Sicherheitsvorfälle bei CrowdStrike und Microsoft: Der dringende Ruf nach einem IT-Notfallplan

Stellen Sie sich vor, Ihr Unternehmen steht plötzlich still. Computer zeigen nur noch einen blauen Bildschirm und wichtige Geschäftsdaten sind unzugänglich. Was wie ein Albtraum klingt, wurde für viele Unternehmen weltweit vor kurzem zur Realität. Ein fehlerhaftes Update der Sicherheitssoftware CrowdStrike Falcon verursachte den bislang größten IT-Ausfall der Geschichte, der Millionen von Computern lahmlegte und enorme wirtschaftliche Schäden verursachte. Gleichzeitig wurde bei Microsoft bekannt, dass bei einer Cyberattacke sensible E-Mail-Kommunikation und Daten von Kund:innen geleakt wurden.

Diese Vorfälle verdeutlichen auf dramatische Weise, wie anfällig selbst die größten und technologisch fortschrittlichsten Organisationen sind. Sie zeigen auch, wie wichtig es ist, vorbereitet zu sein. Ein IT-Notfallplan kann den Unterschied ausmachen zwischen einer schnellen Erholung und einem katastrophalen Stillstand.  

Am 19. Juli erlebte die Welt den bislang größten IT-Ausfall in der Geschichte, als mindestens 8,5 Millionen Windows-Computer weltweit aufgrund eines fehlerhaften Updates der Sicherheitssoftware CrowdStrike Falcon abstürzten. Falcon, ein führendes Produkt im Bereich der Endpoint Detection and Response (EDR), ist dafür bekannt, kontinuierlich Daten über die Aktivitäten auf einem Computer zu sammeln und auf Anzeichen von Cyberangriffen zu überwachen. Doch dieses Mal führte ein fehlerhaftes Update zu einem globalen IT-Desaster: Bildschirme zeigten nur noch den berüchtigten "Blue Screen of Death" (BSOD).

Das Problem lag in einer fehlerhaften automatischen Aktualisierung von Falcon, die tief in das Windows-Betriebssystem eingriff und dadurch massenhaft Abstürze verursachte. Viele Unternehmen, die auf CrowdStrike zur Sicherung ihrer IT-Infrastruktur vertrauen, waren plötzlich arbeitsunfähig. Flughäfen mussten Flüge annullieren, Supermärkte konnten keine Zahlungen abwickeln, Banken waren offline, und sogar einige Krankenhäuser mussten geplante Operationen verschieben. Der finanzielle Schaden war enorm und die Produktivitätsverluste erheblich.

Die Behebung des Problems gestaltete sich komplex und zeitaufwendig. CrowdStrike arbeitete intensiv daran, den Fehler zu identifizieren und zu korrigieren. Während einige Unternehmen relativ schnell wieder operativ waren, dauerte es bei anderen länger, bis alle betroffenen Systeme manuell repariert und neu gestartet werden konnten. Dieser Vorfall wirft ein grelles Licht auf die Risiken, die mit der Abhängigkeit von wenigen großen Anbietern und deren Software verbunden sind.

Diese Abhängigkeit ist auch in Bezug auf den Datenschutz kritisch zu bewerten. Denn Auftragsverarbeiter:innen und Verantwortliche haften gemeinsam, wenn es zu einem Datenschutzvorfall – wie hier – kommt. So hat CrowdStrike gegen Art. 32 Abs. 1 DSGVO verstoßen: Es hat nicht die nötigen technischen und organisatorischen Maßnahmen getroffen, um unter anderem die Verfügbarkeit der Systeme und Dienste sicherzustellen. Auch wenn der Fehler damit augenscheinlich bei CrowdStrike liegt, sind Verantwortliche verpflichtet, ihre Dienstleistungsunternehmen zu beaufsichtigen und können sich durch Verweis auf dessen Fehler nicht enthaften.

