Ein Überblick über den 19.07.2024

Executive Summary

• Ein Update der Crowdstrike Falcon EDR-Lösung verursachte BSOD-Probleme auf Millionen von Windows-Geräten, was zu Unterbrechungen in mehreren Branchen führte und das Dilemma verdeutlichte, kritische Sicherheitsupdates mit gründlichen Tests in Einklang zu bringen.
• Der Vorfall unterstreicht, wie wichtig die Einhaltung von NIS2 und DORA ist, um robuste Cybersicherheitsmassnahmen, die Überwachung der Lieferkette und Notfallpläne zur Vermeidung von Unterbrechungen und zur Gewährleistung der Geschäftskontinuität sicherzustellen.
• Das Asset- und Risikomanagement ist von entscheidender Bedeutung, um Abhilfemassnahmen je nach Auswirkung und Komplexität von Störungen schnell zu kategorisieren und zu priorisieren und so effektive und gezielte Sicherheitsmassnahmen zu gewährleisten.
• Agentenlose NDR-Lösungen sollten EDR-Lösungen in kritischen Umgebungen unterstützen.

Einleitung

Ein von CrowdStrike veröffentlichtes fehlerhaftes Update verursachte am vergangenen Freitag weltweit massive IT-Ausfälle, von denen zahlreiche Branchen und kritische Infrastrukturen betroffen waren. Nach Angaben von Microsoft waren weltweit etwa 8,5 Millionen Windows-Geräte betroffen. Flughäfen, Banken, Gesundheitseinrichtungen und Regierungsinstitutionen waren in erheblichem Maße betroffen, wobei das volle Ausmaß der Folgen noch unbekannt ist. Cyberkriminelle versuchten, die Situation nach dem Vorfall auszunutzen.

Das Update verursachte auf Tausenden von Windows-Computern weltweit BSOD-Probleme (Blue Screen of Death) beim Booten und legte Banken, Fluggesellschaften, Fernsehsender, Supermärkte und viele andere Unternehmen lahm. Logistik- und Fluggesellschaften mussten ihre Hauptdienstleistung, den Transport von Personen und Gütern, einstellen, und Banken sahen sich mit Problemen wie eingeschränktem Zugang zum Online-Banking, Ausfällen von mobilen Banking-Apps und fehlgeschlagenen Transaktionen an Geldautomaten und Kassensystemen konfrontiert.

Ein offensichtliches Dilemma

Abschalten von wichtigen Sicherheitsupdates vs. Testen aller Updates vor der Installation in der eigenen IT-Umgebung: Einerseits ist das Unternehmen möglicherweise nicht umfassend geschützt, und die Überprüfung jedes Updates könnte zu viele Ressourcen verschlingen.

Andererseits könnte ein Missgeschick wie bei CrowdStrike passieren und das Unternehmen lahmlegen. Eine Empfehlung könnte sein, automatische Updates für kritische IT-Infrastrukturen nach Möglichkeit abzuschalten. Richten Sie Testumgebungen ein und testen Sie Aktualisierungen gründlich, bevor Sie sie in der produktiven Umgebung einführen. Im Fall von CrowdStrike wäre es sinnvoll gewesen, die Implementierung des Updates zu verschieben.

NIS2 & DORA

Der jüngste weltweite IT-Ausfall, der durch ein Software-Update von CrowdStrike verursacht wurde, verdeutlicht die dringende Notwendigkeit robuster Cybersicherheitsmassnahmen. Die Einhaltung der Network and Information Systems Directive 2 (NIS2)-Richtlinien, zu denen strenge Tests, schnelle Reaktion auf Vorfälle und kontinuierliche Überwachung gehören, kann die Widerstandsfähigkeit erheblich verbessern und solche Störungen verhindern. Lassen Sie uns aus diesem Vorfall lernen und eine sicherere digitale Zukunft aufbauen.

