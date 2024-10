Im Juli 2024 führte ein fehlerhaftes Update der CrowdStrike-Software zu einem Ausfall von Windows-Maschinen weltweit, was den Flugverkehr, die Arbeit in Krankenhäusern und viele andere kritische Aktivitäten zum Stillstand brachte. Die Wiederherstellung dauerte für Organisationen von Stunden bis zu Wochen. Der Vorfall ist jetzt vorbei, aber es gibt Schritte, die Organisationen unternehmen können, um das Risiko eines erneuten Auftretens zu verringern.

Angesichts der Art und Weise, wie der Ausfall stattfand – aufgrund eines fehlerhaften Updates für einen Eingangsparameter eines Kernel-Modus-Treibers – kann es schwierig sein, den direkten Weg zur Vermeidung eines solchen Problems aufzuzeigen.

Leider sind Anwendungen im Kernel-Modus notwendig, insbesondere wenn es um die Sicherheit von Endgeräten geht. Der Zugriff auf den Kernel ermöglicht der Anwendung, systemnahe Daten für die Erkennung abzurufen und vor dem Betriebssystem (und potenziellen Angreifern) zu booten. Dennoch hat Microsoft sich in diesem Jahr mit Anbietern von Endpoint-Sicherheitslösungen auf einem Windows Endpoint Security Ecosystem Summit getroffen, um Möglichkeiten zu prüfen, den Zugriff auf einige der Funktionen im Kernel-Modus im Benutzer-Modus zu ermöglichen, um die Resilienz zu verbessern. Diese langfristigen Änderungen werden wahrscheinlich dazu führen, dass Endpoint-Sicherheitssoftware zuverlässiger und weniger von Kernel-Modus-Anwendungen abhängig ist.

In der Zwischenzeit gibt es jedoch Schritte, die Ihre Organisation unternehmen kann, um ein solches Problem in Zukunft zu verhindern. Diese drei Schritte sind besonders sinnvoll für Organisationen, die die Geschäftskontinuität gegenüber einem Ausfall in dieser Größenordnung wiederherstellen möchten: erhöhte Überprüfung von Anbietern, operative Resilienz und die Etablierung sowie das Testen von Reaktionsverfahren.

Erhöhen Sie die Überprüfung von Anbietern für Anwendungen mit Kernel-Zugriff

Dieser Vorfall war so weitreichend und verheerend, weil die Anwendung Zugriff auf den Kernel hatte. Anwendungen, die im Benutzer-Modus arbeiten, können nicht auf Systeminterne in so niedriger Ebene zugreifen, was bedeutet, dass sie normalerweise nicht zu einem Absturz des gesamten Systems führen können, sondern nur der Anwendung selbst. Allerdings sind nicht nur Endpoint-Sicherheitswerkzeuge auf den Zugriff im Kernel-Modus angewiesen – auch Gerätetreiber, zum Beispiel für Audio oder Bluetooth, haben einen ähnlichen Zugriff. Überprüfen Sie die Testverfahren für jeden Code, der in den Kernel-Modus bereitgestellt wird, selbst wenn es sich nicht um ein Update des Treibers selbst handelt, sondern nur um Eingaben für die Anwendung. Fordern Sie darüber hinaus Ihren Anbieter auf, Versionskontrolle für allen Code, der in den Kernel bereitgestellt wird, zu unterstützen, um einen Puffer gegen etwaige Probleme zu schaffen.

Betrachten Sie diesen Vorfall als Wendepunkt, um operative Resilienz aufzubauen

In einigen Fällen dauerte die Wiederherstellung länger, weil die Organisation mit veralteter Infrastruktur belastet war. Nutzen Sie diesen Moment als Gelegenheit, um Altsysteme zu aktualisieren oder sie ganz abzubauen. Die Zustimmung zur Aktualisierung von Altsystemen zu erhalten, ist herausfordernd, aber ein Ausfall in dieser Größenordnung hat die Bedrohung für jeden IT-Leiter deutlich gemacht. Dies wird nicht nur die operative Resilienz verbessern, sondern auch die Sicherheitsfähigkeiten stärken.

Etablieren und testen Sie Reaktionsverfahren im gesamten Unternehmen

Ein Teil des Schadens, der durch diesen Ausfall verursacht wurde, war auf die mangelnde Vorbereitung der Organisationen auf Herausforderungen der Geschäftskontinuität zurückzuführen. Stellen Sie sicher, dass alle – aus den Bereichen Sicherheit, IT, Marketing, Kundenbetreuung und Vertrieb – auf ein Problem der Geschäftskontinuität vorbereitet sind und ihre Rolle kennen. Führen Sie funktionsübergreifende Tischübungen mit anderen Bereichen der Organisation durch, um sicherzustellen, dass sie verstehen und die Abläufe der Reaktion bereits durchlaufen haben, und stimmen Sie das gesamte Unternehmen auf die Botschaft an externe Partner ab.

Allie Mellen, Analyst bei Forrester