Humans against Cyber -Desaster bei CrowdStrike - Breaking News Sonderfolge

Eva: Hallo und herzlich willkommen zum Cyber Wellness Podcast. Eine Sonderfolge. Breaking News haben wir hier zu vermelden. Ein riesen Desaster ist passiert. Moin, lieber Nermin.

Nermin: Sehr gut, sieben, ehe es auch.

Eva: Na, da war ja was los hier, die Tage.

Nermin: Da war was los. Das ist auf jeden Fall hier schon mein Red Alert Puli wert gewesen. Aber für unsere Zuhörer ist es sehr früh am Morgen, zumindest für uns beide. Aber wir wollten euch nicht im Ungewissen lassen und auch ein bisschen was aufarbeiten. Wie ihr uns erkennt, das wird ja keine technische Analyse, aber es ist ein bisschen was passiert und viele von euch haben es vielleicht sogar mitbekommen oder selbst erleben dürfen. Eva, was ist denn passiert?

Eva: Hahaha!

Eva: Ja, was ist passiert? Also am 19. Juli hat CrowdStrike ein Update für diesen FileCon Server veröffentlicht. Und wie ja viele der Presse und auch aus schwerwiegender eigener Erfahrung erleben konnten, hat das Update zu einem Fehler geführt. und wo durch die CPU, ich glaube zu 100 Prozent, ausgelastet wurde und das zu diesem Bluescreen geführt hat. Das haben ja viele von euch vielleicht sogar bei der Arbeit auch selber miterleben können. Ich habe da so einige Rückmeldungen erhalten, dass der Betrieb stillstand. Und ja, und je länger das Ganze dauert und in die Presse kam, ist einmal das ganze, ganze Ausmaß klar geworden. Wie viele Fluglinien, Krankenhäuser. und alle von diesen Blue Screens of Death betroffen waren.

Nermin: Klingt schon immer sehr kritisch. Und war es ja auch. Es gibt Erschätzungen, das heißt ja irgendwie 8 ,5 Millionen Rechner weltweit sind voraussichtlich irgendwie davon betroffen. Vielleicht noch ganz kurz für unser Auditorium an Leuten. Falcon Server wird wahrscheinlich dem wenigsten was sagen. CrowdStrike wahrscheinlich auch. Ist eigentlich ein Stück Sicherheitssoftware, das sehr weit verbreitet ist und eigentlich seinen Job relativ gut

Eva: Ja.

Nermin: quasi liefert Infrastrukturen zu schützen, Rechner zu schützen. In dem Fall, ja, es ist ein bisschen schief gelaufen. Hat in Grunde genommen eben dazu geführt, dass Rechner abgestürzt sind, dass sie auch nicht mehr zurückgekommen sind, weil sie in sogenannten Wartungsmodus dann gelandet sind und der Rechner wird nichts anfangen konnte. Und natürlich wird, wie Eva ja schon gesagt hat, das hat ja wirklich sehr viele betroffen, vom EDEKA Kassensystem bis hin zu Krankenhäusern, Fluglinien weiß Gott, wo auch noch nicht alles, vom traditionellen IT Infrastruktur mal ganz ab und ab gesehen, aber ja, da ein bisschen was los.

Eva: Ich hatte so viel Rückmeldung diesen Tag. Das war wirklich krass. Wirklich von jedermann. Also ich muss das hier nochmal erzählen. Also der Nachbar klingelte völlig aufgelöst. Der arbeitet für ein Unternehmen, das Lebensmittel ausliefert an die Gastronomie. Und der war fertig mit der Welt. Hier geht gar nichts mehr und unsere Kunden auf Sylt, die haben da kein Verständnis, sie finden die Lebensmittel nicht. Das läuft uns alles hier digital. Dann kam parallel dazu von den Kindern hier rein. Ja, und hier unser Flieger geht nicht und wartet eine Stunde lang am Flughafen. Dann kam per WhatsApp rein von meiner Freundin, die sitzt im Service Center. Nichts geht mir hier. und alles bluescreen und alle aufgeregt. Also du hast es auch sofort gemerkt, auch ohne die Zeitung aufzuschlagen, schon nur aus deinem Umfeld, dass da richtig viele Leute betroffen sind.