Dieser jüngste Vorfall erinnert uns eindringlich daran, warum Vorschriften wie der Digital Operational Resilience Act (DORA) und die NIS2 für die digitale Landschaft der EU so wichtig sind. In einer zunehmend komplexen digitalen Welt geht es bei der Einhaltung dieser Vorschriften nicht nur um Compliance, sondern auch um die Gewährleistung der Widerstandsfähigkeit, Business Continuity und Stabilität der vernetzten Systeme entlang der Supply-Chain. Lassen Sie uns diesen Vorfall zum Anlass nehmen, unsere IT-Governance-Praktiken zu stärken und den Geist von DORA und NIS2 zu verinnerlichen. Dieser Vorfall macht deutlich, warum gerade diese Bestimmungen von DORA und NIS2 so wichtig für die digitale Landschaft der EU sind.

Fokus auf der Supply Chain

Sowohl NIS2 als auch DORA betonen die Notwendigkeit eines soliden Risikomanagements und einer Überwachung der Supply-Chain, um sicherzustellen, dass Lieferanten und Drittanbieter angemessene Cybersicherheitsmassnahmen ergreifen.

• NIS2 fordert die Aufnahme von Sicherheitsanforderungen in Lieferantenverträge und eine kontinuierliche Überwachung der Supply Chain sowie eine Meldepflicht für Sicherheitsvorfälle.
• DORA legt besonderen Wert auf IKT-Risikomanagement, Outsourcing-Regeln und die regelmäßige Überprüfung und das Testen von IT-Systemen.

Fokus auf der Business Continuity

Der CrowdStrike-Vorfall zeigt, dass sich die NIS2-Einrichtungen nicht nur auf die Vorbeugung, sondern auch auf die rasche Wiederherstellung des Betriebs konzentrieren müssen. Wenn ein BSOD (Blue Screen of Death) aus der Ferne auftritt, muss ein Techniker physisch vor Ort sein, was die Wiederherstellungszeit erheblich verlängern kann. Trotz der Aufmerksamkeit, die der Ursache und der Verantwortung für den Ausfall gewidmet wurde, wurde wenig darüber gesprochen, wie die Unternehmen die Krise bewältigt haben.

Viele Unternehmen verlassen sich zu sehr auf ein einziges IT-System oder eine Lösung und sollten sich ständig fragen, was für den Betrieb unseres Unternehmens entscheidend ist und was wir tun, wenn es morgen nicht mehr verfügbar ist.

Wie DORA funktionieren hätte können

Da DORA sehr bald in Kraft treten wird, sollten wir darüber sprechen, wie die DORA-Vorschriften den Finanzinstituten dabei hätten helfen können, den Vorfall besser zu bewältigen. DORA betont zum Beispiel die Notwendigkeit von Systemredundanz und Notfallplänen. DORA-konforme Institute hätten alternative Systeme bereitgestellt, um kritische Vorgänge während des Ausfalls aufrechtzuerhalten. Darüber hinaus schreibt DORA eine strenge Überwachung von Drittanbietern wie CrowdStrike vor, einschließlich strenger Testprotokolle für Software-Updates, die die weitreichende Störung möglicherweise verhindert hätten. Und schließlich fordert DORA Cybersicherheitspraktiken wie die kontinuierliche Bewertung von Sicherheitslücken und Pläne für die Reaktion auf Zwischenfälle.

Der CrowdStrike-Einsatzfehler, durch den Windows-Systeme unzugänglich wurden, unterstreicht auch die Bedeutung der Einhaltung von DORA und NIS2 für Softwarehersteller: und die Schulung von Mitarbeitern, die für die Minimierung der Auswirkungen von Ausfällen entscheidend sind. Diese Maßnahmen unterstreichen die Notwendigkeit einer robusten betrieblichen Ausfallsicherheit.

EDR in Bedrängnis

Endpoint Detection and Response (EDR) ist zweifellos eine wichtige Komponente der Cybersicherheit, reicht aber allein nicht aus, um Unternehmen vor Problemen in der Software-Supply-Chain zu schützen. EDR-Lösungen wie Crowdstrike Falcon konzentrieren sich auf Endpunkte wie Computer und mobile Geräte, während die Software-Supply-Chain viele andere Komponenten wie Netzwerke, Server und Cloud-Dienste umfasst. Die Komplexität der Supply-Chain, die viele verschiedene Akteure und Systeme umfasst, bedeutet, dass Angriffe an vielen verschiedenen Punkten stattfinden können, die EDR nicht alle abdecken kann. Außerdem kann EDR nicht immer Zero-Day-Sicherheitslücken erkennen, da diese bisher unbekannt sind und keine Signaturen aufweisen, die EDR-Systeme identifizieren könnten. Probleme mit Treibern oder anderen Softwarekomponenten können tief in der Supply-Chain versteckt sein und von EDR-Systemen nicht erkannt werden.

