Nur mal so als Stichwort. Nachdem ich mich gestern noch darüber gewundert habe, dass Crowdstrike in den letzten Jahren bis vor kurzem Verluste eingefahren hat und nun mit dem ersten leichten Überschuss als weltweiter Formel 1 Sponsor auftritt, lese ich heute, dass Crowdstirke standesgemäß bei Klaus Schwab und dem WEF gelistet ist. Die gestern spontan aufgestellte These, dass es sich hier um eine Tarnfirma der Drei-Buchstaben-Organisationen handelt, könnte doch nicht ganz aus der Luft gegriffen sein, denn wie erwähnt und ersichtlich, haben sie Zugriff auf Millionen von Computern1. Natürlich erfolgt dieser vorteilfhafte Zugriff direkt auf die Endgeräte nur von den GutenTM, also aus den USA heraus gesteuert. Zum Glück mussten die BösenTM, siehe Russland und China, auf diese Art von „Kill-Switch“ verzichten und waren von diesem Vorfall nicht betroffen, da ihnen glücklicherweise der Zugang zu diesem Schlangenöl aufgrund der sich umgreifenden Sanktionitis verwehrt blieb. Welch eine feine Ironie.
Erstaunlich ist allerdings, dass der Focus schreibt, es seien nur 8.500.000 Rechner betroffen, also nur 1% der angeblich 85.000.000 weltweit im Einsatz befindlichen Windows-Systeme. Weder die absolute Zahl noch der prozentuale Anteil beruhigen mich.
Es ist auch nicht der erste Vorfall mit ihrem Schlangenöl. Zuletzt meldete beispielsweise The Stack am 28.06.2024, dass nach einem Update der Crowdstrike-Komponenten eine ungewöhnlich hohe CPU-Last auftrat.2 Aber auch Debian ist vor diesem Schlangenöl nicht gefeit und so kam es zuletzt im April 2024 zu Inkompatibilitäten mit dem Kernel 6.1.0-20. Nur weil Linux mit GRUB2 eine einfache Methode bietet, ältere Boot-Images vorzuhalten und von diesen zu booten, war eine schnelle Behebung möglich.
Da fragt man sich schon, was die Junx und Mädelz da machen? Denn die Haftungsfragen lassen sich zumindest für den deutschen Markt recht eindeutig durch deren AGB klären, heißt es dort (Großschreibung im Original, M.W.):
8.6 Haftungsausschluss. MIT AUSNAHME DER AUSDRÜCKLICHEN GEWÄHRLEISTUNGEN IN DIESEM ABSCHNITT 8 LEHNEN CROWDSTRIKE UND SEINE VERBUNDENEN UNTERNEHMEN ALLE ANDEREN GEWÄHRLEISTUNGEN AB, OB AUSDRÜCKLICH, STILLSCHWEIGEND, GESETZLICH ODER ANDERWEITIG. CROWDSTRIKE UND SEINE VERBUNDENEN UNTERNEHMEN UND LIEFERANTEN LEHNEN IM GRÖSSTMÖGLICHEN NACH GELTENDEM RECHT ZULÄSSIGEN UMFANG AUSDRÜCKLICH ALLE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK, DER RECHTEINHABERSCHAFT UND DER NICHTVERLETZUNG VON RECHTEN DRITTER IN BEZUG AUF DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS AB. ES GIBT KEINE GEWÄHRLEISTUNG, DASS DIE ANGEBOTE ODER CROWDSTRIKE-TOOLS FEHLERFREI SIND ODER DASS SIE OHNE UNTERBRECHUNG FUNKTIONIEREN ODER BESTIMMTE ZWECKE ODER BEDÜRFNISSE DES KUNDEN ERFÜLLEN. DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS SIND NICHT FEHLERTOLERANT UND NICHT FÜR DEN EINSATZ IN GEFÄHRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN, DIE EINE AUSFALLSICHERE LEISTUNG ODER EINEN AUSFALLSICHEREN BETRIEB ERFORDERN. WEDER DIE ANGEBOTE NOCH DIE CROWDSTRIKE-TOOLS SIND FÜR DEN BETRIEB VON FLUGZEUGNAVIGATION, NUKLEARANLAGEN, KOMMUNIKATIONSSYSTEMEN, WAFFENSYSTEMEN, DIREKTEN ODER INDIREKTEN LEBENSERHALTENDEN SYSTEMEN, FLUGVERKEHRSKONTROLLE ODER ANWENDUNGEN ODER ANLAGEN BESTIMMT, BEI DENEN EIN AUSFALL ZU TOD, SCHWEREN KÖRPERVERLETZUNGEN ODER SACHSCHÄDEN FÜHREN KÖNNTE. Der Kunde stimmt zu, dass es in der Verantwortung des Kunden liegt, die sichere Nutzung eines CrowdStrike-Angebots und der CrowdStrike-Tools in solchen Anwendungen und Installationen zu gewährleisten. CROWDSTRIKE ÜBERNIMMT KEINE GARANTIE FÜR PRODUKTE ODER LEISTUNGEN VON DRITTANBIETERN.
