Bei großen Windows Systemen weltweit geht grad gar nichts mehr.
Berliner Flughafen ist auch betroffen.

Falls jemand von Euch betroffen sein sollte:

CrowdStrike Engineering has identified a content deployment related to this issue and reverted those changes. Workaround Steps:

- Boot Windows into Safe Mode or the Windows Recovery Environment
- Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
- Locate the file matching “C-00000291*.sys”, and delete it.
- Boot the host normally.

Nein nicht löschen. Sondern von .sys
in .rename umbenennen.

Wieder mal ein klassicher Fall von Security die nach hinten losging. Somit reiht sich der Anbieter CrowdStrike in die Liste der Anbieter ein, die es erfolgreich geschafft haben das System das sie eigentlich schützen sollen für den Anwender unbenutzbar zu machen. Avira, Panda, Kaspersky....

Lösungsansatz:

Georg Kurtz, CEO von CrowdStrike:

CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. The issue has been identified, isolated and a fix has been deployed. We refer customers to the support portal for the latest updates and will continue to provide complete and continuous updates on our website. We further recommend organizations ensure they’re communicating with CrowdStrike representatives through official channels. Our team is fully mobilized to ensure the security and stability of CrowdStrike customers.

Das hat die Wirtschaft sicherlich einige Milliarden gekostet. Bin mal gespannt, ob es da Klagen geben wird.

Schon verwunderlich, dass offenbar weder von dem „Drittanbieter“, noch von Microsoft selbst genügend geprüft wurde, ob das Update funktioniert…?!

Allex
Immer dort, wo Menschen arbeiten, können auch Fehler passieren. Ich will das nicht verteidigen was dort vorgefallen ist, doch es passieren halt einfach Missgeschicke.

Beispiel: Vor einigen Jahren bereiteten wir ein Update für MacStammbaum vor und testeten es ausgiebig. Es fielen keine Fehler mehr auf, also reichte ich es bei Apple zur Begutachtung ein. Doch das, was ich einreichte, war durch einen sehr dämlichen, ungeschickten Klick (ich bin mir bis heute nicht so 100% sicher, wie das passieren konnte) eine Beta-Version, die bereits einige Wochen alt war. Der Fehler fiel uns zum Glück vor der Begutachtung noch auf, aber es hätte zu vielen Problemen kommen können. Schlichte, einfache Ungeschicklichkeit an einer Stelle reicht manchmal aus, um so etwas zu verursachen – und gegen ALLE Risiken kann man sich nicht absichern.

Wieso? CrowdStrike hat nur seinen Job gemacht. Angreifbar waren die Systeme nicht mehr...

Dieser Ausfall sollte jedem hierzulande klar machen wie leicht es für die USA wäre nahezu unsere gesamte Wirtschaft und Verwaltung auszuknipsen und Schäden in Milliardenhöhe zu erzeugen. Dieser Trend alles in die Cloud zu setzen und abhängig von irgendwelchen ausländischen Cybersecurity Firmen zu machen ist gerade für kritische Infrastruktur wie Flughäfen, Krankenhäuser usw. unverantwortlich ohne eine gute Ausfallstrategie. Besser auf dezentrale Systeme wo eine Komponente nicht gleich alles mitreißt setzen.

Nur ein Beispiel, bei uns im Unternehmen werden nach und nach alle möglichen Systeme in VMs verfrachtet um keine Rechner vor Ort in der Produktion zu haben. Klar, hat auch Vorteile aber es nützt nichts wenn dann wie am Freitag keiner mehr remote zugreifen kann und Anlagen still stehen. Wer bezahlt nun den entstandenen Produktionsausfall? MS oder CrowdStrike die es verbockt haben vermutlich nicht.

Wenn DAS dein Resumé daraus ist, mach ich dir mal weiter Angst: Du nutzt Prozessoren, die wahrscheinlich in USA entwickelt und in Taiwan, Südkorea usw. gefertigt wurden. Du nutzt mit hoher Wahrscheinlichkeit ein Betriebssystem aus den USA. Du nutzt Motherboards, die zu 99% aus dem Ausland stammen. Du nutzt möglicherweise Cloud-Anbieter (wenn du verschiedene Sachen aus den Unternehmensräumen verlagerst, gehe ich mal davon aus) aus den USA (AWS, Azure usw). Du nutzt für deine VMs einen Hypervisor aus dem Ausland. Dort gäbe es, wenn es denn jemand vorhat, massiv Möglichkeiten, einen "Ausschalter" zu implementieren.

