News Umfrage gestartet: BSI und Bitkom wollen Schaden durch Crowdstrike-Ausfall ermitteln

9t3ndo schrieb:
Ich habe ehrlicher weise immernoch nicht so ganz verstanden, warum M$ Mitschuld sein soll?
Ich nehme an, weil MS es erlaubt, dass Fremdsoftware auf dem gleichen Level laufen darf wie der Kernel. Das ist an sich eine dumme Entscheidung.

Die EU hat das nicht verlangt. Die wollte nur, dass der Defender nicht gegenüber anderer AV-Software durch tiefere Integration in Windows einen Vorteil hat. Aber statt da was vernünftiges zu programmieren, hat MS einfach aller AV-Software Zugriff auf den Kernel gegeben. 🤷‍♂️
 
  • Gefällt mir
Reaktionen: Tsu, WhiteHelix, Syagrius und 3 andere
Krik schrieb:
Die EU hat das nicht verlangt. Die wollte nur, dass der Defender nicht gegenüber anderer AV-Software durch tiefere Integration in Windows einen Vorteil hat
Dazu muss aber irgendwie den Anderen der Zugang gegeben werden.

Das was die Anderen da drauf dann veranstalten interessiert niemanden.

Hinter den Kulissen weiss eh niemand was da abgeht bei den Verhandlungen.
 
Weyoun schrieb:
Schuldig sind also immer nur die anderen? Alles klar...
Und wer sagt dir das es MS (allein) war?
Weyoun schrieb:
Nicht alles, was die EU entscheidet, ist ein "Diktat". Oft entscheidet sie im Sinne des Konsumenten. Man kann auch sichere Software entwickeln, die den EU-Richtlinien entspricht, man muss es nur wollen.
Stimmt, aber in diesem Falle ...
Und NIEMAND kann sichere Software entwickeln bei diesem Gebiet. Perse schließt sich diese Art der "Sicherheit" bereits bei externer ein/ausgehender Vernetzung sowie allgemein Risiken von Plattform, Nutzer, Angriffsmöglichkeiten usw aus.
Zusätzliches "Reinpfuschen" anderer ist noch viel massiver.
ZB. Ein Tresor kann noch so sicher von einer Firma gebaut worden sein, es nützt aber alles nichts wenn man schlicht gezwungen wird "anderen" einen Schlüssel zu geben, die man selbst nicht unter Kontrolle hat. Jeder mit Schlüssel ist verdächtig, jeder mit Schlüssel kanns "Verbocken" und die Sicherheit gefährden, das schließt die "Schlüsselvergeber" mit ein, ebenso wie jene die Schlüsselvergaben an andere erzwingen. Die Firma hat dennoch den Sicheren Tresor gebaut, und kann entsprechend nur auf die Schlüsselträger bzw deren Rausgeber verweisen.

Im grunde kann dann jeder Anbieter darauf verweisen, das sie bei solchen EU Vorgaben wo 3te (Fremde) in ihren Systemen / Software mitmischen dürfen, sie selbst weder Sicherheit noch Stabiltät gewährleisten können.
 
BFF schrieb:
Weil es durch deren Prüfung auch durch ging.
Sprich alle „Tools haben gesagt alles ist gut“. Das das Design dahinter eigentlich der Auslöser ist für das Desaster mag MS / Cloudstrike jetzt feststellen.
Ob die Kernel-Berechtigung eine kluge Idee war - dahingestellt.
Offensichtlich war Clownstrike mit dem eigenen Produkt überfordert, für dieses Ausmaß der Inkompetenz trägt Microsoft keine Schuld.
 
Andy schrieb:
die Anbieter müssten laut Bastian „sicherstellten, dass sie die Gegenwart befestigen
Ist da ein t zu viel bei sicherstellten? Ich lese es zumindest besser als "sicherstellen".
 
Gut Dich zu haben. 👍👍👍

Crowbar schrieb:
Offensichtlich war Clownstrike mit dem eigenen Produkt überfordert, für dieses Ausmaß der Inkompetenz trägt Microsoft keine Schuld.

Ich werde Dich vorschlagen für den Nächsten in der EU. 😉
 
MasterWinne schrieb:
Was denkst du was abgeht wenns in die Richtung zB mal Apple erwischt und dann raus kommt das die von der EU erzwungene "Fremdsoftware" für solche Schäden gesorgt hat, kann Apple genauso Argumentieren, dass das mit ihrer geschlossener Umgebung nicht passiert wäre.
die EU hat keine fremdsoftware "erzwungen"

die firmen sind genauer deren it-Abteiltung hat diese Fremdsoftware in vollem bewustsein SELBST installiert. weder hat die EU noch MS in irgendeiner weise diese software als Vorausetzung für irgendetwas vorgeschrieben oder gar "erzwungen"
Crowbar schrieb:
Ob die Kernel-Berechtigung eine kluge Idee war - dahingestellt.
die entsprechenden kernel berechtigungen und kerbek module gibt es auch unter linux derivaten, sofern ein adminstrator mit root rechten eine solche software installiert, dass ist perse nichts schlimmer.
 
Schadensermittlung finde ich gut.
Da kann man auch gleich Mal die Schäden prüfen durch:

💰 Marode Straßen, Brücken, Bahn, Schulen

💰Lahme Internetanschlüsse, Funklöcher mangelnde Digitalisierung in Behörden und öffentlichen Einrichtungen

💰 Steuergeldverschwendung

💰Mangelnder Verbraucherschutz und Lobbyistentum

💰 Grundgesetzwidrige Gesetze, wie z.b. anlasslose Überwachung

Und die Rechnung schicken wir dann den verantwortlichen Politikern und Beamten.