Hinzu kommt, dass es durch die sehr eingeschränkte Verfügbarkeit der Systeme während des Vorfalls vermutlich bei einer Vielzahl von Unternehmen zu meldepflichtigen Datenschutzvorfällen gekommen ist. Sind diese nicht fristgerecht gemeldet worden, drohen potenziell Bußgelder. Zudem sind Schadenersatzforderungen durch Betroffene möglich. 

Parallel zu den Problemen bei CrowdStrike ist bei Microsoft herausgekommen, dass von einem Hackingangriff doch nicht nur interne, sondern auch Daten von Kund:innen betroffen waren. Die russische Hackinggruppe "Midnight Blizzard" kompromittierte im November die E-Mail-Korrespondenz von Microsoft und verschaffte sich Zugriff auf interne und externe Kommunikation. Herausgekommen ist das im Januar. Betroffene Kund:innen erhielten allerdings erst Monate später detaillierte Informationen über das Ausmaß des Angriffs, was die Vertrauensbasis erheblich erschütterte.

Diese Cyberattacke ist Teil einer Serie von Sicherheitsvorfällen, die Microsoft in letzter Zeit heimsuchten. In einem vernichtenden Bericht der US-Regierung wurde Microsoft eine "unzureichende" Sicherheitskultur attestiert. Der Angriff hatte weitreichende Folgen: US-Bundesbehörden mussten E-Mails analysieren, Zugangsdaten zurücksetzen und Microsoft-Cloud-Konten sichern, um weiteren Schaden zu verhindern. Microsoft reagierte mit der größten Sicherheitsüberholung seit Jahrzehnten, aber die Vorfälle haben die Verwundbarkeit selbst der mächtigsten Technologieunternehmen offenbart und die Notwendigkeit eines proaktiven Ansatzes in der IT-Sicherheit und im Datenschutz deutlich gemacht. 

Die Vorfälle bei CrowdStrike und Microsoft haben deutlich gemacht, dass technische und organisatorische Schwachstellen selbst bei führenden Technologieunternehmen existieren. Die weitreichenden Auswirkungen der IT-Ausfälle und Cyberangriffe unterstreichen die Bedeutung eines robusten IT-Sicherheitsmanagements.

Ein zentrales Problem ist die Abhängigkeit von wenigen großen Unternehmen, die eine Art digitale Monokultur geschaffen haben. Diese Konzentration birgt das Risiko, dass ein einzelner Fehler oder Angriff weitreichende Folgen haben kann. Die Aktualisierung der CrowdStrike-Software und der Angriff auf Microsoft zeigen, wie anfällig und vernetzt moderne IT-Infrastrukturen sind.

Darüber hinaus wurde klar, dass hohe Standards und Verantwortlichkeiten bei der Entwicklung und Implementierung von Sicherheitssoftware unerlässlich sind. Fehlerhafte Updates und unzureichende Sicherheitsmaßnahmen können katastrophale Auswirkungen haben, die weit über den unmittelbaren finanziellen Verlust hinausgehen. Betriebsunterbrechungen können die Geschäftsprozesse lahmlegen, wertvolle Daten können verloren gehen, und das Vertrauen kann massiv beschädigt werden.

Ein weiterer wesentlicher Aspekt ist der Datenschutz. Cyberangriffe und IT-Ausfälle gefährden nicht nur die Betriebskontinuität, sondern auch die Vertraulichkeit und Integrität sensibler Daten. Organisationen müssen sicherstellen, dass ihre Datenschutzmaßnahmen genauso robust sind wie ihre IT-Sicherheitsstrategien, um das Vertrauen ihrer Kund:innen und Geschäftskontakte zu bewahren.

Und nun? Wie sollten Organisationen reagieren? Unsere Empfehlung: Ein IT-Notfallplan. Ein Notfallplan stellt sicher, dass Organisationen im Ernstfall schnell und effektiv reagieren können. Er minimiert Ausfallzeiten und sorgt dafür, dass der Geschäftsbetrieb so schnell wie möglich wieder aufgenommen werden kann. Darüber hinaus können durch einen solchen Plan rechtliche Konsequenzen vermieden werden, die entstehen, wenn sensible Daten verloren gehen oder in falsche Hände geraten. 