Alles richtig nur gegen Komponenten aus dem Ausland können wir nichst machen ohne eigene Chip Fabriken. Gegen die Nutzung von Cloud Infrastruktur könnte ein international tätiges Unternehmen sehr wohl etwas tun indem bereits innerhalb des Unternehmens entsprechene Vorkehrungen getroffen werden. Aber nein, der neueste Schrei ist bei uns auch noch die Einführung von MS365. Ist ja nicht so als ob es die letzten 20 Jahre nicht dezentral mit eigene Server nicht funktioniert hätte (redundant an zwei Standorten in Deutschland). Fällt heute aber eine Komponente in einem anderen Land aus, geht plätzlich das eine oder andere System nicht mehr. Aber ok, soll nicht mein Problem sein, am Freitag wurde ich für Däumchen drehen bezahlt

Robby555
Meiner Meinung nach hast du da vor völlig der falschen Sache Angst. Klar, die USA wie auch China, Taiwan oder andere Staaten könnten andere in die Steinzeit befördern. Nur was hätten diese davon?

Ich mache mir an dieser Stelle über eine andere Sache Gedanken, welche man leider sehr selten liest: Die Software/Betriebssystem-Technologie, auf welcher wir aufbauen, ist meist 30 Jahre oder gar noch älter. Wurde alles natürlich weiterentwickelt, nur sind es immer noch viele Prinzipien und Architekturen von damals implementiert, welche nie dafür gemacht waren, in solchen Umgebungen mit derartigen Sicherheitsanforderungen wie heute eingesetzt zu werden.

Eigentlich sollten solche Lösungen wie CrowdStrike (oder auch wie bei der letzten gigantischen Lücke in der Bibliothek "Log4j") gar nicht notwendig sein, wenn eine entsprechend neues "Betriebssystem für kritische Infrastruktur" derartige Funktionalitäten gleich von Haus aus mitbringen würde – und diese nicht von Drittanbietern oder der Open-Source-Community hinzugefügt werden müsste.

„Wieder mal ein klassischer Fall…“ der zeigt, daß Fehler passieren können! Das Unternehmen hat umgehend reagiert, um eine Lösung bereitzustellen. Und mit Sicherheit wird intern bereits intensiv daran gearbeitet sicherzustellen, dass zukünftig solche Fehler nicht mehr vorkommen. Von Extern wird ebenfalls mit Sicherheit darauf geachtet, daß das Unternehmen alle ihm zur Verfügung stehenden Ressourcen nutzt um Fehler mit so weitreichenden Konsequenzen zu vermeiden.
Vor allem aber finde ich wichtig, daß so einem Vorfall mit derart weitreichenden Auswirkungen mit entsprechender Professionalität begegnet wird.

Es gibt Anlagen/Systeme, da gibt es keinen Platz für "Missgeschicke". Da darf ein einzelner Fehler eben gerade nicht zum vollständigen Ausfall führen.

tolved
Das ist eine Idealvorstellung, die leider nicht der Realität entspricht und ein unerreichbares Ziel darstellt. Du kannst alles so sicher machen, dass es dem aktuellen Stand des Wissens und der Technik entspricht – aber niemals kannst du 100 Prozent erreichen. Jemand, der dir sagt, eine Anlage, Auto, Flugzeug, AKW, Server, Software sei 100 Prozent sicher, lügt schlichtweg.

Irres, konstruiertes Beispiel zur Veranschaulichung: Du hast dir für dein Software-Unternehmen den perfekten Testzyklus überlegt, um Fehler so gut wie möglich auszuschließen (perfekte Qualitätskontrolle, Unit-Tests, alles was der Stand der Technik hergibt). Du willst deployen – und alles klappt augenscheinlich. Was du aber nicht wusstest: Auf dem Server, der das Deployment übernommen hat, lag ein obskurer Fehler im Arbeitsspeicher vor, welcher ein paar Bits umkippen lässt (ja, es gibt ECC-Speicher, aber auch hier ist das denkbar). Obwohl du an alles gedacht hast, gibt es eine Katastrophe.

Wie schon oben gesagt: Ich möchte den Fehler von CrowdStrike in keiner Weise rechtfertigen oder schönreden. Nur egal auf was du dich verlässt, egal wie perfekt dein Prozess auch ist: Irgendwann kommt es zu irgendeinem menschlichen oder technischem Versagen oder einer Verkettung von dämlichsten Umständen, an die du nicht gedacht hast.

Schäden durch Petya/NotPetya: 10 Milliarden Dollar.
Schäden durch "Sicherheitstool" Cloudstrike (bisher): 24 Milliarden Dollar.

(Links von Fefe, der ja für einige hier ein rotes Tuch ist).

Und, wie auch von Fefe korrekterweise angemerkt: Das schließt den Umstand noch nicht mit ein, daß die Kunden für Schlangenöl wie Crowdstrike auch noch reichlich Geld bezahlen. Dafür, daß ihnen der Müll dann die Systeme abschießt.