Da EDR reaktiv ist und Bedrohungen erst dann erkennt, wenn sie bereits eingetreten sind, erfordert eine umfassende Sicherheit der Supply-Chain proaktive Maßnahmen wie Risikomanagement, regelmäßige Sicherheitsaudits und Ausfallsicherheitstests. Eine wirksame Sicherheit der Supply-Chain erfordert auch die Zusammenarbeit und den Informationsaustausch zwischen verschiedenen Organisationen und Systemen, was EDR-Lösungen oft nicht unterstützen.

Zusammenfassend lässt sich sagen, dass EDR ein wichtiger Teil der Cybersicherheitsstrategie ist, dass aber zusätzliche Maßnahmen und Technologien erforderlich sind, um die Software- Supply-Chain umfassend zu sichern.

Agentenlos geht es oft besser

Was Crowdstrike passiert ist, hätte jedem EDR-Anbieter oder jedem anderen Anbieter mit einem Agenten, der Treiber in der Anfangsphase injiziert, passieren können. Da Crowdstrike der ausgereifteste EDR auf dem Markt ist, wird er durch diesen Vorfall sicherlich noch besser werden. Aber die Frage sollte erlaubt sein: Geht es nicht auch ohne Agenten und was sind die Vorteile? Nun, agentenlose Cybersecurity-Lösungen bieten eine effizientere, konsistentere und ressourcenschonendere Möglichkeit, Sicherheitsupdates durchzuführen, was insbesondere in komplexen und schnelllebigen IT-Umgebungen von Vorteil ist.

Da keine Client-Installation erforderlich ist, weil keine Agenten auf den Endgeräten installiert werden müssen, entfällt der Aufwand für die Verteilung und Aktualisierung von Software auf einzelnen Geräten. Das vereinfacht den Aktualisierungsprozess erheblich und macht ihn unabhängig von etwaigen Treiberfehlern.

Da die Updates zentral verwaltet und durchgeführt werden, erhöht sich die Konsistenz und Geschwindigkeit der Implementierung und das Risiko von Inkonsistenzen und Fehlern, die bei verteilten Update-Prozessen entstehen können, wird reduziert. Produktivität und Sicherheit der Endgeräte bleiben während der Aktualisierung der Sicherheitsmaßnahmen ungestört.

Darüber hinaus können agentenlose Lösungen schneller auf neue Bedrohungen reagieren, da Updates und Patches sofort und ohne durch Client-Installationen verursachte Verzögerungen bereitgestellt werden können.

Warum Asset Management und Risikomanagement wichtig sind

Nach dem Crowdstrike-Vorfall wurden die Unternehmen aufgefordert, so schnell wie möglich einen Triage-Prozess einzurichten, um Vermögenswerte, Kommunikations- und Geschäftsprozesse auf der Grundlage der Auswirkungen der Störung und der Komplexität der Abhilfemaßnahmen zu kategorisieren. Auf der Grundlage dieser Anlagen sollten Priorisierungspläne für die Behebung auch auf eingebettete Systeme wie Kassensysteme, Abfahrtsautomaten oder andere Systeme angewendet werden, die eine besondere Behandlung erfordern oder bei denen mögliche Nebenwirkungen und unbeabsichtigte (negative) Folgen der Behebung auftreten werden. Dazu gehören auch „Nachzügler“-Geräte, die möglicherweise ebenfalls den bösartigen Treiber enthalten, aber in der ersten Sanierungswelle noch nicht identifiziert wurden.

Da Network Detection and Response (NDR) den Netzwerkverkehr passiv überwachen und alle Geräte und Systeme im Netzwerk identifizieren, helfen sie dabei, ein aktuelles Inventar aller Anlagen zu führen. Die Verhaltensanalyse des Netzwerkverkehrs und der Kommunikation zwischen Geräten ermöglicht es NDR-Systemen, neue und unbekannte Geräte zu identifizieren.