Nermin: Ja, und LinkedIn war nicht benutzbar, finde ich. Also jeder, und das ist das, was mich so maßlos nervt, jeder hat eine Meinung dazu. Und jeder ist auf einmal irgendwie Experte und jeder hat irgendwie eine Einschätzung, was dann da passiert ist oder sonst irgendwie. CrowdStrike war ja relativ schnell, zu sagen, es war kein Sicherheitsvorfall. Und das ist etwas, was ich glaube echt streitbar ist. Es war vielleicht kein Sicherheitsvorfall. Das ist meine persönliche Meinung. Es war kein Sicherheitsvorfall bei Crowdsack selber.

Eva: Ja.

Nermin: Aber dadurch, dass fast passiert ist, hat so einen Sicherheitsvorfall bei vielen eben geführt. Und wie gesagt, das ist das, was wir so bisschen alle irgendwie vergessen. Es gibt ja so die drei Schutzziele. Eigentlich warum wir hier überhaupt Security und Cybersecurity machen, da war dieses Vertraulichkeit, Integrität und Verfügbarkeit. Nur das dreht sich ja in Grunde genommen alles. Und das war halt auch nicht gewährleistet. Also Verfügbarkeit erstmal sowieso nicht.

Eva: Richtig, sehe ich auch so.

Nermin: weil die Maschinen halt einfach nicht da waren. Und dadurch hat das halt wirklich zu einem Sicherheitsvorfall geführt. Die Deklaration allerdings, und das ist etwas, Was wirklich auch so viele so bisschen unterschätzen, vielleicht gar nicht auf dem Schirm haben, für speziell für Unternehmen, die sich irgendwie versichern haben lassen, bei irgendwelchen Cybersecurity -Versicherungen für solche Ausfälle. Das ist nicht abgedeckt, weil es kein Sicherheitsvorfall ist. Das ist nicht durch einen Angreifer verursacht, sondern das ist im Grunde genommen ein IT -technischer Ausfall, der in den seltensten Policies quasi als Ausfall so abgedeckt ist.

Eva: Krass.

Eva: Wie spannend! Darum verweisen die so stark darauf, wahrscheinlich.

Nermin: Genau, also das war ja kein Angreifer oder ähnliches involviert. Das ist halt einfach ein Malheur, das halt mal passiert.

Eva: Krass! Das ist interessant, das war mir gar nicht bewusst. das heißt, deshalb ist es besonders wichtig, damit die Versicherungen nicht eingreifen müssen, dass es auch genau so bleibt. Und das wird wahrscheinlich zu Gerichtsverfahren führen, wo genau das Gegenteil bewiesen werden wird.

Nermin: Gute

Nermin: Zumindest wird man versuchen bei den Gerichten, jetzt auch nicht die Cybersecurity oder Sicherheitsexpertise haben, das dann rauszukriegen, ob es jetzt ein Sicherheitsvorfall war oder nicht. Und wie gesagt, wo muss es denn passieren, damit tatsächlich seine Versicherung greift? Muss es bei mir passieren? Und dann kann das durch die sogenannte Supply Chain, quasi durch einen Lieferer, eine Lieferkette passiert sein. Muss es bei ihm gewesen sein? Kann er das bei mir verursachen? Also das wird auf jeden Fall halt irgendwie spannend aufzuarbeiten. Viel schlimmer finde ich einfach, dass durch diese ganzen sozialen Medien einfach diese, das geht ja keine Diskussionskultur mehr. wird ja in Grunde genommen überall nur noch mit dem Finger auf andere gezeigt, wer irgendwie schuld ist und was gemacht ist. Crowdswipe selber hat ja relativ schnell den Finger Richtung Microsoft geschoben, so von wegen ja, die haben ihr Betriebssystem so komisch gebaut, kann ja nicht sein, dass nur so eine kleine Datei oder so eine kleine Änderung dazu führt, dass das ganze Betriebssystem kaputt geht. Die sagen aber, Nachdem so Sicherheitssoftware relativ mit privilegierten Rechnen ausgestattet werden muss, damit man das Gerät halt einfach auch schützen kann, mussten die relativ tief verankert sein und Microsoft selber hat dann in Richtung EU sogar gezeigt.

