News Nach weltweiter IT-Störung: Wie Unternehmen auf den Crowdstrike-Ausfall reagieren

[Enigma]

Ich frag mal ganz ketzerisch:

Was bedeutet das in der Praxis?

Die Entstehung dieser Tools ist wie folgt:

Variante A: Du bist eine solide IT Firma und hast gute Informatiker, die deine tollen Produkte gemacht haben. Du hast nie Probleme mit IT Sicherheit. Du wächst und der Chef priorisiert Marketing. Marketing tötet IT. IT geht. Du hast Probleme mit IT Sicherheit.

Variante B: Du hast Geld wie Heu, aber keine Ahnung von IT. Du hast Probleme mit IT Sicherheit.

Dann kaufst du das Tool, weil der Chef denkt es löst das IT Sicherheitsproblem. Du gibst das Geld für externe als für interne aus. IT wird nie wieder „gesund“, weil Expertise = extern. Maximal ein guter IT Leiter der als Herr von Minions das schlimmste irgendwie versucht zu vertuschen.

Dann kommt ein externer Berater und weist dich darauf hin, dass so ein Tool potentiell gefährlich ist und nicht eingesetzt werden sollte. Du ignorierst es.

 

[Nozuka]

Was kann eigentlich Crowdstrike, dass das so viel eingesetzt wird...?

Es ist sehr einfach im Betrieb, ist bei Pentests mit an der Spitze und man verliert praktisch keine Performance.

Habe vor 2-3 Jahren selber mal die grössten Player als Ablösung für die grauslige McAfee Lösung getestet und es war erschreckend wie viel besser Crowdstrike war. Das hat schon beim booten vom PC angefangen, das deutlich schneller ging, sobald man es auf einem PC installiert, der vorher keine extra Lösung hatte. (Sprich: der Defender war nur aktiv und wurde nach CS Installation natürlich deaktiviert)
Aber auch Programme starteten schneller, weniger CPU Auslastung und auch weniger RAM Verbrauch.

Ausserdem von Anfang an auf allen Systemen sehr gut funktioniert, ohne viele Ausnahmen erstellen zu müssen.

Das Produkt ist wirklich gut, umso trauriger, dass sie sich einen solchen Fehler geleistet haben. Und offenbar auch lügen, denn uns wurde damals gesagt, dass sämtliche Updates immer gestaffelt ausgerollt werden, um genau solche Vorfälle zu vermeiden. Aber vielleicht war das nur auf Agent Updates bezogen.

 

[Tzk]

Dann kaufst du das Tool, weil der Chef denkt es löst das IT Sicherheitsproblem. Du gibst das Geld für externe als für interne aus. IT wird nie wieder „gesund“, weil Expertise = extern. Maximal ein guter IT Leiter der als Herr von Minions das schlimmste irgendwie versucht zu vertuschen.

Hört sich nach unserem Laden an, nur das zusätzlich noch die Prozess Fuzzis diktieren wie und mit welchen Tools der Rest (die IT) zu arbeiten hat. Ist maximal ungeil wenn Leute Prozesse designen und Tools auswählen ohne die Praxis im Blick zu haben.

Auf dem Papier sieht alles super aus, aber wenn die Tools nicht zum Prozess passen und der Prozess schön aussieht (aber nicht mehr), dann wird vieles absolut ineffizient und nervig.

 

[tiga05]

@cansys
Ja gut. Aber das scheint ja nen Reseller zu sein. Die mieten sich irgendwo bei nem Hyperscaler ein und bauen darauf ihre Logik auf.
Dabei machen sie jede Menge Fehler, wie zum Beispiel fehlende Redundanzen oder schlechte Architektur und das führt dazu, dass die Software durch kleinste Probleme nicht erreichbar ist.
Meistens ist es auch so, dass die Anbieter ihre Software auch früher on-premise angeboten haben und letztlich den gleichen Stack nun bei irgendeinem Anbieter hosten und das dann "Cloud-Angebot" nennen. Aber nur, weil ich einen Server über einen Anbieter ins Internet stelle, mache ich noch keine Cloud (meine Meinung).

