En fehlerhaftes Update des IT-Sicherheitsunternehmens Crowdstrike für Windows-Geräte hat auf der Welt zu großflächigen Computerproblemen geführt. Besonders der Flugverkehr war in mehreren Regionen der Welt betroffen, aber auch Kliniken mussten Operationen verschieben, in Großbritannien waren auch Medienunternehmen betroffen. Mehrere Unternehmen berichteten, dass Windows auf Geräten, die mit einer bestimmten Crowdstrike-Software geschützt werden, nicht mehr starten konnten.
In Deutschland war vor allem der Flughafen Berlin-Brandenburg betroffen, der zwischen 7 Uhr und 10 Uhr nahezu zum Erliegen kam. Einige Abflüge konnten noch durchgeführt werden, auch die Abfertigung von Passagieren lief teilweise weiter. Aber drei Stunden lang herrschte Chaos auf dem Flughafen: Einige Flüge mussten auf andere Flughäfen umgeleitet werden, etliche andere wurden gestrichen. Von den insgesamt geplanten 552 Flügen mussten 113 annulliert werden. „Zu keinem Zeitpunkt bestand ein Sicherheitsrisiko für die Passagiere“, sagte Verkehrsminister Volker Wissing (FDP). Die Deutsche Flugsicherung sei auf solche Situationen vorbereitet und habe frühzeitig einschreiten können, um von der Störung betroffene Flüge auf andere Flughäfen umzuleiten.
Darüber hinaus hatte die IT-Panne Auswirkungen auf Banken und den Gesundheitssektor. In Deutschland kam es am Vormittag bei Abhebungen an Geldautomaten mit Karten einzelner Anbieter zeitweise zu Störungen. Britische Apotheken hatten Schwierigkeiten mit dem Zugriff auf Rezepte von Hausärzten und Medikamentenlieferungen. Zudem waren tausende britische Hausarztpraxen betroffen. In Deutschland sagte etwa das Universitätsklinikum Schleswig-Holstein alle nicht dringend notwendigen Operationen ab und schloss seine Ambulanzen. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) waren in Deutschland auch Betreiber kritischer Infrastruktur betroffen. In der Industrie traf die Panne Microsoft-Kunden wie die Allianz, BMW oder Siemens. „Unsere Produktionsstandorte waren teilweise von der aktuellen Software-Störung betroffen“, sagte etwa eine BMW-Sprecherin. „Die Störung konnte jedoch kurzfristig behoben werden, sodass unsere Werke weltweit laufen.“
„Das Problem wurde identifiziert“
Crowdstrike-Chef George Kurtz bestätigte die Probleme auf den sozialen Medien am Freitagvormittag und kündigte eine Lösung an: „Das Problem wurde identifiziert und isoliert, und eine Lösung wurde bereitgestellt.“ Kurtz sagte, es habe eine „negative Interaktion“ zwischen dem Update und dem Betriebssystem von Microsoft gegeben. Es habe sich nicht um eine Cyberattacke und auch nicht um einen Sicherheitsvorfall gehandelt. Der Aktienkurs des amerikanischen Unternehmens sank im frühen amerikanischen Handel dennoch zeitweise deutlich zweistellig. Crowdstrike gilt als einer der führenden Anbieter für den Schutz von Endgeräten – also beispielsweise Laptops – und Servern. Weil die Schäden durch Hackerangriffe in den vergangenen Jahren enorm gestiegen sind, nutzen inzwischen weltweit mehr als 29.000 Kunden die Produkte von Crowdstrike. Im abgelaufenen Geschäftsjahr erwirtschaftete Crowdstrike einen Umsatz von 3,06 Milliarden Dollar.
Die Software nutzt maschinelles Lernen und soll Angriffe auf die IT-Infrastruktur erkennen und automatisiert verhindern, bevor sie gefährlich werden. Traditionelle Anti-Viren-Programme reagieren auf die Symptome von Cyberangriffen und bekämpfen etwaige Schadsoftware daraufhin. Software wie die von Crowdstrike überwacht permanent alle Systeme und wartet nicht auf die Symptome von Viren, sondern gibt den Systemadministratoren Bescheid, sobald sie Unregelmäßigkeiten erkennt. Ironischerweise wurde Crowdstrike für viele Unternehmen jetzt selbst zur Gefahr.