Eva: Das habe ich auch gelesen, dass die sagen, ihr habt ja gesagt, wir müssen aufmachen. Und dadurch ist Tür und Tor für ganz viele Schwachstellen geöffnet. Und da können wir dann ja nichts machen.

Nermin: Und das ist also, den Leuten, die betroffen sind, ist halt damit nicht geholfen. Da muss man sagen, Crowdsweck hat zumindest relativ schnell reagiert und streitbare Lösung, also ein streitbarer Begriff von Lösung hergegeben. Das heißt, es gibt eine Möglichkeit, diese Rechner wieder zum Leben zu erwecken. Die Krugseine der ganzen Sache ist, dass jeder dieser betroffenen Rechner physikalisch angefasst werden muss, diesen Fix zu machen.

Eva: Das ist so heftig und du sagst ja 8 ,5 Millionen werden geschätzt, Also, wir müssen alle händisch.

Nermin: Das heißt, genau, es gibt ja diesen Spruch von Admin bei Turnshu und das ist tatsächlich in dem Fall wirklich wahr. Irgendjemand muss jetzt mit irgendwelchen Bootbahn -CDs, USB -Sticks, wie auch immer an die Rechner ran und das machen. Und die Unternehmen, die IT -Sicherheit dann nochmal bisschen ernster genommen haben, die sowas wie Festplattenverschlüsselung dann irgendwie auch noch in großen Masse verstreut haben,

Eva: Hehehehehe!

Nermin: Ja, die haben das Problem, die können das ja auch so per se auch gar nicht machen, weil sie brauchen quasi diesen Wiederherstellungsschlüssel für jede Maschine, eigen einzigartig. Das heißt, der muss vorher eingegeben werden, bevor man diesen Fix einspielt. Das heißt, es gibt keine Möglichkeit, per Remote einfach irgendwie ein Update zu streuen und hoffen, dass die alle zurückkommen. Irgendjemand muss an die Maschine ran und... Vielleicht einfach auch so bisschen zur geschichtlichen Aufarbeitung. Crowdstrike ist da jetzt nicht der einzige, dem sowas passiert ist. jeder der bekannten, wirklich buchstäblich glaube ich, jeder der bekannten Schutzsoftware Hersteller hatte das in der Vergangenheit schon gehabt. Also fun.

Eva: McAfee war doch auch so ein Riesending, oder?

Nermin: McAfee war in Grunde genommen relativ witzig, manche sagen es ist ein Zufall, manche lachen ein bisschen drüber. Der CEO, der aktuelle CEO von CrowdStrike war auch CEO bei McAfee, genau zu der Zeit, wo McAfee diesen gleichen Ausfall verursacht hatte. Jetzt hat er natürlich für ein paar Memes dann gesorgt, soll das dann zeigen, dass

Eva: Echt?

Nermin: der CEO anscheinend nicht so viel Wert auf Qualitätssicherung setzt und im Grunde genommen den Fehler, den damals mit McAfee getroffen hatte, jetzt zu CrowdStrike gebracht hat. Aber ich glaube, es zeigt einfach wie diese Abhängigkeit zu diesen Digitalen. Ich glaube, das ist etwas, was vielleicht vielen Leuten zumindest jetzt kurzfristig mal wieder bewusst ist, was eigentlich bedeutet. Und wie gesagt, jetzt weg von dieser klassischen IT durchsage gesagt, Fluglinien, Krankenhäuser, die irgendwie OPs verschieben mussten oder ähnliches. Das hat durchaus weitreichendere Folgen als nur irgendwelche Maschinen, nicht

Eva: ich auch krass fand, war der Manuel Atug, bekannt als Honkhase. Der schert ja wirklich immer richtig coole Nachrichten, also ich finde, ich folg dem super gerne. Der schert ja wirklich ordentlich mit der Community und der hat aufgedeckt, das fand ich ganz krass, dass in den AGBs von Crowdstrike dass im Grunde genommen da drin steht, dass es nicht für kritische Infrastruktur eingesetzt werden darf. dass es nicht ausfallsicher ist. wenn wir alle ehrlich sind, das ist so, aber das darf natürlich in solchen Bereichen nicht sein. Aber wenn dem so ist, dann frage ich mich schon und jetzt gehe ich doch auch nochmal Richtung Verantwortlichkeit, weil ich nicht schuldig, sondern verantwortlich. Aber wie kann das denn sein, dass zum einen aus dem Vertrieb heraus an genau solche Unternehmen bei Fluglinie, da ist ja die Wahrscheinlichkeit hoch, dass mehr als, was hattest du gesagt, irgendwie 100 .000, ne?

