Ein fehlerhaftes Softwareupdate des Cybersecurity-Unternehmens Crowdstrike führte vor etwas über einer Woche zu einer der womöglich größten IT-Pannen weltweit. Über 8,5 Millionen Windows-Rechner waren betroffen, darunter an Flughäfen, Supermärkten, Hotels, Krankenhäusern, Banken und Fernsehsendern. Besonders stark waren die Auswirkungen an Flughäfen zu spüren, wo zahlreiche Displays ausfielen. Im deutschen Einzelhandel hatte es besonders Tegut erwischt, die vorrübergehend 300 Märkte schließen mussten. Auch Self-Checkout-Terminals in weiteren Supermärkten sowie sogar prominente DooH-Screens, wie am Times Square in New York City, waren betroffen.
Crowdstrike gab vor dem Wochenende bekannt, dass 97 Prozent der betroffenen Rechner wieder betriebsbereit sind. Gemessen an den 8,5 Millionen sollten daher noch etwa 250.000 Computer außer Betrieb sein. CEO George Kurtz betonte, dass das Unternehmen nicht ruhen werde, bis alle Rechner wiederhergestellt seien. In Zukunft sollen die Tests der Softwareupdates verbessert und Updates schrittweise eingespielt werden, um ähnliche Probleme zu vermeiden.
Zum Hintergrund
Am 19. Juli 2024 veröffentlichte CrowdStrike im Rahmen eines regulären Betriebsablaufs ein Inhaltskonfigurationsupdate für den Windows-Sensor, um Telemetriedaten zu möglichen neuen Bedrohungstechniken zu sammeln. Dieses Update, das ein Teil der dynamischen Schutzmechanismen der Falcon-Plattform ist, führte jedoch zu einem Systemabsturz bei Windows-Rechnern (Blue Screen of Death, BSOD).
Betroffen waren Windows-Hosts, die Sensor-Version 7.11 und höher ausführten und zwischen dem 19. Juli 2024, 04:09 UTC, und dem 19. Juli 2024, 05:27 UTC, online waren und das Update erhielten. Mac- und Linux-Systeme waren von diesem Problem nicht betroffen. Der Fehler im Update wurde am 19. Juli 2024 um 05:27 UTC behoben. Systeme, die nach diesem Zeitpunkt online gingen oder während des fehlerhaften Zeitfensters nicht verbunden waren, blieben unberührt.
Unternehmen weltweit sucht und suchen seit dem Vorfall nach schnellen Lösungen, um ihre Windows-Systeme wieder in Betrieb zu nehmen. Microsoft stellte ein Tool bereit, das die Arbeit teilweise automatisieren soll, jedoch bleibt der Gang zum jeweiligen Rechner meist nicht erspart. Die Wiederherstellung der Systeme erfordert das Löschen einer bestimmten Datei auf der Systempartition, was bei verschlüsselten Systemen erst nach Eingabe des 48-stelligen Bitlocker-Wiederherstellungsschlüssels möglich ist.
Ein vollständiger Root Cause Analysis-Bericht wird laut Crowdstrike in Kürze veröffentlicht, um vollständige Transparenz zu gewährleisten und ähnliche Vorfälle in Zukunft zu verhindern.