• Dynamisches Inventar: NDR-Systeme aktualisieren die Bestandsdatenbank automatisch, wenn neue Geräte zum Netz hinzugefügt oder aus dem Netz entfernt werden.
• Ständige Überwachung: Durch die ständige Überwachung des Netzes wird sichergestellt, dass die Bestandsdatenbank in Echtzeit aktualisiert wird.
• NDR-Systeme können auch in bestehende Konfigurationsmanagement-Datenbanken (CMDB) und andere Asset-Management-Systeme integriert werden, um sicherzustellen, dass alle Systeme konsistente und aktuelle Asset-Informationen verwenden.
• Mit der Risikobewertung und Priorisierung kann ein NDR die Kritikalität verschiedener Anlagen auf der Grundlage ihrer Rolle im Netzwerk und ihrer Gefährdung durch Bedrohungen bewerten. Bedrohungen und Anomalien werden entsprechend der Kritikalität der betroffenen Anlagen priorisiert, um gezielte und effektive Sicherheitsmaßnahmen zu gewährleisten. Schließlich sorgen Dashboard-Ansichten und visuelle Darstellungen des gesamten Netzwerks für eine bessere Sichtbarkeit und Transparenz der Anlagen.

KRITIS (Eigentlich) Impossible

CrowdStrike hat zu erheblichen Störungen im Flugverkehr, im Finanzsektor und in einigen Bereichen der kritischen Infrastruktur (KRITIS) geführt. Positiv zu vermerken ist, dass derzeit keine Energieversorger, Abwasserentsorger, Finanzdienstleister oder Discounter in Deutschland betroffen sind. Nur wenige Krankenhäuser und Behörden sind betroffen, 90 % der KRITIS bleiben unversehrt.

CrowdStrike warnt ausdrücklich vor dem Einsatz seiner Sicherheitssoftware für kritische Infrastrukturen. In den Allgemeinen Geschäftsbedingungen (AGB) heißt es, dass die CrowdStrike-Tools nicht fehlertolerant sind und nicht für gefährliche Umgebungen konzipiert sind, in denen selbst ein kurzfristiger Ausfall schwerwiegende Folgen wie Tod, Verletzungen oder Sachschäden haben könnte. Beispiele hierfür sind die Flugzeugnavigation, Kernkraftwerke und lebenserhaltende Systeme.

In der Schweiz waren am 19.07. die staatlichen Energieversorger und die staatliche Flugsicherung betroffen und mussten gemäss den AGB für die sichere Nutzung der Software sorgen, was praktisch unmöglich ist. In den AGBs wird auch deutlich, dass CrowdStrike nur eine eingeschränkte Garantie und Haftung bietet, was das Vertrauen in die Qualität des Angebots für KRITIS in Frage stellt.

Software Monokultur

Am 19. Juli kam es in Teilen der Welt zu erheblichen Ausfällen, als Software von CrowdStrike fast zeitgleich den berüchtigten blauen Bildschirm von Windows wiederbelebte. Im Zusammenhang mit NIS2 und DORA haben wir unser Augenmerk verstärkt auf die Lieferkette gerichtet.

Diese Vorfälle machen jedoch auch deutlich, dass erhebliche IT-Ausfälle auf die Konvergenz von zwei sehr verbreiteten Produktions- und Sicherheitsplattformen zurückzuführen sind. CrowdStrike und Microsoft. Wenn es um Datensicherheitslösungen geht, besteht die Wahl oft zwischen einem einzigen Anbieter oder einer Best-of-Breed-Strategie. Eine Plattform verspricht einfache Verwaltung und Integration, geringere Komplexität und Kosteneinsparungen, birgt aber, wie gesehen, die Risiken von Sicherheitslücken, langsamer Innovation und 19.07. ☹

Eine Best-of-Breed-Strategie hingegen ermöglicht den Zugang zu spezialisierten Lösungen, erfordert aber einen höheren Verwaltungsaufwand und kann zu höheren Kosten führen.

Einen Überblick über unsere agentenlose Best-of-Breed NDR-Lösung ExeonTrace, und wie sie sich den Herausforderungen von NIS2 und DORA stellt, finden Sie in unserem Demo-Video.