Und diese Ausschlüsse und die Tatsache, dass die Komponenten offenbar doch in kritischen Umgebungen eingesetzt werden, und zwar, siehe Focus, auf wahrscheinlich dann hochgerechnet Millionen kritischer Systeme, wirft Fragen auf. Sehr viele Fragen. Nicht nur an die IT-Abteilungen, sondern auch an das Management der Unternehmen, Flughafenbetreiber, Krankenhäuser, usw., die Crowdstrike-Produkte einsetzen und sich anscheinend, zumindest nach deutschem Recht, nicht näher mit dem Risiko dieser Komponenten auseinandergesetzt haben. Wahrscheinlich hat niemand auch nur ansatzweise deren Geschäftsbedingungen überflogen. Weder mit juristischem noch mit technischem Sachverstand. Ausnahmen wie die Asklepios-Kliniken bestätigen eher die Regel, zumindest in dem Sinne, dass diese die Software Komponenten wenigstens einer Testumgebung vor Roll-Out zuführen.3
Dies vorausgeschickt, erwähnt nun Eden Biber (PfizerLeak), u.a. ehemaliger Leiter der Informationssicherheit bei der Metro Bank (UK), dass dieser Vorfall möglicherweise absichtlich geschehen sein könnte.
Zur weiteren Geschichte von Crowdstrike gehört seiner Meinung nach folgender Hinweis. CrowdStrike wurde 2016 von der Führung der Demokraten (DNC) beauftragt, den angeblichen „Hack“ ihres E-Mail-Servers zu untersuchen. Die Sicherheitsverletzung führte zum Durchsickern unglaublich peinlicher E-Mails, die John Podesta, Hillary Clinton und die DNC-Führung bei allerlei machiavellistischen Machenschaften zeigten. Kurz nach der Untersuchung behauptete CrowdStrike, der Hack sei von russischen Agenten durchgeführt worden.
Crowdstrike CEO Shawn Henry musste aber dann doch zwei Jahre später nach dem Vorfall vor dem mächtigen US House Intelligence Committee zugeben, dass die Geschichte um die sogenannte Russische Verschwörung eine einzige Lüge gewesen war, und es für eine Russische Hackergruppe keinerlei Beweise gab:4
… acknowledged to Congress more than two years ago that it had no concrete evidence that Russian hackers stole emails from the Democratic National Committee’s server.
Die weiteren Überlegungen von Eden Biber zu den Hintergründen des aktuellen Cybervorfalls, dass diese Aktion aufgrund der zeitlichen Nähe zum Trump-Attentat zur Vernichtung von digitalem Beweismaterial genutzt wurde, erscheinen mir unglaubwürdig.