Ein effektiver IT-Notfallplan muss mehrere zentrale Elemente enthalten, um im Ernstfall eine schnelle und koordinierte Reaktion zu ermöglichen:

Regelmäßige Risikoanalysen sind unerlässlich, um potenzielle Schwachstellen in der IT-Infrastruktur zu identifizieren. Diese Analysen sollten alle IT-Komponenten, einschließlich Anwendungen, Daten und Netzwerke, umfassen. Die erkannten Schwachstellen müssen dokumentiert und bewertet werden, um priorisierte Maßnahmen zur Risikominderung zu planen und umzusetzen. Nur durch kontinuierliche Überwachung und Bewertung können Unternehmen sicherstellen, dass ihre Systeme vor neuen Bedrohungen geschützt sind.

Ein weiterer wichtiger Schritt ist die Identifizierung kritischer Geschäftsbereiche, die im Notfall aufrechterhalten werden müssen. Organisationen sollten alle Geschäftsprozesse analysieren, die Auswirkungen eines Ausfalls bewerten und die Ressourcen identifizieren, die für die Aufrechterhaltung dieser Prozesse notwendig sind. Maßnahmenpläne sollten erstellt werden, um sicherzustellen, dass diese Ressourcen auch im Notfall verfügbar sind. Dies kann durch Backup-Lösungen, redundante IT-Systeme und die Schulung von Personal erreicht werden.

Zu einem robusten Notfallmanagement gehört auch die Erstellung und regelmäßige Aktualisierung von Notfallplänen. Ein umfassender Notfallplan sollte alle möglichen Szenarien abdecken und klare Zuständigkeiten festlegen. Im Plan sollte definiert sein, wer im Notfall welche Aufgaben übernimmt und welche Entscheidungen getroffen werden müssen. Regelmäßige Evaluierungen und Anpassungen des Plans sind notwendig, um sicherzustellen, dass er immer aktuell und effektiv ist.

Neben der Erstellung und Aktualisierung eines Notfallplans gibt es zahlreiche Maßnahmen, die Unternehmen ergreifen können, um ihre Risiken zu minimieren und ihre IT-Sicherheit und den Datenschutz zu erhöhen.

Eine der effektivsten Maßnahmen zur Risikominderung ist die Implementierung von Redundanzen. Dies bedeutet, dass kritische Systeme und Komponenten in doppelter Ausführung vorhanden sind. Beispielsweise können wichtige Server oder Netzwerkkomponenten redundant ausgelegt werden, sodass im Falle eines Ausfalls das Backup-System sofort einspringen kann. Darüber hinaus sind regelmäßige Backups der Organisationsdaten unerlässlich. Diese Backups sollten sowohl physisch als auch digital an sicheren Orten aufbewahrt werden, um im Notfall schnell zugänglich und wiederherstellbar zu sein.

Ein IT-Notfallplan ist nur so gut wie die Menschen, die ihn umsetzen. Daher ist es entscheidend, dass alle Mitarbeitenden regelmäßig geschult werden. Diese Schulungen sollten nicht nur die im Notfallplan festgelegten Schritte und Zuständigkeiten abdecken, sondern auch allgemeine IT-Sicherheitspraktiken und Datenschutzrichtlinien vermitteln. Regelmäßige Notfallübungen helfen, die Reaktionsfähigkeit zu testen und sicherzustellen, dass alle Beteiligten im Ernstfall wissen, was zu tun ist.

Effektive Kommunikation ist im Notfall entscheidend. Organisationen sollten klare Verantwortlichkeiten und Kommunikationswege definieren, um im Ernstfall schnell und effizient zu kommunizieren. Alternative Kommunikationswege, wie Mobilfunk oder spezielle Notfall-Hotlines, können sicherstellen, dass die Kommunikation auch dann aufrechterhalten wird, wenn das normale Netzwerk ausfällt. Alle Mitarbeitenden sollten über diese Kommunikationswege informiert und regelmäßig geschult werden.