Ich würde Deinen Einwand allgemein sofort unterschreiben, aber eben nicht im vorliegenden Fall.

Offenkundig hat es bei Crowdstrike überhaupt kein Qualitätsmanagement gegeben. Dieser Fehler hätte schon bei einem relativ oberflächlichen Test auffallen müssen, zumal er mehr oder weniger ohne einen Unterschied zu machen alle betroffenen Systeme abgeschossen hat.

Und Crowdstrike hätte gewarnt sein können: Im April haben sie das gleiche schonmal hinbekommen, da bei ihren bedauernswerten Opfern, die den Mist unter Debian installiert hatten.

Warum sollte Microsoft die Software von Drittanbieten prüfen? Die haben ihren Job schon damit gemacht, daß sie ein so lausiges "Betriebssystem" abliefern, daß man "Lösungen" wie Cloudstrike überhaupt braucht.

Der CEO von Crowdstrike stand bereits einmal im Mittelpunkt solch eines Vorfalls als er CTO von McAfee war.
Hier ein Zitat von Business Insider Damals hat das Programm einfach eine Windows-Systemdatei gelöscht.

Wir kennen die Hintergründe nicht genau, nur das Resultat. Es ist gut möglich, dass jemand einfach das falsche Update veröffentlicht hat, so wie es mir beinahe mal bei MacStammbaum passiert ist.

Wenn CrowdStrike kein Qualitätsmanagement hat: Deren Fehler, einfach unverantwortlich. Wenn es ein ganz dämlicher Umstand oder eine Konvergenz von mehreren unvorhersehbaren Geschichten war: "Nicht gut, aber kann passieren".

Krude, wann immer ich in diesem Forum von den immensen Abhängigkeiten der IT Strukturen, zuletzt zu digitalen Währungssystemen, geschrieben hatte, habe ich dafür immer viele "Daumen runter" Bewertungen und zumeist Unverständnis geerntet. Jetzt hat man einmal mehr gesehen, wie immens die Abhängigkeiten (Schäden) sind wenn es den mal zu enormen Systemausfällen der IT Infrastruktur, aus welchem Grund auch immer, kommt.

Jemand mit mehr Ahnung von IT-Administration mag mich gerne korrigieren, aber ich habe den Eindruck in großen Unternehmen wird genauso obskure Schlangenölsoftware (Antivirensoftware) installiert wie auf manchen Heimcomputern.
Sitzen in der IT Leute, die richtig Ahnung von IT-Sicherheit haben? Oder sind diese Leute zufällig in das Thema reingerutscht und beziehen ihr Know-how aus Computerzeitschriften, Werbebroschüren und indischen IT-Content Creators?
Warum sind kritische Systeme so an das Netz angeschlossen, dass solch eine Software überhaupt etwas bewirken könnte? Warum kann jemand einen USB-Stick mit einem Virus in ein Buchungssystem stecken? Warum sind die Systeme nicht abgeschottet?

sudoRinger

Also, es gibt Systeme, die abgeschottet sind. Aber heutzutage sind die meisten Systeme vernetzt und von externen Diensten abhängig, z.B. Zahlungssysteme. Die Airlines müssen ihre Passagiere mit den Nofly Listen abgleichen, ein Online Shop macht von Dir ein Profil, wo das Zahlungsausfallrisiko eine Rolle spielt, welche möglichen Zahlarten Dir vorgeschlagen werden…

Ich bin 2017 beim Kunden mit NotPetya konfrontiert worden…mein vom Kunden gestellter Rechner machte einen Bluescreen und das war es…
Im Sekundentakt konnte man sehen, wie das bei den anderen Kollegen mit ihren Geräten auch so ging…

Und Schlangenöl ist relativ, da diese Software genau wegen solcher Szenarien wie damals bei NotPetya die Rechner und vor allem die Server auf verdächtiges Verhalten prüfen und dann dementsprechend isolieren…

Ja, Virenscanner haben vor allem in der Mac Welt keinen guten Ruf, aber wenn man mit großen Konzernen zusammen arbeitet, kommt man da nicht drum herum, da das zur IT Security Policy dazugehört und wenn es aus versicherungstechnischen Gründen ist….

Die eigentliche Frage ist, warum das Problem nicht bei einem Regressionstest vor dem Release gefunden wurde? Gegen eine seltene Konfiguration spricht ja die Anzahl der betroffenen Systeme…

Gruß
Kronar

Aber über eine API-Schnittstelle wird doch kein Virus oder ähnliche Malware übertragen?

Dass es IT-Bedrohungen gibt ist mir nicht entgangen, aber der Einsatz solch einer Software auf alle Arten von Backends erscheint mir erratisch.