Nermin: 100 .000 war üblicherweise diese Grenze, wo sagen kann, ist etwas, wo 100 .000 Menschen davon abhängig sind, gilt dann als kritische Infrastruktur. Mal abgesehen von irgendwelchen Bereichen, die sich irgendwie rauslobbyiert haben, aber grundsätzlich war das immer der grobe Daumenwert.

Eva: Genau, kritisieren.

Eva: Richtig, also das heißt, das ist hier ja schon mal definitiv gegeben und auch, das wirklich explizit ausgeschlossen wird, aber es trotzdem dort ist, finde ich schon spannend. Also das zeigt wieder, auch hier für jedermann, wir müssen doch die AGB lesen, die Sachen lesen, auch wenn wir keine Lust dazu haben und man einfach nur sein Auto drunter setzt. Ist ja, passiert ja auch. in unserem Bereich, nämlich du weißt, viele Legalverhandlungen da geführt werden und da werden selbstverständlich wird es gelesen. Also das soll jetzt keinen falschen Eindruck erwecken, aber eben vielleicht auch im Mittelstand oder kleinere Unternehmen, die wo es mal schnell gehen muss, auch in anderen Kontexten, man muss irgendwie doch mal reinschauen, weil das kann im schlechtesten Fall ja oder nein bedeuten. also Hopp oder Top, Insolvenz ja oder nein. nur weil ich eventuell einen kleinen Paragraphen überlesen habe.

Nermin: Ja, zumindest aus Legal Perspektive ist man halt safe. Also wenn es tatsächlich zu irgendwelchen Rechtsansprüchen kommen würde, kann man als Anbieter immer auf die AGB verweisen und die gilt ja als akzeptiert, sobald du den Kauf tätigst. Und wir sind selber und ich bin damit mitschuldig. Überall wo wir uns irgendwie anmelden, Account machen, kannst du ja quasi nur bestätigen, du das Häkchen machst, AGB gelesen. Natürlich nicht. Aber ja, das ist so der Punkt und wie gesagt

Eva: Ja.

Nermin: Honkase hat das ja richtig auch beschrieben. Das ist glaube ich auch was viele nicht wissen. Die geben ja eine gewisse Verfügbarkeitsgarantie mit diesen 99, irgendwas Prozent. Ich glaube im Falle von von Krautzeug war es irgendwie 99 ,5 Prozent Verfügbarkeit. Was relativ hoch klingt, aber wenn man es tatsächlich so aufs Jahr runter bricht, sind das halt dann doch fünf bis sechs Tage, die durchaus mal nichts passieren kann. diese fünf bis sechs Tage beim Edeka nicht einkaufen oder fünf bis sechs Tage für einen Mittelständler, der seine Ware nicht loswerden kann oder seine Ware nicht geliefert bekommt. Das ist schon die Frage nach oder top.

Eva: Wobei man dann natürlich wieder auch den Nutzen natürlich gegenüber stellen muss. Ich glaube, es gibt einfach nichts, was 100 Prozent Verfügbarkeit garantieren kann. Das gibt es nicht. Und wenn ich ansonsten aber meine Produktivität oder Sicherheit oder was auch immer über zig Jahre lang auch massiv durch diese Nutzung steigern konnte, ein gewisses Risiko muss ich ja eingehen. Ich kann mir oft ja auch einfach dann doch nicht erlauben, es zum Beispiel weiter analog zu machen oder irgendwie sowas, weil dann der Verlust noch viel größer ist als der Schaden, der jetzt

Nermin: Ja, das ist diese Diskussion, jetzt wieder wahrscheinlich irgendwie aufflammen wird. was es halt einfach zeigt, natürlich, es gibt keine hundertprozentige Sicherheit. Das weiß man und die wird es heute auch nie geben. Und das heißt, du musst dein Risiko kennen. Du musst halt wissen, egal, komplett weg von irgendwelchen Herstellern und Anbietern und sonst irgendwas, es gibt immer dieses Risiko, dass irgendwas passiert. Du musst es kennen und du musst darauf vorbereitet sein.