Die jüngsten Sicherheitsvorfälle bei CrowdStrike und Microsoft haben eindrucksvoll gezeigt, wie verwundbar selbst die größten und technologisch fortschrittlichsten Unternehmen sind. Diese Ereignisse unterstreichen die Notwendigkeit eines robusten IT-Notfallplans, um Organisationen vor schwerwiegenden Schäden zu schützen.

Ein gut durchdachter IT-Notfallplan kann den Unterschied ausmachen zwischen einer schnellen Erholung und einem katastrophalen Stillstand. Er stellt sicher, dass Organisationen im Ernstfall schnell und effektiv reagieren können, minimiert Ausfallzeiten und schützt wertvolle Daten. Beim Datenschutz und der IT-Sicherheit gilt wie so oft: Vorsicht ist besser als Nachsicht. 

Bundesamt für Sicherheit in der Informationstechnik (2023): „DER.4 Notfallmanagement“, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/05_DER_Detektion_und_Reaktion/DER_4_Notfallmanagement_Edition_2023.pdf?__blob=publicationFile&v=3, letzter Zugriff am 24. Juli 2024.

Business Insider Deutschland (2024): „Schäden in Milliarden-Höhe? Darum könnte die IT-Panne für Verursacher CrowdStrike trotzdem nur geringe Folgen haben“, 23. Juli 2024, https://www.msn.com/de-de/finanzen/top-stories/sch%C3%A4den-in-milliarden-h%C3%B6he-darum-k%C3%B6nnte-die-it-panne-f%C3%BCr-verursacher-crowdstrike-trotzdem-nur-geringe-folgen-haben/ar-BB1qpCGp, letzter Zugriff am 24. Juli 2024.

Kuhlbach, Sebstian (2024): „Microsoft-Hack: Russische Hacker erbeuten auch Kundne-E-Mails“, WinFuture, 29. Juli 2024, https://m.winfuture.de/news/143666, letzter Zugriff am 24. Juli 2024.

Murray, Tom (2024): „CrowdStrike crash showed us how invasive cyber security software is. Is there a better way?”, The Conversation, 23. Juli 2024, https://theconversation.com/crowdstrike-crash-showed-us-how-invasive-cyber-security-software-is-is-there-a-better-way-235207, letzter Zugriff am 24. Juli 2024.

netzpolitik.org (2024): „Was Crowdstrike und Microsoft in Europa droht“, 29. Juli 2024, https://netzpolitik.org/2024/es-gilt-die-datenschutzgrundverordnung-was-crowdstrike-und-microsoft-in-europa-droht/#netzpolitik-pw, letzter Zugriff am 01. August 2024.

Quandt, Roland (2024): „Nach CrowdStrike-Chaos: Ist die Welt zu stark von Windows abhängig?“, WinFuture, 22. Juli 2024, https://winfuture.de/news,144057.html, letzter Zugriff am 24. Juli 2024.

Schmidt, Jürgen (2024): „Das Crowdstrike-Fiasko: Ursachenforschung und erste Lehren“, heise online, 24. Juli 2024, https://www.heise.de/hintergrund/Das-Crowdstrike-Fiasko-Ursachenforschung-und-erste-Lehren-9811045.html, letzter Zugriff am 24. Juli 2024.

Tuffley, David (2024): „One small update brought down millions of IT systems around the world. It’s a timely warning”, The Conversation, 20. Juli 2024, https://theconversation.com/one-small-update-brought-down-millions-of-it-systems-around-the-world-its-a-timely-warning-235122, letzter Zugriff am 24. Juli 2024.

Weiß, Eva-Maria (2024): „CrowdStrike wird vorgeladen: Homeland Security will IT-Ausfälle analysieren”, heise online, 23. Juli 2024, https://www.heise.de/news/Crowdstrike-wird-vorgeladen-Homeland-Security-will-IT-Ausfaelle-analysieren-9809935.html, letzter Zugriff am 24. Juli 2024.

Wired (2004): „Warning: Microsoft ‘Monoculture’”, 15. Februar 2004, https://www.wired.com/2004/02/warning-microsoft-monoculture/, letzter Zugriff am 24. Juli 2024.