Ein kurzer Blick auf die Website von Crowdstrike und es springt einem förmlich ins Gesicht:
DIE, quatsch, DEI:
Being a member of the CrowdStrike team is not just a job – it’s a collective calling. We’re on a mission to stop breaches and to protect and support our customers. We bring the same passion to deliver a positive impact in our communities, protect our planet and support causes that matter to our people.
Geht es nicht ein bisschen größer, ich meine nur den ganzen Planeten Erde zu schützen? Ist das nicht auch diskriminierend gegenüber Venus, Mars, Jupiter oder gar Pluto, der nur noch zur Klasse der Zwergplaneten gehört? Werden die nicht von der Mannschaft um Crowdstrike gerettet?
Aber es kommt noch besser. Als Kunde käme ich mir total verarscht vor, wenn ich dann noch lesen müsste, dass Crowdstrike in diesem Jahr weltweiter Sponsor der Formel 1 geworden ist. Also erst den Planeten retten und dann dem Verbrennungsmotor huldigen? Oder wie soll ich mir das vorstellen?
Zum Debakel selbst.
Ob die jetzt in C++ programmieren, dürfte unerheblich sein. Fakt ist, dass die Qualitätssicherung, die sie haben müssen, sonst dürften sie bei so vielen Zertifizierungen ihrer Kunden nicht als Certified Vendor gelistet sein, da auch die Lieferketten in vielen Audits überprüft werden, hoffnungslos versagt zu haben scheint.
Doch Vorsicht. Als Außenstehender sollte man sich ohne nähere Kenntnisse nicht täuschen lassen.
Ein gutes QM kann man vielleicht mit mehreren Scheiben vergleichen, die jeweils ein oder mehrere Löcher haben, aber es ist unwahrscheinlich, dass alle Scheiben mit ihren Löchern deckungsgleich liegen und so ggf. ein Durchdringen ohne jeglichen Schutz ermöglichen.
Unwahrscheinlich, aber nicht ausgeschlossen.
Hinzu kommt das Wissensdefizit. Es kann sein, dass sie schon hunderte, tausende von Fehlern durch ihr QM verhindert haben, aber der eine Fehler ist ihnen durchgerutscht und alle Welt schaut auf diesen Fehler.
Unabhängig davon sind die zahlreichen Zertifizierungen vor allem Papier- und Zeitfresser und dienen eher dem Management als Absicherung, vermeintlich alles richtig gemacht zu haben und Verantwortung und vor allem Haftung abzuwälzen. Sicherlich, richtig gelebt bieten solche Zertifizierungen schon einen Mehrwert, aber dazu muss eben die gesamte Belegschaft an einem Strang ziehen und Qualität und IT-Sicherheit und Schutz – so abgedroschen das klingt – leben. Und das Management darf sich das nicht durch Sonderwürste davon freikaufen können.
Zurück zu Crowdstrike. QM hin oder her, das ändert nichts an der grundsätzlichen Kritik, dass, wer solche Software einsetzt, im Prinzip die Kontrolle über sein Leben verloren und sich den Feind per Standleitung in sein Unternehmen, in seine Infrastruktur geholt hat. Und das gilt umso mehr, als die letzten Tage nur allzu deutlich gezeigt haben, dass auch große und größte Unternehmen Software-Updates nicht nur ohne Testumgebungen einspielen und ausrollen, sondern noch nicht einmal gestaffelt ausrollen, um nicht zumindest in der Produktivumgebung gleich einen kompletten Stillstand zu riskieren. Positiv erwähnen möchte ich allerdings die folgende Meldung:
Das Universitätsklinikum Eppendorf (UKE) hatte hingegen offenbar keine Schwierigkeiten – ebenso die Asklepios-Kliniken. Diese seien zwar Kunde bei Crowdstrike. Man habe das Update aber erstmal über Test-PCs laufen lassen und dann festgestellt, dass es fehlerhaft sei. Daraufhin wurde es nicht eingesetzt.1
Nicht nur Crowdstrike hat hier versagt, auch die Kunden haben vorher versagt, indem sie sich für sehr viel Geld so einen Mummenschanz haben aufschwatzen lassen und über den Tisch gezogen wurden, denn ich würde Sicherheit verlangen und nicht, dass sich mein Lieferant für Dutzende oder gar Hunderte von Millionen USD in die Formel 1 einkauft, was mich angesichts der Fundamentalzahlen irritiert, denn die machen seit Jahren vor allen Dingen: Verluste. Was mich zu der spontanen Theorie verleitet, dass es sich wieder um eine Tarnfirma der Drei-Buchstaben-Organisationen handeln könnte, die keinen Gewinn erwirtschaften muss, Hauptsache die Standleitung nach Fort Meade ist gelegt. Der zweite Fehler auf Seiten der Crowdstrike-Kunden dürfte darin liegen, dass sie Updates eben nicht durch eine eigene Testumgebung abgesichert haben.
Und wenn die Entscheidungsträger in der EU nicht seit 50 Jahren unter irgendwelchen Steinen leben würden, dann hätten wir eine Auswahl an eigenen, freien und vor allem in der Grundkonfiguration sicheren Betriebssystemen, ohne dass man erst jemanden einstellen muss, der die Systeme härtet oder das sich auch im Jahr 2024 Schlangenöl immer noch bestens verkaufen lässt. Und letztlich müssten wir am Ende nicht hunderte Milliarden an volkswirtschaftlichem Einkommen in die USA überweisen, weil ein ganzer Technologiezweig komplett verschlafen wurde.
Was sagt Frau Claudia Plattner, die Präsidentin des BSI zu dem Ganzen? „Es gibt ein paar Stellen und Hebel, an denen wir etwas tun können und auch müssen.“ Konkreter wird das nicht. Bitte gehen Sie weiter. Hier gibt es nichts zu sehen.
- https://www.ndr.de/nachrichten/info/Nach-IT-Problemen-BSI-fordert-besseren-Schutz-vor-weiteren-Pannen-,computerprobleme104.html ↩︎