Das Update-Dilemma
Der finnische IT-Sicherheitsexperte Mikko Hyppönen vom Unternehmen With Secure sprach gegenüber der F.A.Z. von einem Ausfall von „historischem Ausmaß“. Millionen Endgeräte auf der ganzen Welt seien betroffen. Sicherheitssoftware ist insofern einzigartig, als sie auf dem Computer über Administrationsrechte verfügt – das muss sie auch, um effektiv Cyberbedrohungen bekämpfen zu können. Dadurch ist bei Fehlern aber in der Lage, das ganze System zum Absturz zu bringen. „Eigentlich haben IT-Sicherheitsunternehmen deshalb sehr strenge Testvorschriften, bevor sie ein Update ausrollen“, sagt Hyppönen. Im Falle Crowdstrikes ist offensichtlich in diesem Testprozess etwas schief gegangen.
Die Anbieter stecken dabei in einem gewissen Dilemma: „Unternehmen, die selten oder nur mit großer Verzögerung Updates einspielen, gehen grundsätzlich ein hohes Risiko ein“, sagt Sebastian Scheele, Mitgründer der Hamburger Software-Unternehmens Kubermatic. Umgekehrt bringe aber auch jedes Update ein gewisses Risiko mit sich. „Software ist heute so komplex, dass es immer größerer Teams bedarf um diese zu testen bevor man sie in den Umlauf bringt.“ Trotzdem bleibe immer ein Restrisiko. Besonders fatal sei es, wenn ein fehlerhaftes Update die Systeme eines großen Anbieters angreife. Dann könne ein Problem rasch auf „tausende oder gar Millionen anderer Systeme durchschlagen“ – so wie im Fall Crowdstrike.
Mikko Hyppönen geht davon aus, dass sich die Auswirkungen der IT-Panne noch bis in die kommende Woche ziehen. Denn die Fehler ließen sich zumindest nach aktuellem Stand nicht aus der Ferne beheben. Das heißt: Millionen betroffene Computer müssen händisch repariert werden. So können zwar kritische Systeme schnell wieder ans Laufen gebracht werden, aber eben längst nicht alle.
Milliardenschäden zu erwarten
Für eine Abschätzung der wirtschaftlichen Schäden ist es wohl noch zu früh, sie dürften aber in die Milliarden gehen. Laut einer Auswertung des amerikanischen Softwareunternehmens Splunk kostet jede Stunde Ausfallzeit die 2000 größten Unternehmen der Welt durchschnittlich 540.000 Dollar.
Die Auswirkungen der Panne bei Crowdstrike zeigen, wie eng die Softwareindustrie vernetzt ist. In der Vergangenheit haben sich beispielsweise Cyberangriffe auf einzelne IT-Dienstleister wie Kaseya oder Lücken in Microsofts Exchange-Servern weltweit ausgewirkt. Die kritische Infrastruktur sei sehr fragil, sagt Cybersicherheitsexperte Dennis Kenji-Kipker. „Wir müssen dringend unsere Abhängigkeit von einzelnen Anbietern reduzieren und auf mehr Redundanz und Diversität setzen.“
In den kommenden Wochen wird angesichts der großen Schäden auch die Frage einer möglichen Haftung eine Rolle spielen. Für die Fluggäste gilt dabei folgendes: Bei Annullierungen und Verspätungen greift normalerweise das engmaschige Netz der europäischen Fluggastrechte. „Bei den schwerwiegenden IT-Störungen, die den Flugverkehr weltweit beeinträchtigen, haben Flugreisende die Wahl zwischen einer Rückzahlung des Ticketpreises oder einer kostenlosen Ersatzbeförderung“, erläuterte das Fluggastrechteportal Flightright. Allerdings machte das Unternehmen den Kunden angesichts der außergewöhnlichen Umstände wenig Hoffnung auf eine Entschädigung gemäß der EU-Fluggastrechteverordnung, die je nach Entfernung bis zu 600 Euro pro Flug betragen können.
Komplizierter dürfte die Frage werden, ob die betroffenen Firmen Schadenersatz einfordern können, allen voran von Microsoft. Der amerikanische Softwarekonzern muss dann prüfen, ob er diese an Crowdstrike weiterreichen kann. Dabei spielen die abgeschlossenen Verträge eine entscheidende Rolle – und die Frage, ob ein Haftungsausschluss vereinbart wurde.