@Tzk
Bzgl Bullshitbingo: Oh ja. Ich darf gerade ein ISO 27001 Audit für den Abschnitt "sichere Softwareentwicklung" begleiten 😂🤮. Aus meiner Sicht kann man Richtlinien schreiben wie man will. Wenn die Kollegen keine Ahnung von der Materie haben, werden sie unsichere Software schreiben. So einfach ist das. Aber so ein Stempel scheint wohl auch Prestige zu sein. Ein Fünkchen Wahrheit bei diesen Sachen ist ja natürlich immer dabei. Aber man schafft dann selten die Balance und will lieber zu 100% sicher gehen, was dann wieder alles verlangsamt.

@Blutschlumpf
Ein Cloud-Anbieter abstrahiert dir diese Probleme weg und reduziert es auf das Wesentliche: das erstellen und verwalten von IP-Adressbereichen und deren Beziehungen zueinander. Welcher Router mit welcher Software da eingesetzt wird, spielt gar keine Rolle mehr.
Redundanzen gibt es dann per Klick. wie viele AZs sollen es sein? Reichen zwei? oder lieber drei?
Vielleicht doch noch eine zusätzliche Zone außerhalb von Europa, für die internationalen Stakeholder, für den Fall, dass irgendwas in Europa ist? Kein Problem.
Wenn man es 100% "cloud -nativ" macht, muss man sich auch um IPs gar nicht mehr so arg kümmern. Ich gebe zu: das klappt aber nicht immer. Vor allem nicht für Software, die nicht mit dem Cloudgedanken im Hinterkopf entstanden ist.
Aber vielleicht bin ich einfach noch nicht lange genug im Geschäft, um negative Erfahrungen gemacht zu haben. Ich bin wahrscheinlich auch zu sehr in meiner Bubble.

@Enigma
Das habe ich auch schon beobachtet. Jeder "Manager" setzt einen Scheißhaufen oben drauf und verlässt anschließend das Unternehmen wieder. Die zurückgebliebenen Mitarbeiter müssen sich dann zunehmend um immer mehr Müll nebenher kümmern, aufgrund vorher getroffener Fehlentscheidung. Das verlangsamt dann alles und erzeugt Abhängigkeiten. Die schleppt man Jahrzehnte mit. Den ganzen Kram dann mal zu hinterfragen benötigt dann immer eine Menge Energie und Eigeninitiative

 

[nazgul77]

weil crowdstrike den einsatz in kritischen systemen in seinen agb ausschliesst und generell keine fehlerfreiheit garantiert. konnte (und sollte) jeder vor dem kauf und der installation durchlesen. insofern - selbst schuld.

hmm "kritische Systeme" habe ich nicht in den Vertragsbedingungen gefunden, aber sie schließen pauschal den Einsatz des eigenen Produkts aus überall, wo Leben und Gesundheit auf dem Spiel stehen kann, u.a. der Flugnavigation und Flugüberwachung. Waren es nicht ganze Flughäfen, die von Crowstrike lahm gelegt wurden?

NEITHER THE OFFERINGS NOR CROWDSTRIKE TOOLS ARE FOR USE IN THE OPERATION OF AIRCRAFT NAVIGATION, NUCLEAR FACILITIES, COMMUNICATION SYSTEMS, WEAPONS SYSTEMS, DIRECT OR INDIRECT LIFE-SUPPORT SYSTEMS, AIR TRAFFIC CONTROL, OR ANY APPLICATION OR INSTALLATION WHERE FAILURE COULD RESULT IN DEATH, SEVERE PHYSICAL INJURY, OR PROPERTY DAMAGE.

 

[Tzk]

Aber so ein Stempel scheint wohl auch Prestige zu sein. Ein Fünkchen Wahrheit bei diesen Sachen ist ja natürlich immer dabei. Aber man schafft dann selten die Balance und will lieber zu 100% sicher gehen, was dann wieder alles verlangsamt.

Nicht nur Prestige. Wenn ein Unternehmen KRITIS ist, dann sind diverse Stempel Pflicht. Ob die Maßnahmen, die zum Erreichen des Stempels getroffen wurden, wirklich helfen ist dabei komplett egal. Hast du den Stempel nicht, hast du ein Problem.

Wir sind Teil eines größeren Firmenkonstrukts, wo von oben herab auf Einhaltung diverser Maßnahmen geprüft wird. Da kommen teilweise Aussagen wie "Ihr habt Tool XY nicht im Einsatz? Das gibt einen negativen Prüfungsvermerk!", völlig egal ob das aktuell eingesetzte Tool die Aufgabe besser erfüllt oder nicht. Weichst du vom Unternehmensstandard ab, hast du ein Problem. Sei es das Betriebsrisiko oder eben Vermerke bei der internen Prüfung. Das gilt dann auch für Prozesse, Workflows und ähnliches...

