Anfang August haben BSI und Bitkom Research deutsche Unternehmen, die vom Ausfall bei CrowdStrike betroffen waren, mit einer Umfrage gebeten, ihre Erfahrungen mitzuteilen und den Schaden abzuschätzen. Jetzt liegt die Auswertung der Umfrageergebnisse vor. Teilgenommen hatten 331 von den Ausfällen betroffenen Unternehmen. "Die Untersuchung ist nicht repräsentativ, gibt aber ein aussagekräftiges Stimmungsbild", teilt das BSI deshalb mit.
62 Prozent der betroffenen Unternehmen litten unter direkten Folgen, wie dem Ausfall der eigenen PCs oder Server. 48 Prozent spürten indirekte Auswirkungen, etwa weil Zulieferer, Kunden oder Geschäftspartner betroffen waren. Knapp die Hälfte der direkt oder indirekt betroffenen Unternehmen (48 Prozent) musste vorübergehend den Betrieb einstellen. Im Durchschnitt dauerte die Betriebsunterbrechung 10 Stunden.
Probleme "gravierend" für die deutsche Wirtschaft
Rund drei Viertel (73 Prozent) der Umfrageteilnehmer bezeichnen die entstandenen Probleme und Störungen rückblickend als "gravierend" für die deutsche Wirtschaft. Zugleich sind sich zwei Drittel (64 Prozent) aber auch sicher: Ein solcher Vorfall lässt sich in ihrem Unternehmen nicht vollständig verhindern.
"Es wird auch in Zukunft keinen 100-prozentigen Schutz vor IT-Sicherheitsvorfällen geben", sagt BSI-Präsidentin Claudia Plattner. "Trotzdem wollen wir so nah wie möglich an die 100 Prozent heran." Dazu stehe das BSI in engem Austausch mit CrowdStrike, Microsoft und weiteren Software-Herstellern. Ziel sei es, die Qualität der Security- Software und der Methoden für Software-Updates verbessern.
"Aber auch Unternehmen müssen und können mit präventiven Maßnahmen ihre Resilienz erhöhen, damit sie widerstandsfähiger gegen IT-Sicherheitsvorfälle werden", betont das BSI. Dazu sei es wichtig, Anwendern "die größtmögliche Kontrolle" über Update-Prozesse zu geben. Außerdem hebt das BSI die Bedeutung eingeübter IT-Notfallkonzepte als Bestandteil jeder Krisenvorsorge hervor.
Einer anderen Bitkom-Umfrage zufolge hatten aber zumindest vor zwei Jahren nur die Hälfte der Unternehmen solch einen Notfallplan. Von den direkt oder indirekt betroffenen Unternehmen hatten immerhin 62 Prozent einen Notfallplan für solche IT-Ausfälle vorbereitet - und der hat zumeist gegriffen. Bei 19 Prozent der betroffenen Unternehmen mit Notfallplan haben die Abläufe sehr gut funktioniert, bei 45 Prozent "eher gut". Bei 12 Prozent hat der Plan allerdings "eher nicht" funktioniert, bei 2 Prozent sogar gar nicht. Rund ein Fünftel musste nicht auf den Notfallplan zurückgreifen.
"Diesmal ist es glimpflich ausgegangen, auch dank der gemeinsamen Anstrengungen von Wirtschaft und Behörden, mit Unterstützung von CrowdStrike und Microsoft", sagt Bitkom-Präsident Ralf Wintergerst. "Es muss aber ein Warnschuss für uns sein. Wir müssen unsere Cybersicherheit dringend weiter verbessern und brauchen entsprechendes eigenes Know-how in Unternehmen und Behörden - nur so können wir uns vor unbeabsichtigten Ausfällen oder gezielten Angriffen besser schützen und digital souveräner werden."
Direkt betroffene Unternehmen der CrowdStrike-Panne
Bei den direkt betroffenen Unternehmen wurden im Schnitt 32 Prozent der PCs und Notebooks sowie 51 Prozent der Server in Mitleidenschaft gezogen. Dadurch kam es vor allem zu Systemabstürzen (83 Prozent), Anwendungen konnten nicht genutzt werden (64 Prozent) und Daten waren nicht verfügbar (58 Prozent). 40 Prozent der Unternehmen sind so Schäden in der Zusammenarbeit mit Kunden entstanden, etwa weil Leistungen nicht erbracht werden konnten
Im Schnitt dauerte es zwei Tage, bis die Störungen wieder vollständig behoben waren. Ein Fünftel der direkt betroffenen Unternehmen (20 Prozent) litt aber drei Tage und länger unter den Folgen.
Die direkt betroffenen Unternehmen haben sich zumeist (74 Prozent) selbst geholfen. 15 Prozent bekamen Unterstützung von externen IT-Dienstleistern, 9 Prozent direkt von CrowdStrike und 4 Prozent von Microsoft.
Ihre ersten Informationen zur IT-Panne haben jeweils knapp ein Viertel der Unternehmen über Social Media (23 Prozent) und von CrowdStrike direkt (22 Prozent) erhalten. 17 Prozent wurden zuerst über die Presse informiert, 10 Prozent von externen Dienstleistern und jeweils 2 Prozent von Microsoft beziehungsweise Behörden.
Lehren aus der CrowdStrike-Panne
Aus Schaden wird man klug: Die Unternehmen, die direkt oder indirekt betroffen waren, wollen sich besser aufstellen. Zwei Drittel (66 Prozent) wollen einen IT-Notfallplan entwickeln beziehungsweise den bestehenden nachbessern oder haben das bereits getan.
Mehr als die Hälfte (55 Prozent) plant Schulungen oder hat diese schon durchgeführt. Ebenso viele wollen das Patch-Management ihrer Software verbessern oder haben dies bereits umgestellt (55 Prozent). Regelmäßiger Updates einspielen wollen 52 Prozent, Backup-Systeme einführen oder verbessern 49 Prozent, die Netzwerke stärker zu segmentieren planen 49 Prozent. Redundanzen in der IT aufzubauen haben sich 48 Prozent vorgenommen.
Ein Fünftel (20 Prozent) will die Kriterien bei der Auswahl von IT-Sicherheitsanbietern anpassen, Allerdings haben sich nur 4 Prozent als Konsequenz aus dem Vorfall von CrowdStrike getrennt, 6 Prozent planen noch, ihren Sicherheitsanbieter zu wechseln. International hat der Vorfall CrowdStrike zunächst kaum geschadet: Den am 28. August 2024 vorgelegten Zahlen für das zweite Quartal des Geschäftsjahres 2025 zufolge, kletterte der Umsatz in dem Pannen-Quartal auf 963,9 Millionen Dollar - ein Plus von 32 Prozent gegenüber dem Vorjahresquartal.
Lehren aus der CrowdStrike-Panne