BSI ergreift Maßnahmen: Was Deutschland aus der Crowdstrike-Panne gelernt hat

Nach den weltweiten IT-Störungen vor gut einer Woche hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Gespräch mit den Software-Unternehmen Crowdstrike und Microsoft jetzt erste Maßnahmen entwickelt, um vergleichbare Vorfälle künftig zu vermeiden. Das BSI will auch mit weiteren Software-Herstellern Gespräche führen und die Maßnahmen entsprechend weiterentwickeln. Ob das alleine eine solche Situation in Zukunft ausschließen kann oder das Problem behebt, ist allerdings fraglich.

Neben einer kurzfristigen Analyse des Sicherheitsvorfalles, insbesondere mit Blick auf die Betroffenheit in Deutschland, erwartet das BSI eine tiefgründige technische Aufarbeitung der genauen Ursache. Darüber hinaus wird das BSI mit Crowdstrike Maßnahmen vereinbaren, durch die die Betriebsstabilität von Kundensystemen auch bei der Installation kurzfristig notwendiger Software-Updates sichergestellt wird. Bereits umgesetzte Maßnahmen wird das BSI auf Wirksamkeit überprüfen.

Das BSI wird in Gesprächen mit Microsoft, Crowdstrike und Herstellern vergleichbarer Softwarelösungen darauf hinwirken, dass das jeweilige Betriebssystem auch bei schwerwiegenden Fehlern immer mindestens in einem abgesicherten Modus gestartet werden kann.”

Aussage des BSI

Damit soll eine etwaige Fehlerbehebung für die Betroffenen künftig erleichtert werden. Das langfristige Ziel des BSI ist es, neue und resiliente Komponenten konzipieren und umsetzen zu lassen, die die gleiche Funktionalität und Schutzwirkung entfalten wie bisher, die allerdings weniger tiefgreifende Eingriffsrechte in die Betriebssysteme benötigen. Damit sollen die Auswirkungen etwaiger Softwarefehler minimiert werden.

Das BSI steht seit dem Vorfall in direktem Austausch mit Crowdstrike in Deutschland und den USA. Nach den unmittelbar erfolgten Sofortmaßnahmen des Herstellers zur Verhinderung weiterer Betroffenheiten und der Bereitstellung eines ersten Workarounds für die betroffenen Systeme wurden ergänzend laufend vorläufige Analyseberichte zu diesem Vorfall durch Crowdstrike mit dem BSI diskutiert und veröffentlicht.

Interessant ist in diesem Zusammenhang, dass das BSI kaum auf die besondere Problematik der Banken und Versicherungen sowie des Zahlungsverkehrs eingeht und auch die Kritischen Infrastrukturen nicht gezielt thematisiert. Erstaunlich pessimistisch war man ja am Tag selbst, was die Wiederherstellungsmöglichkeiten betrifft – hier zeigt sich, dass die Finanzunternehmen selbst ihre Hausaufgaben machen müssen, während seitens des BSI zumindest für dieses konkrete Szenario keine hilfreichen Strategien und Workarounds verkündet werden. Doch was hat das BSI jetzt im Einzelnen verabschiedet?

So will das BSI in Zukunft ähnliche Vorfälle verhindern.

Das BSI hat auf Grundlage der Gespräche, der Auswertung der vorliegenden Analysen sowie weiterer laufender Rückmeldungen des Herstellers zunächst folgende Maßnahmen entwickelt: Kurzfristig, bis Mitte August, will man die Betroffenheit deutscher IT-Systeme von dem Vorfall analysieren – offenbar sind derzeit laut Crowdstrike bereits 97 Prozent aller Systeme mit Windows-Sensoren wieder online.

Mittelfristig, also bis spätestens Ende September will das BSI den ausführlichen und abschließenden Analyseberichts (Root Cause Analysis) auswerten und das aktuelle und weiterentwickelte Testkonzept von Crowdstrike sehen. Dazu wird das BSI in Abstimmung mit weiteren internationalen Partnerbehörden sowie Diskussion zu erforderlichen Anpassungen mit Crowdstrike treten. Man wolle klären, wie ein zügiger Rollout der Logiken/Signaturen unter strikter Gewährleistung der Betriebsstabilität von Kundensystemen gewährleistet werden kann und die Wirksamkeit des von Crowdstrike bereits angekündigten gestaffelten und eng überwachten Ausrollprozesses von Updates bei Kunden mit erweiterten Telemetrieanalysen erfolgen wird. Außerdem gehe es um die Sensibilisierung der Crowdstrike-Produkte nutzenden Organisationen hinsichtlich der grundsätzlichen Betriebsrisiken.

Langfristige Evaluierung der Prozesse geplant

Langfristige Maßnahmen sollen bis spätestens Ende des Jahres umgesetzt werden. Es wird eine Diskussion über konkrete Möglichkeiten zur Evaluierung der Softwareentwicklungsprozesse des Herstellers durch unabhängige Dritte in Anlehnung an BSI TR-03185 auf Basis von bereits erfolgten Ankündigungen von Crowdstrike stattfinden. Zusätzlich soll eine Zusammenarbeit des BSI mit Crowdstrike und Microsoft etabliert werden, um auch bei schwerwiegenden Fehlern des EDR-Tools ein Starten des Systems, mindestens in einem eingeschränkten Modus, zu ermöglichen. Erstgespräche mit allen relevanten Stakeholdern zur Architektur von EDR-Tools zur Erhöhung ihrer Resilienz sollen geführt werden.

Weitergehende Maßnahmen sind für das Jahr 2025 vorgesehen. Dabei sollen neue, resilientere Architekturen zur Ausführung von EDR-Tools mit minimal erforderlichen Privilegien bei gleicher Funktionalität und Schutzwirkung konzipiert und umgesetzt werden. Zudem sollen alle weiteren Hersteller dieser Produktkategorie, alle relevanten Betriebssystemplattformen sowie allgemein die Hersteller von Produkten mit derzeit noch hohen Privilegien einbezogen werden. Das BSI steht bei der operativen und strategischen Aufarbeitung des Sicherheitsvorfalls in laufendem Kontakt mit dem Hersteller Crowdstrike und mit Microsoft, in Erwartung konkreter Ergebnisse und Lösungen. Crowdstrike hat mittlerweile zahlreiche weitergehende Informationen veröffentlicht, die bereits erste Umsetzungen der obigen Maßnahmen beschreiben.tw