Ein Eingabefeld zuviel

CrowdStrike legt Fehleranalyse vor

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Security-Anbieter CrowdStrike hat jetzt eine Root Cause Analyse des Vorfalls vorgelegt, der am 19. Juli weltweit zu massiven IT-Ausfällen geführt hat. Darin wird auch erklärt, wie ein vergleichbares Ereignis künftig vermieden werden soll.
CrowdStrike hat die Analyse des Vorfalls am 19. Juli vorgelegt.
CrowdStrike hat die Analyse des Vorfalls am 19. Juli vorgelegt.
Foto: Below the Sky - shutterstock.com

Wie bekannt, veröffentlichte CrowdStrike am 19. Juli ein sogenanntes "Content-Konfigurationsupdate" für seinen Windows-Sensor. Das Update führte zu einem Systemabsturz. Nach Schätzungen von Microsoft waren davon 8,5 Millionen Rechner betroffen. Eine Woche später war der Schaden bei 250.000 immer noch nicht behoben. Am 31. Juli teilte CrowdStrike dann mit, dass rund 99 Prozent seiner Windows-Sensors wieder online seien - oder anders gesagt, etwa 85.000 Rechner immer noch Probleme hatten.

Als Ursache des Problems wurde nun eine im Februar 2024 eingeführte neue Sensorfunktion ausgemacht. Sie sollte Einblick in mögliche neuartige Angriffstechniken ermöglichen. Diese Funktion sei mit den bei CrowdStrike üblichen Softwareentwicklungsprozessen entwickelt und getestet worden. Am 5. März sowie zwischen dem 8. und 24. April 2024 bereitgestellte Updates hätten auch wie erwartet funktioniert.

Für das am 19. Juli 2024 bereitgestellte "Rapid Response Content Update" war die neue Funktion aus dem Februar weiterentwickelt worden. "Der Sensor erwartete 20 Eingabefelder, während das Update 21 Eingabefelder bereitstellte. In diesem Fall führte die fehlende Übereinstimmung zu einem unzulässigen Speicherzugriff, der den Systemabsturz verursachte", erklärt CrowdStrike nun.

Welche Maßnahmen CrwodStrike ergriffen hat

Auf Grundlage der Ergebnisse der Untersuchung hat CrowdStrike einige Maßnahmen ergriffen und weitere geplant. Zunächst einmal wurde das Testverfahren und das Bereitstellungverfahren für das Content-Konfigurationssystem verbessert. Das heißt, Updates werden nun gründlicher geprüft und nicht an alle Rechner gleichzeitig ausgeliefert, sondern über mehrere, aufeinanderfolgende Bereitstellungsringe.

Außerdem können Kunden nun besser steuern, wie Updates bereitgestellt werden. Zusätzliche Prüfungen vor der Einführung in die Produktionsumgebung sollen am 19. August 2024 bereitgestellt werden. In Arbeit ist zudem eine weitere Verbesserung des Testprozederes. Dazu sollen zwei unabhängigen Software-Sicherheitsanbieter den "Falcon"-Sensorcode checken sowie die End-to-End-Qualitätskontrolle und das Freigabeverfahren prüfen. Die vollständige Analyse steht hier als PDF zum Download bereit.

Weitere Maßnahmen sind wahrscheinlich noch erfordelrich. So hat zum Beispiel das BSI bereits angekündigt, strengere regeln für alle Security-Hersteller einführen zu wolen. Dazu stehe es mit CrowdStrike und Microsoft in Gesprächen. Außerdem will Microsoft für Drittanbieter den Zugriff auf den Windows-Kernel stärker reglementieren.

Mehr zum Thema

Bitkom und BSI suchen Opfer der CrowdStrike-Panne in Deutschland

Delta fordert halbe Milliarde Dollar von Crowdstrike

Zur Startseite