Am 19. Juli sorgte ein fehlerhaftes Konfigurationsupdate von Crowdstrike bei Windows-Systemen für massive Probleme. Rund um den Globus kam es zu Systemabstürzen und dem gefürchteten „Blue Screen of Death“. Betroffene Rechner konnten nicht mehr oder nur unvollständig gestartet werden.
Die Folgen bekamen unter anderem Fluggesellschaften, Medien- und Telekommunikationsunternehmen, der Einzelhandel und Krankenhäuser zu spüren. Viele Unternehmen und Organisationen mussten ihren normalen Betrieb einstellen oder einschränken und Reisende weltweit strandeten an Flughäfen. Um die Systeme wiederherzustellen, war ein manueller Eingriff bei jedem betroffenen Gerät notwendig. Dies bedeutete einen erheblichen Zeit- und Arbeitsaufwand für IT-Teams. Zu allem Überfluss machten sich Cyberkriminelle den Vorfall zunutze, indem sie der IT-Abteilung betroffener Organisationen Schadsoftware als vermeintlichen Patch unterzujubeln versuchten.
Ein paar gute Hinweise
Der Vorfall führte zu einer breit angelegten Diskussion darüber, wie sich solche IT-Katastrophen künftig verhindern lassen, und Crowdstrike selbst hat Besserung gelobt. Viel war darüber zu lesen wie eine verbesserte Qualitätskontrolle durch den Anbieter helfen könnte oder ein gestaffeltes Update-System, bei dem Updates zunächst auf einer kleinen Gruppe von Testsystemen ausgerollt werden, bevor sie unternehmensweit verteilt werden. Auch war zu lesen, dass robuste Backup-Systeme und Wiederherstellungspläne wichtig sind, um im Falle eines fehlerhaften Updates schnell reagieren zu können und dass man Windows-Systeme so konfigurieren sollte, dass sie im Falle eines schwerwiegenden Fehlers zumindest in einem abgesicherten Modus gestartet werden können.
Open Source als echte Alternative
Diese Anmerkungen und Hinweise sind nicht falsch. Sie gehen aber nicht weit genug. Unternehmen und Behörden sollten ihre IT-Strategie grundsätzlicher überdenken, sich von monolithischen Strukturen und den entsprechenden Abhängigkeiten verabschieden und vermehrt auf Open-Source-Software und offene Standards setzen. Generell bietet die Nutzung von Open-Source-Software etliche Vorteile. Sie ermöglicht es einer breiten Community von Entwicklern und Sicherheitsexperten, den Quellcode zu überprüfen. Dies erhöht die Wahrscheinlichkeit, dass Fehler oder Sicherheitslücken frühzeitig entdeckt werden. Auch können Nutzer Open-Source-Software an ihre spezifischen Bedürfnisse anpassen und so potenzielle Risiken besser kontrollieren. Nicht zuletzt verringern Unternehmen und Behörden durch den Einsatz entsprechender Software ihre Abhängigkeit von einzelnen Anbietern, was angesichts der Dominanz einiger, weniger Anbieter Anreiz genug bieten sollte.
Open Source ist nicht gleich Open Source
Wichtig bei der Wahl einer Open-Source-Software ist, darauf zu achten, dass das Viele-Augen-Prinzip, das Open-Source im Allgemeinen auszeichnet, wirklich konsequent umgesetzt wird. Es gibt einige Beispiele für Open-Source-Projekte, die sich auf einen Maintainer beschränken, d.h. dass letztlich nur eine Person für die Endkontrolle und Freigabe einer neuen Version der Software verantwortlich ist. Das führt die Open-Source-Grundidee nahezu ad absurdum. Das Viele-Augen-Prinzip sollte für jede Komponente der gewählten Open-Source-Lösung gelten.
Zugegebenermaßen stellt der Einsatz von Open-Source-Technologien Unternehmen und Behörden vor ganz eigene Herausforderungen. So fehlen bei Nutzung „nackter“ Open-Source-Technologien der Kundendienst und eine allzeit verfügbare Hotline für Notfälle. Und benötigte Zusatzfunktionen muss ein Anwender aufwendig selbst programmieren. Auch liegt bei der Entwicklung der meisten Open-Source-Technologien das Hauptaugenmerk nicht auf der Benutzerfreundlichkeit, die entsprechend häufig zu wünschen übriglässt. In den meisten Fällen ist es darum angeraten, das Beste aus zwei Welten zu kombinieren und einen vertrauenswürdigen europäischen Anbieter zu wählen, der ein kommerziell ausgereiftes, flexibles Produkt auf Open-Source-Basis anbietet.
Jetzt handeln
Zusammengefasst ergeben sich vier wesentliche Forderungen aus dem Desaster: Unabhängige Sicherheitslösungen und Redundanz, proaktives Risikomanagement, diversifizierte Cybersecurity-Protokolle, Wartung und Tests der Systeme. All diese Punkte sind nicht neu. Die Frage ist: Wann handeln Behörden und Unternehmen endlich? Zugegebenermaßen ist es unrealistisch, alle Systeme durch Open-Source-Alternativen zu ersetzen. Dafür haben sich die Systeme bestimmter Anbieter bereits zu breit gemacht in unseren IT-Infrastrukturen. Insbesondere, wo es um sicherheitsrelevante Systeme geht, sollten Organisationen aber nicht länger zögern und jetzt umsteigen. Die nächste IT-Katastrophe kommt bestimmt.