Insgesamt geht es bei uns schon länger nicht mehr um den sicheren IT Betrieb, sondern das alles auf dem Papier sicher aussieht und Compliance-Listen positiv abgearbeitet sind. Da wir aktuell mit Compliance-Bullshit überflutet werden wird aktuell sogar das Ausfüllen der Checklisten über die eigentliche Schaffung von Sicherheit priorisiert. Kannste dir nicht ausdenken

hmm "kritische Systeme" habe ich nicht in den Vertragsbedingungen gefunden, aber sie schließen pauschal den Einsatz des eigenen Produkts aus überall, wo Leben und Gesundheit auf dem Spiel stehen kann, u.a. der Flugnavigation und Flugüberwachung. Waren es nicht ganze Flughäfen, die von Crowstrike lahm gelegt wurden?

Jop. Beispielhaft sollt Crowdstrike nicht in der Flugsicherung eingesetzt werden, bei der Gepäckaufgabe wäre es aber kein Problem. Oder Beatmungsgeräte geht nicht, aber Patientenaufnahme und z.B. Abrechung/Personalabteilung theoretisch schon.

Der Witz ist das das BSI Crowdstrike für den sicheren IT Betrieb empfiehlt. Du wirst also trotz der Klausel in den AGB dazu genötigt es einzusetzen... Davon ab muss eine Klausel, nur weil sie in den AGB steht nicht zwingend rechtlich bindend oder haltbar sein... Gibt etliche unwirksame AGB bei vielen Unternehmen. Reinschreiben kann man dort erstmal viel.

 

[0x8100]

@nazgul77

THERE IS NO WARRANTY THAT THE OFFERINGS OR CROWDSTRIKE TOOLS WILL BE ERROR FREE, OR THAT THEY WILL OPERATE WITHOUT INTERRUPTION OR WILL FULFILL ANY OF CUSTOMER’S PARTICULAR PURPOSES OR NEEDS.

im grunde schliesst das alleine schon alles aus

 

[Baxxter]

In kleinen bis mittleren Unternehmen scheitert es doch schon am Willen Geld dafür locker zu machen.
Ich sehe es doch in meinem Unternehmen (15 MA). Alles läuft auf einem PC, an dem die billigsten USB-Sticks für die Backups genutzt werden.
Als ich mal das Thema externe HDDs ansprach, kam nur die Antwort: "Bei MediaMarkt besorgen. Maximal 20 Euro!"

 

[Blutschlumpf]

Ein Cloud-Anbieter abstrahiert dir diese Probleme weg ...

Da hat das Marketing ja gute Arbeit geleistet.
Die Probleme, die ich genannt habe, sind die Probleme auf der Seite des Cloud-Anbieters.

Die Probleme sind nicht weg und werden auch nicht weniger nur weil eine andere Firma diesen Teil betreibt.
Das war schon vor 20 Jahren nicht anders als die ganzen Firmen anfingen ihre IT aus dem Firmenkeller in Rechenzentren (damals eher Colocation, heute "Cloud") umzuziehen.
Du verlagerst die meisten Probleme lediglich, löst einige wenige und fügst teilweise neue hinzu (Abhängigkeit von der Verbindung zwischen dir und dem Hoster).

 

[Tzk]

Du verlagerst die meisten Probleme lediglich

Das ist der Punkt. Im Fall der Fälle bezahlst du den Dienstleister auch dafür, das er schuld ist und du nicht. Außerdem kann man so interne Stellen abbauen.

 

[Blutschlumpf]

Bringt dir im Grunde aber nichts, was nützt es am Ende des Tages nen Schuldigen zu haben?
Den Schaden hast du alleine, dein Provider haftet nämlich wenig bis gar nicht für deine Ausfälle.

Obs natürlich finanziell lohnt oder du gar nicht anders kannst weil du keine ITler findest ist ne andere Sache.