Dafür wäre eine solche Aktion viel zu unspezifisch, um konkretes Beweismaterial zu vernichten, die Geheimdienste haben viel bessere, maßgeschneiderte Werkzeuge im Arsenal, als derart weitreichend und folgenschwer Millionen von Systemen zu beeinträchtigen, um bestimmte digitale Beweise zu vernichten. Denn sie müssten als Voraussetzung schon wissen, was sie zu vernichten haben und dann würden sie zielgerichteter vorgehen, als ausgerechnet nun den direkten Zugriff auf 85.000.000 Rechnersysteme zu opfern. Klar ist nach diesem Vorfall, dass vielleicht doch der eine oder andere umdenkt und merkt, dass der Feind schon mit beiden Beinen im Haus steht. Dazu braucht es keinen russischen Hacker oder den chinesischen Huawei-Spion. Zweitens: Was ist mit den Backups, die in der Zwischenzeit gemacht wurden? Wie löscht dieser Angriff, wenn er denn einer war, auch die vorhandenen Backups? Nur weil der Rechner nicht bootet, werden doch vorhandene Backups nicht gelöscht. Das wird zumindest bei einer ordentlichen Strategie auch nicht gepusht, sondern gepullt und sollte auch auf ganz anderen Systemen gespeichert und auch nicht direkt von außen erreichbar sein. Drittens ist immer noch fraglich, ob die Best Practices der Softwareentwicklung auch wirklich mit Leben gefüllt wurden, das MS Cloud Key Debakel lässt grüßen. Oft genug ist es Schlamperei, dass solche weitreichenden Fehler passieren können und in diesem Fall wäre ich wieder bei dem Argument von gestern, dass Crowdstrike zumindest ein rudimentäres Qualitätssicherungssystem implementiert hat, aber eben eine Konstellation vorlag, in der alle Sicherungsscheiben versagt haben. Und wie wir gesehen haben, hat Crowdstrike das nicht getan.
Und wie wir gesehen haben, hat Crowdstrike kein ausreichend funktionierendes Qualitätssicherungssystem für seinen Code etabliert.
Interessant ist natürlich die erneute Verquickung von US-Tech-Dominanz, Zugriff auf zig Millionen Systeme per „Standleitung“, trübe Suppe um DEMs, WEF-Listung und auch die Tatsache, dass Crowdstrike wirtschaftlich zunächst keine besonders hohen monetären Gewinne abwirft.
Es bleibt also dabei, wer solches Schlangenöl über seine IT kippt, hat sowieso die Kontrolle über sein Leben verloren.
- REDAKTION, FOCUS, 2024. Microsoft: Weniger als ein Prozent aller Windows-Rechner waren von Störung betroffen. FOCUS online [online]. 20 Juli 2024. [Zugriff am: 21 Juli 2024]. Verfügbar unter: https://www.focus.de/panorama/welt/chaos-zum-ferienbeginn-serverausfall-aktuell-kein-flugverkehr-am-ber_id_260151405.html ↩︎
- CrowdStrike bug maxes out 100% of CPU, requires Windows reboots, 2024. The Stack [online]. [Zugriff am: 21 Juli 2024]. Verfügbar unter: https://www.thestack.technology/crowdstrike-bug-maxes-out-100-of-cpu-requires-windows-reboots/ ↩︎
- NDR, 2024. Nach IT-Problemen: BSI fordert besseren Schutz vor weiteren Pannen. [online]. 20 Juli 2024. [Zugriff am: 21 Juli 2024]. Verfügbar unter: https://www.ndr.de/nachrichten/info/Nach-IT-Problemen-BSI-fordert-besseren-Schutz-vor-weiteren-Pannen-,computerprobleme104.html ↩︎
- MATE, Aaron, 2020. Hidden Over 2 Years: Dem Cyber-Firm’s Sworn Testimony It Had No Proof of Russian Hack of DNC | RealClearInvestigations. [online]. 13 Mai 2020. [Zugriff am: 21 Juli 2024]. Verfügbar unter: https://www.realclearinvestigations.com/articles/2020/05/13/hidden_over_2_years_dem_cyber-firms_sworn_testimony_it_had_no_proof_of_russian_hack_of_dnc_123596.html ↩︎