Weltweit werden IT-Ausfälle gemeldet. Grund dafür soll ein missglücktes Update beim globalen Cybersicherheits-Unternehmen Crowdstrike sein. Wie ist das möglich?
Marc K. Peter: Crowdstrike ist eine Softwarelösung, die ähnlich wie ein Virenschutzprogramm funktioniert und oft bei kritischer Infrastruktur zur Anwendung kommt wie bei Flughäfen, Banken, Spitälern, Polizei. Man kann es sich so vorstellen, dass die Software überwacht, ob es zu Cyberangriffen kommt und diese abblockt. Das Problem ist nun, dass Crowdstrike einen Fehler in einem Update eingeführt hat. Es ist eine traurige Ironie: Anstatt dass die Software die Kunden geschützt hat, hat sie die Systeme zum Absturz gebracht.
Wie kann man das Problem nun lösen?
Crowdstrike hat bereits eine Anleitung veröffentlicht, wie die betroffenen Organisationen die Systemprobleme manuell lösen können – das ist aber viel Handarbeit. Wenn wir Glück haben, sollten die meisten Probleme innerhalb der nächsten 48 Stunden gelöst werden können.
Wenn ein fehlerhaftes Update das Problem war – weshalb wurde das nicht besser überprüft?
Grundsätzlich ist jede Firma selbst verantwortlich dafür, das Software-Update von Crowdstrike zu prüfen. Doch die meisten haben das anscheinend nicht gemacht. Es ist verrückt: Für kritische Schweizer Infrastruktur wird eine externe Software verwendet, die man nicht mal kontrolliert, wenn ein neues Update kommt. Aber ich muss festhalten, dass es auch extrem schwierig ist, das zu überprüfen.
Weshalb?
Wegen der Komplexität des Themas. Es gibt so viele Software in Unternehmen und fast täglich neue Updates, dass es für die meisten Firmen unmöglich ist, das selbst zu managen und zu überprüfen. Es fehlen die Ressourcen. Wir sind immer mit der Problemlösung beschäftigt anstatt mit der Prävention. Wir stehen also immer einen Schritt hinter dem Problem.
Also ist keine Lösung in Sicht?
Man kann solche Ausfälle leider auch in Zukunft nicht wirklich verhindern. Der aktuelle Fall zeigt gut auf, wie verwundbar die Gesellschaft und Wirtschaft bei IT-Ausfällen ist. Eine Software-Firma hat heutzutage die Möglichkeit, weltweit kritische Infrastruktur lahmzulegen. Es gibt aber Dinge, die wir machen können.
Zum Beispiel?
Jede Firma, die so eine Software in Anspruch nimmt, sollte Ausweichszenarien parat haben. Sie müssen sich überlegen, wie sie ihren Betrieb aufrechterhalten können, sollten wir keinen Strom oder Internet haben. Die meisten Organisationen haben diese Lösungen jedoch nicht.
Der finanzielle Schaden der aktuellen IT-Ausfälle ist riesig. Wer bezahlt etwa die Flugausfälle in Zürich?
Software-Hersteller schliessen solche Schäden normalerweise in ihren Verträgen aus. Viele Cyberversicherungen machen dasselbe, sie bieten jedoch einen Support an bei der Problembehebung. Die Schäden schlussendlich zahlt vermutlich die Firma, die die Software eingesetzt hat. Im Fall von annullierten Flügen ist das vermutlich der Flughafen Zürich.
Also ist nicht der Hersteller dafür verantwortlich, dass sein Produkt auch funktioniert. Geht natürlich auch nicht, da es keine sauberen Testphasen mehr gibt, keine Testumgebungen und Agile-Development die meisten Softwares zu nie enden wollenden Beta-Versionen degradiert.
Haben die BWLern bei den Techis also ganze Arbeit geleistet. Der Staat spielt noch mit, mit seinen unsäglichen Legal-Anforderungen. Man braucht die unsicheren Produkte also zwingend. Lol.
Noch vor ein paar Stunden hätte jeder die Vorstellung eines globalen Ausfalls als reine Verschwörungstheorie abgetan.