 

[Tzk]

Dem Unternehmen bringt es natürlich was. Erstens zahlt z.B. eine entsprechende Versicherung für den Ausfall. Zweitens hat der Vorstand das Risiko abgewälzt (der ist je nach Geschäftsform durchaus haftbar). Drittens kannst du Personalkosten reduzieren. Und zuletzt bist du aus der Betriebsverantwortung raus und bekommst bei Fehlverhalten zwar auf den Deckel, kannst das aber an deinen zertifizierten Dienstleister durchreichen.

Nebenbei bemerkt bin ich kein Freund von dem Käse, aber das ist ein anderes Thema. Merke: die Cloud ist auch nur ein Computer von jemand anderem.

 

[cansys]

Nach gut 20 Jahren als Netzwerker komme ich zu den persönlichen Fazit, das ne hohe Verfügbarkeit mindestens zur Hälfte reine Glückssache ist und oft gar nichts über die Kompetenz des Betreibers aussagt und man auch nicht von vergangener Verfügbarkeit auf die zukünftige schließen kann.

Ich könnte dem etwas abgewinnen, wenn nicht unsere interne Bilanz so miserabel wäre.

Hintergrund ist, dass mit dem neuen Abteilungsleiter vor fünf Jahren ein radikaler Wechsel vollzogen wurde. Zusammen mit der kaufmännischen Geschäftsführung wurde erstmal das IT-Budget gekürzt, dass eigene "RZ" (ein vergleichsweise moderner Serverraum mit allem drum und dran) fast vollständig outgesourct. Zum Schluss blieb noch lange Zeit das Backup-System, die Videoüberwachung und die bei manchen Abteilungen heißgeliebte AS-400 drin.

Zielstellung war, die Kosten in der IT zu senken. Den eigenen Terminalserver hat man durch Citrix ersetzt und bei einem RZ-Betreiber gemietet. Die zwei Virtualisierungsserver flogen ebenfalls raus und wurden beim selben RZ-Betreiber angemietet, dahin auch sämtliche VMs migriert. Gab lange Zeit technische Probleme, weil diverse Schnittstellen angepasst werden mussten, die man "irgendwie vergaß".

Die Telefonanlage flog ebenfalls raus. Gemietet wurde dann eine virtuelle Telefonanlage, die seit Inbetriebnahme vor vier Jahren sage und schreibe schon 17 Mal komplett ausgefallen ist, u. a. wegen MPLS-Störungen, ISP-Störungen, Fehlkonfigurationen im RZ durch den Betreiber und technisch fehlerhafte Updates des Anbieters. Inzwischen steht eine Neuanschaffung auf dem Plan, aber mit dem derzeitigen Budget "aktuell nicht machbar".

Die erhofften Einsparungen von bis zu 50 % in 5 Jahren hat man nicht erreicht. Tatsächlich sind die IT-Betriebskosten seither um 130 % gestiegen. Kostentreiber ist einerseits der Netzwerktraffic, andererseits die zahlreichen und aufwendigen Anpassungen am MPLS durch den Carrier, weil man zwischenzeitlich zwei Standorte aufgelöst, einen anderen zugekauft hat.

Backup-System wurde zwischenzeitlich auch ersetzt, selbst die Videoüberwachung outgesourct. 🤷‍♂️

Wir peilen auch dieses Jahr Mehrkosten von ca. 15 % an.

Nachdem die Kehrwende vollzogen wurde, haben zwei wichtige Administratoren gekündigt. Der Teamleiter ging ebenfalls. Die Stelle ist bis heute vakant und eine Nachbesetzung seit zwei Jahren gänzlich vom Tisch. Das macht der Abteilungsleiter "nebenbei". Man musste aber für diverse Projekte externe Dienstleister einkaufen, die einen nicht unerheblichen Teil unseres Budgets auffressen.

Inzwischen haben wir einen weiteren neuen Geschäftsführer, der diese Entwicklung kritisch hinterfragt. Inzwischen zofft man sich regelmäßig auf GF-Ebene und mit dem Abteilungsleiter. Ich genieße weiterhin das Theaterstück. 😎

 

[Blutschlumpf]

Erstens zahlt z.B. eine entsprechende Versicherung für den Ausfall.

Welche Versicherung zahlt denn wenn du bei AWS was hostest und die nen Ausfall (innerhalb ihrer SLA) haben?
Ich kenne nur, dass man ne Art Haftpflichtversicherung gegenüber Forderungen von Kunden hat.
Aber daran macht doch keine vernünftige Firma fest ob der kram in die Cloud kommt.

