Konsequenzen aus CrowdStrike-Panne

BSI plant neue Regeln für alle Security-Hersteller

30.07.2024 von Peter Marwan
Das BSI will erreichen, dass sich Rechner auch bei schwerwiegenden Fehlern in einem EDR-Tool oder einer anderen Software mit hohen Privilegien mindestens in einem abgesicherten Modus starten lassen.
Aus der CrowdStrike-Panne will das BSI Lehren ziehen und Regeln entwicklen, die auch für andere Security-Hersteller gelten sollen - denen es offfenbar ähnliche Fehler ebenfalls zutraut.
Foto: CrowdStrike/BSI/ChannelPartner

Nachdem die unmittelbaren Folgen der massiven Panne bei CrowdStrike Mitte Juli weitgehend beseitigt sind, arbeitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) daran, solche Vorfälle künftig möglichst auszuschließen. Dazu hat es jetzt einen dreistufigen Maßnahmenplan vorgelegt.

Speziell mit Crowdstrike will das BSI Maßnahmen vereinbaren, "durch die die Betriebsstabilität von Kundensystemen auch bei der Installation kurzfristig notwendiger Software-Updates sichergestellt wird." Allerdings sollen die Anforderungen nicht auf CrowdStrike begrenzt bleiben "Wir werden in Gesprächen mit Microsoft, Crowdstrike und Herstellern vergleichbarer Softwarelösungen darauf hinwirken, dass das jeweilige Betriebssystem auch bei schwerwiegenden Fehlern immer mindestens in einem abgesicherten Modus gestartet werden kann. Damit soll eine etwaige Fehlerbehebung für die Betroffenen künftig erleichtert werden", teilt das BSI mit.

Gleiche Schutzwirkung bei geringeren Eingriffsrechten

Langfristiges Ziel des BSI sei es, "neue und resiliente Komponenten konzipieren und umsetzen zu lassen, die die gleiche Funktionalität und Schutzwirkung entfalten wie bisher, die allerdings weniger tiefgreifende Eingriffsrechte in die Betriebssysteme benötigen." Damit hofft man die die Auswirkungen von Softwarefehlern deutlich zu reduzieren.Das BSI lobt die "unmittelbar erfolgten Sofortmaßnahmen des Herstellers" und die "Bereitstellung eines ersten Workarounds für die betroffenen Systeme." Ergänzend habe man laufend mit Crowdstrike diskutiert und auch die Rückmeldung vom Hersteller in den Maßnahmenplan einfließen lassen.

Der sieht kurzfristige Maßnahmen (bis 15. August), mittelfristige Maßnahmen (bis 30. September) und langfristige Maßnahmen (bis n31.12.2024) vor. Kurzfristig gilt es vor allem, die Auswirkungen vollständig zu erfassen und zu beheben.

Mittelfristig soll das verbesserte Testkonzept von Crowdstrike überprüft und geklärt werden, wie sich ein zügiger Rollout von Updates bei hoher Stabilität von Kundensystemen gewährleisten lässt. Außerdem will das BSI Crowdstrike-Kunden hinsichtlich der von CrowdStrike in seinen AGB auch genannten, grundsätzlichen Betriebsrisiken sensibilisieren. Darauf aufbauen sollen die dazu ermutigt werden, ausreichende betriebliche Redundanzen für kritische Einsatzszenarien zu schaffen.

"CrowdStrike"-Regeln sollen für alle Security-Hersteller gelten

Langfristig ist angedacht, in Zusammenarbeit mit CrowdStrike und Microsoft dafür zu sorgen, dass das EDR-Tool auch bei schwerwiegenden Fehlern den Start des Systems zumindest in einem eingeschränkten Modus ermöglicht. Diese Maßnahme soll aber nicht auf CrowdStrike beschränkt bleiben: Noch 2024 sollen "Erstgespräche mit allen relevanten Stakeholdern zur Architektur von EDR-Tools zur Erhöhung derer Resilienz" stattfinden.

2025 sollen dann ganz allgemein "Hersteller von Produkten mit (derzeit noch) hohen Privilegien" in den Prozess einbezogen werden. Ziel sind "Architekturen zur Ausführung von EDR-Tools mit minimal erforderlichen Privilegien bei gleicher Funktionalität und Schutzwirkung".