Da haben wir den Grund: Cover your ass

Wenn es eine gängige Schnittstelle ist und tauglich ist, einem Virus die Verbreitung zu ermöglichen, wird diese natürlich auch von findigen Malware-Entwicklern genutzt.

Kann passieren schön und gut aber auch dann bitte für die entstandenen Kosten gerade stehen. Ich hoffe nach diesem Vorfall bricht eine Klagewelle sonder gleichen auf die Verursacher ein, zumindest in den USA stehen die Chancen auf Entschädigungen sicher nicht schlecht. Und Microsoft sollte sich zukünftig Gedanken darüber machen mit was für Firmen da zusammengearbeitet wird.

Das ist unnötig abwertend von mir formuliert.
Vielmehr wollte ich sagen, dass bei der IT-Sicherheit mehr ein empirisches Wissen vorherrscht wie hohe Sicherheit umzusetzen ist als fundierte Erkenntnisse wie in anderen Bereichen der IT. Das Problem ist, dass man es bei Angriffen mit schwer zu testenden Ereignissen zu tun hat. Damit wird die IT aber auch leicht Kunde von Software mit zweifelhafter Wirksamkeit.
Ich hoffe so kommt das freundlicher rüber.

Bei NotPetya war es ein Update einer Schnittstelle einer ukrainischen Steuersoftware, die verpflichtend für alle Konzerne war, die Geschäfte in der Ukraine machen wollten…

Wenn es zweimal in kurzer Folge passiert ist es kein unglücklicher Umstand mehr.

Nein, ist es nicht und unerreichbar schon mal gar nicht. Ich habe gestern ein Foto auf meiner Kamera gelöscht, bevor da was gemacht wird, haben die Entwickler noch eine Abfrage implementiert, ob das Bild jetzt gelöscht werden soll. Wenn mein erster Schritt - das Foto zu löschen - ein Fehler gewesen war, dann hätte der im zweiten Schritt korrigiert werden können. Ein einziger Fehler führt eben noch nicht zum Verlust des Fotos.
Bei kritischen Systemen ist es ähnlich, angefangen von redundanten Netzteilen, bis hin zu mehrfach vorhandenen Systemen in Flugzeugen. Steuerungen werden mit mehreren Rechnern aufgebaut, die erst etwas machen, wenn 2 von 3 Rechnern zum gleichen Ergebnis kommen. Manche Bedienhandlungen müssen auch von zwei Personen autorisiert werden. Das wird alles gemacht, damit ein einzelner Fehler eben nicht eskaliert.


Um 100% Sicherheit ging es doch gar nicht, die ist unstrittig nicht erreichbar.
Es ging um einen einzelnen Fehler, der eben nicht zum GaU führen darf, weil der durch weitere Maßnahmen abgefangen werden kann und muss. Wenn heute etwas passiert, dann sind es doch meist mehrere Fehler, die dazu geführt haben.

Du weisst doch gar nicht, ob es ein einzelner Fehler war. Das Resultat war ein offensichtlicher Fehler – dennoch kann es sein, dass der Entwickler einen Fehler machte und die zweite Person, die als Sicherheitsnetz galt, Tomaten auf den Augen hatte. Da hilft auch die Redundanz nichts.

Ich bin immer wieder erstaunt mit welcher Illusion die aktuelle digitale Abhängigkeitstruktur gefüllt wird.
Die IT-Sicherheit ist nur der Überbringer der schlechten Nachricht.
Angefangen von der Planung über Entwicklung, Qualitätssicherung und Deployment bis zum blubbernden ProductOwner gibt es wo qualitativ gute Software für billig Geld?
Nirgendwo..

Als Projektleiter lernt man das berühmte magische Dreieck: Leistung, Zeitplan und Kosten. Bei meiner ersten Projektleiterschulung 2000 habe ich dann gelernt, dass es noch eine vierte Dimension gibt: Qualität....

Und leider stellt man heutzutage immer wieder fest, dass mittlerweile zum Teil auch die absoluten Grundlagen völlig vernachlässigt werden...
Im agilen Umfeld bekommt man Anforderungen, die technisch gar nicht realisierbar sind oder die nicht hinreichend durchdacht sind... alle wollen agile Entwicklung, weil man meint, dass man bessere Möglichkeiten zum Eingreifen hat...sind aber für ein agiles Projekt nicht vorbereitet... ("Sollen wir links oder rechts rum laufen? - Hmm das muss die GL entscheiden, der nächste Termin ist in 8 Wochen....")
Und Testing wird mitunter nur rudimentär gemacht, da es "ja nur Geld kostet"...
Das Problem ist halt, dass heutzutage die Komplexität der Software so viele möglichen Seiteneffekte und somit Fehler ermöglicht, dass dies nur mit extensiven Testen zu verhindern ist...

Gruß
Kronar