Eva: Ne.

Nermin: Und wir waren es halt wieder nicht. Oder die Infrastruktur, es betroffen hat, war es halt wieder nicht. Weil das wahrscheinlich halt irgendwie auch keiner auf dem Schirm hatte, dass so was mal passiert. und wie gesagt, nochmal gesagt, es gibt ja eine gewisse Historie die letzten 20 Jahre, dass bei solchen Herstellern sowas halt nicht unwahrscheinlich ist, dass das halt mal passiert. Und wie gesagt, das hat ja irgendwie alle mal betroffen. Von daher hätte man es durchaus schon mal irgendwie zumindest in einer Risikobetrachtung haben müssen. zu sagen, was passiert, wenn wir uns auf diesen Hersteller dieses Produkt verlassen und das irgendwie über die Wuppe geht und das nicht mehr erreichbar ist. Was ist dann unser Notfallplan? Und Notfallplan kann ja Papier sein. wie gesagt, im Falle von Krankenhäusern und sonst irgendwas, ja es wird halt alles digitalisiert, aber ich muss zumindest irgendwie Sorge dafür tragen, dass das ist quasi jedes Unternehmen in seine eigene Verpflichtung.

Eva: Happy ILO!

Nermin: weiter geschätzt für dich zu sein und dann nicht irgendwie mit dem Finger zeig zu sagen ja aber eigentlich haben wir euch gekauft aber bitte uns sicherer macht und jetzt können wir nicht arbeiten

Eva: Wie hätte man sich denn darauf vorbereiten können? Das würde mich mal interessieren. was hätte man, ich finde, wenn wir da so ein bisschen mal so durchgehen, also Kommunikation seitens Crowdstrike zumindest lief, finde ich persönlich gut. Also du warst auf allen Kanälen sofort gut informiert vom CEO selber, vom Chief Security Officer Henry, Und hast wirklich Laufend Informationen bekommen. Das fand ich zum Beispiel sehr positiv. Die haben sich, finde ich, sehr gut in der Kommunikation verhalten. Aber was hätte denn, wenn man das geübt hätte, hätte das was verändert. Also wenn ich diesen Vorfall geübt hätte, hätte das was anders gemacht. Und wenn ja, was?

Nermin: Also grundsätzlich kann man sagen, was halt hier versagt ist, ist ganz klar die Qualitätssicherung seitens des Anbieters. Es betrifft jetzt hier keine exotischen Systeme oder etwas, was tatsächlich auf der Welt sehr selten oder in deren Kundenbasis sehr selten vorkommt, sondern das ist etwas, was bei der klassischen Qualitätssicherung, bevor man solche Updates oder wie auch immer rausschickt, wird es zumindest eine automatisierte Qualitätssicherung durchgegangen. Und dort hätte das auffallen sollen, so dass dieses Update nie rausgehen kann. Jetzt haben wir natürlich hier als Security Professionals ja immer gepredigt, Updates müssen zeitnah eingespielt werden. Ist jetzt in dem Fall schwierig praktikabel, aber wir hätten sagen können, ein Unternehmen könnte grundsätzlich selber ein Stück wieder Risiko auf sich nehmen und sagen, jedes Update, von einem Hersteller kommt, spiele ich erstmal in einer meine eigenen Testumgebung irgendwie ein und schauen, wie es sich verhält, bevor ich das irgendwie weitermachen kann. Nun ist es bei Indie -Konstellationen immer relativ schwierig. Diese ganzen Sachen werden irgendwie aus dem Zentral, irgendeiner Cloud gesteuert und wird von dort aus irgendwie auch mit den Patches und Updates halt einfach versorgt. Es ist schwierig, da Stufen irgendwie einzubauen, zu sagen, okay, erst wenn es da durchläuft, dann mache ich das da und da. Von daher wenn man irgendwie sagt, es geht ja nicht Umschuldzuweisung, aber wenn es Verantwortung geht, dann hat es auf jeden Fall da versagt. ja, Crowdsourced hat technisch gut drauf geantwortet. Alles andere ist wirklich streitbar. Man sagt ja auch, dass das irgendwie, ich habe es selber zwar nicht gelesen, aber es ist nur irgendwo beiläufig gesehen, dass die Liste ihrer betroffenen Kunden ja irgendwie auch publikgestellt haben.