Zweitens hat der Vorstand das Risiko abgewälzt (der ist je nach Geschäftsform durchaus haftbar)

Inwiefern haftbar? Strafrechtlich? Das ist bei ner normalen Firma ja im Grunde nur für Datenschutzvergehen interessant.
Und um die Thematik loszuwerden reicht es sicher nicht deine VMs zu nem Drittanbieter zu ziehen, damit wirst du ja bestenfalls den winzigen Part Haftungsrisiko los, der auftritt wenn jemand den Host hackt.

Drittens kannst du Personalkosten reduzieren.

Das ist klar, hatte ich ja erwähnt, aber anderes Thema.

Und zuletzt bist du aus der Betriebsverantwortung raus und bekommst bei Fehlverhalten zwar auf den Deckel, kannst das aber an deinen zertifizierten Dienstleister durchreichen.

Wie gesagt ist das aus Sicht der Firma kein Argument, bestenfalls aus Sicht des IT-Leiters sofern die Firma so marode ist, dass da keinerlei Fehlerkultur existiert.

 

[orodigistan]

meine crowdstrike-aktie ...

 

[Armadill0]

Ich hatte bisher immer Rootrechte. Nie Probleme. Privat nur Windows Virenschutz...nie Probleme

Ich fahre seit 30 Jahren Auto und hatte nie einen Unfall! Wieso sollte ich mich anschnallen?

 

[GR Supra]

Der Mitarbeiter soll also Rootrechte bekommen und somit jeder Schadsoftware Tür und Tor öffnen bzw. selber das Problem fixen?? Es hat schon seinen Grund, warum das der IT vorbehalten ist

Es war ja auch der IT nicht vorbehalten, weil Bitlocker das Booten verhinderte, für die Umgebungen die auf Bitlocker setzten. Wenn man dann noch die Domaincontroller offline hatte und keinen Zugang zu Bitlocker Recovery Keys, dann war das Bein schon dicke.
Auch war es eine Zumutung die Keys zu verteilen und einzutippen, weil nur an Hardware mit einem Menschen davor, das halbwegs komfortabel ging.
Es ging @Stanzlinger nicht um Admin-Rechte, sondern um die (nicht) startende Root-Partition.

 

[Piak]

Ich fahre seit 30 Jahren Auto und hatte nie einen Unfall! Wieso sollte ich mich anschnallen?

Ich weiß ja auch nicht. Steck einfach mal den Beifahrer Gurt im Fahrersitz ein, mach ich auch so, damit es nicht mehr piepst

 

[Whitehorse1979]

Ist doch total einfach. Windows auf zwei Partitionen ausführen. Update auf erster Partition einspielen. Wenn alles ok ist auf zweiter Partition einspielen. Somit null Risiko durch automatische Updates. Denn wenn das Update auf Partition 1 fehlschlägt wird einfach wieder der Stand von Partition 2 aktiviert auf 1. So in etwa könnte man Windows absichern. Sowas macht Google z.B. auf Androidsystemen. Damit ist der Brick durch ein fehlerhaftes Update quasi ausgeschlossen. Aber MS bekommts anscheinend einfach nicht hin sowas einfaches zu implementieren.

 

[Haldi]

Waren es nicht ganze Flughäfen, die von Crowstrike lahm gelegt wurden?

Ja, Flughäfen. Nicht die Flugleitsysteme. Die liefen noch einwandfrei. Das Problem waren sämtliche anderen Computer für Check-in und die ganze andere Verwaltung die nicht mehr lief.

Aber MS bekommts anscheinend einfach nicht hin sowas einfaches zu implementieren.

Wundert sich das?
Hast du mal Outlook benutzt?
Wenn du auf "Signaturen" clickst kommst du ein kleines Feld in dem das scrollen aus IRGEND einem Grund einfach nicht geht.
Darunter hast du einen blauen Link für "Signatur Vorlagen herunterladen" die führt dich auf eine Microsoft Homepage wo du WORD Vorlagen herunterladen kannst die du mit deinen Daten anpasst und dann via Copy&Paste einfügst.
Absolut Lächerlich. Diese Bude ist komplett am Ende und lebt nur noch von ihrem Ruf.

Ich mein... Wie machen Buden mit 500-5000 Leute das mit E-Mail Signaturen?
Kann mir jemand das mal erklären?