gab.

Es gibt etwa sechs große Cyber-Sicherheitsfirmen, die die meisten großen Unternehmen weltweit nutzen. Ist das gefährlich?

Grundsätzlich machen wir uns abhängig von allen Softwareprodukten, die wir nutzen. Da ist immer ein gewisses Vertrauensverhältnis dabei. Die Zahl sechs ist aber gar nicht so niedrig. Es gibt andere Bereiche, wo es nur ein paar Player oder ein klares Monopol gibt. Bei sechs Sicherheitsunternehmen sind durchaus eine gewisse Konkurrenzsituation und Diversität gegeben.

Wie sieht es mit der Abhängigkeit von Microsoft Windows aus?

In bestimmten Bereichen haben wir eine große Verbreitung und Dominanz von den Windows-Betriebssystemen. Wenn es dann zu einem Problem kommt, funktioniert überall nichts mehr. Dessen sind sich viele bewusst, aber gehen das Risiko trotzdem ein, weil es gerade auch ein Vorteil ist, dass viele Windows benutzen. Dass Linux und Mac nun nicht betroffen sind, zeigt, dass ein heterogenes IT-System einen positiven Effekt und mehr Resilienz hat, weil nicht alles gleichzeitig betroffen sein kann.

04:30 min

Wirtschaft 19.07.24 BSI-Chefin: "Keine schnelle Lösung" Riesige IT-Panne – "Es gibt derzeit zwei Ursachen"

Und die Privatpersonen, die etwa in langen Schlangen an den Flughäfen warten, sind die Dummen?

Genau deshalb ist es ein gesellschaftliches Thema. Es sind alle betroffen, in manchen Krankenhäusern konnten Operationen nicht mehr durchgeführt werden. Wir machen unsere kritische Infrastruktur abhängig von verwundbaren Systemen; also solchen, die keine hohe Resilienz aufweisen. Das müssen wir ändern. Zum einen müssen wir Bewusstsein schaffen, warum eine solche Resilienz Sinn ergibt und warum man dafür auch Geld ausgeben muss. Zum anderen muss eine Transparenz geschaffen werden, welche Software in unseren Systemen drinsteckt. Letztlich muss sich mit Notfallplänen beschäftigt werden: Was passiert, wenn das System morgen ausfällt?

Haben Sie damit gerechnet, dass so ein Crash wie heute mal passieren wird?

Wir in der Cyber Security rechnen täglich damit, dass mal kleinere und größere Ausfälle passieren. Vor allem welche durch kuriose technische Abhängigkeiten oder durch kreative und intelligente Angreifer. Deshalb überrascht mich so ein Ausfall wie heute nicht.

Mit Dominik Merli sprach David Bedürftig

Quelle: ntv.de