Eva: Ja, das fand ich auch krass. Jetzt weiß jeder, wer Cross -Track -Kunde ist. Das fand ich auch heftig.

Nermin: Ja, und man sieht ja auch, es gibt ja die ersten Angreifergruppen, die nutzen das ja schon, quasi ihre Phishing -Versuche. Und wer Phishing nicht weiß, sollte einfach mal die letzte Folge nochmal irgendwie anhören. Wie riskant das ist. Aber ja, die werden jetzt diese Unternehmen adressieren sagen können, wir haben hier einen coolen Fix, hast du hier gleich irgendwie per Mail bekommen oder kannst du hier da und da runterladen?

Eva: Ja.

Nermin: Und dann ist es halt tatsächlich halt Ransomware oder irgendwas anderes oder irgendwelche Trojaner, die sich halt dann drauf mitpacken, die das Problem nicht lösen, aber dann erst richtig zum Sicherheitsvorfall machen. Von daher, das zu teilen, fand ich jetzt schon, das ist in der Kommunikation nicht gut gelaufen. Das machst du in gar keinen Umständen, wenn du eine Liste deiner Kunden irgendwo hinstellen und sagen, das sind sie und üblicherweise genau das sind die, auf die du gleich los treten kannst.

Eva: voll.

Eva: Feuer frei! Nutzt die schon!

Nermin: Die haben ein aktuelles Problem und die werden jetzt wenig von ihrem Security Awareness Training noch im Kopf haben, weil sie jetzt tatsächlich gerade getriggert sind. Das möchte ich jetzt auch gerade diese Plattform auch nutzen an die Unternehmen, die betroffen sind, an die Mitarbeiter, die gerade nicht arbeiten können. Habt Geduld. Habt Geduld mit den Herstellern und den Kontakten, die ihr dort habt. Die können nichts dafür. Die versuchen euch zu helfen. Seid mit denen gnedig und stresst die nicht. Das Gleiche gilt auch für eure eigenen IT -Leute. Die wissen, was zu tun ist, die werden das tun, die arbeiten daran, wieder das herzustellen. Versucht nicht, die irgendwie auch noch weiterzuquälen. Die Situation war schlimm genug, die hatten jetzt auch keinen Wochenende. Das sind auch Menschen, haben auch Familie, wollen auch normal leben. daher ist so mein Appell an die betroffenen Unternehmen. Lasst die Leute arbeiten.

Eva: Ja, voll.

Nermin: die machen das dann schon. Es wird dauern, wie gesagt, jede Maschine muss da irgendwie selbst angefasst werden. Es sicher Leute, da ein bisschen noch Einfallsreichtum irgendwie reinsetzen, wie sie das vielleicht doch irgendwie halbwegs automatisiert kriegen, ja, nicht drauf rumhacken, versucht konstruktiv zu bleiben und die Zeit wird schon richten. Die Frage ist, was werden wir halt draus lernen?

Eva: Ja, was werden wir daraus lernen? Das kann vielschichtig sein. Das könnt ihr uns ja mal in die Kommentare schreiben, wenn ihr Bock habt. Es war eine Sonder -Kurzfolge heute. 20 Minuten haben wir doch wieder. Aber es auch zu spannend. Wir können auch noch ewig weiter quatschen. Aber ja, diskutiert mit. Schreibt uns rein in die Kommentare, wie ihr das erlebt habt, ob ihr was erlebt habt, eure Meinung dazu.

Nermin: Ja, ist so wichtig.

Eva: Und ja, danke, Niamhine, für das spontane Zusammenkommen. Laden wir dann mal gleich schon hoch. also in diesem Sinne allen einen schönen Tag. Ciao.

Nermin: Immer gerne. Meinen ersten Kaffee trinke ich gerne mit dir.

Nermin: und bleibt Tschüss!