Ach nee, keine Zeit für sowas.
 
Krik schrieb:
Ich nehme an, weil MS es erlaubt, dass Fremdsoftware auf dem gleichen Level laufen darf wie der Kernel. Das ist an sich eine dumme Entscheidung.

Die EU hat das nicht verlangt. Die wollte nur, dass der Defender nicht gegenüber anderer AV-Software durch tiefere Integration in Windows einen Vorteil hat. Aber statt da was vernünftiges zu programmieren, hat MS einfach aller AV-Software Zugriff auf den Kernel gegeben. 🤷‍♂️
Naja aber dann könnte man auch jeden Autohersteller verklagen, weil ich ohne Führerschein einsteigen und losfahren kann, weil er kein/unzureichendes Prüfsystem verbaut hat. 🤷
Genauso dürften Baumärkte keine Kettensägen ohne eingehendes psychologisches Gutachten verkaufen. Derjenige könnte ja damit nicht nur Bäume klein machen. Und in dem Beispiel wäre dann der Hersteller und nicht der Baumarkt schuld....

Ganz ehrlich, wenn das durch geht, erschafft das einen ganz gefährlichen Präzedenzfall. Jeder der eine API in einer Software anbietet, wäre damit auf Schadensersatz verklagbar wenn die Software, die auf diese API zugreift schlampig programmiert ist.
 
Microsoft wird nicht wegen dem Crowdstrike Thema verklagt...man Leute...Microsoft wird verklagt weil die Azure Cloud weg war und die Verfügbarkeit nicht gewährleisten konnte.
Das sind zwei Themen...
Kunden von Crowdstrike klagen gegen Crowdstrike, Kunden von MS verklagen MS...easy.
 
u-blog schrieb:
"Agile Softwareentwicklung ist schuldig" war denen wohl zu schwammig.
Die Aussage ist ja auch völliger Unsinn.
 
  • Gefällt mir
Reaktionen: pseudopseudonym
lorpel schrieb:
Schadensermittlung finde ich gut.
Da kann man auch gleich Mal die Schäden prüfen durch:

[...]

Ach nee, keine Zeit für sowas.
Das fällt alles nicht in die Zuständigkeit des BSI. Willst du denen jetzt vorwerfen, dass die ihren Job machen und andere nicht?
 
  • Gefällt mir
Reaktionen: interesTED, Termy und lorpel
Andy schrieb:
Der Vorwurf ist: Aussagen von George Kurtz im März dieses Jahres seien irreführend gewesen, er beschrieb die Crowdstrike-Software als „validiert, getestet und zertifiziert“.

Zertifiziert? "Sicherheitssoftware"? Es ist unglaublich welche naive Sichtweise in der Industrie herrscht. Glaubt er wirklich ein Zertifikat macht so ein Schlangenöl, welches bauartbedingt oft schon die Angriffsoberfläche erhöht, sicherer? Die sind das Papier nicht wert auf dem das geschrieben steht.

Zertifikate sind nur Compliance-Checkpunkte auf irgendeiner Liste, damit sich das Management sicher fühlen kann. Aber schön Fingerpointing auf den Hersteller, statt mal selber bei sich anzufangen IT-Sicherheit ernsthaft anzugehen.
 
  • Gefällt mir
Reaktionen: Tzk
Mal ein wenig off-topic, wenn es doch um CrowdStrike geht warum wird im Thumbnail das Microsoft Logo genommen, hat mich ziemlich irritiert…
 
  • Gefällt mir
Reaktionen: 9t3ndo
Splatter0815 schrieb:
Microsoft wird nicht wegen dem Crowdstrike Thema verklagt...man Leute...Microsoft wird verklagt weil die Azure Cloud weg war und die Verfügbarkeit nicht gewährleisten konnte.
Das sind zwei Themen...
Kunden von Crowdstrike klagen gegen Crowdstrike, Kunden von MS verklagen MS...easy.
Dann müsste ja MS noch Crowdstrike auf Schadensersatz verklagen können, aufgrund der entstandenen Schadensersatzklagen gegen MS (Azure).
 
  • Gefällt mir
Reaktionen: tollertyp
Aussagen von George Kurtz im März dieses Jahres seien irreführend gewesen, er beschrieb die Crowdstrike-Software als „validiert, getestet und zertifiziert“.

Naja, war sie ja zu dem Zeitpunkt sicher auch.

Ich frage mich trotzdem für wie wichtig man sich halten muss, dass man eine Security Software mit stündlichen Updates verwendet. Dass hourly Updates nicht umfangreich getestet sein können, erklärt sich doch eigentlich von selbst.
Wenn mir ein Vertreter was von hourly Updates erklärt lache ich ihn aus und zeig ihm die Tür. Alleine schon weil ich das gar nicht bezahlen will.

Selbst von nightlys wird ständig abgeraten und Windows Updates werden noch 2-3 Tage nach Release zurückgezogen weil sie fehlerhaft sind.
Ich meine der Kram hängt ja HINTER Sicherheitsmechanismen. Muss man da wirklich hourly patchen?
Vielleicht sind wir aber auch einfach zu unwichtig.
 
MasterWinne schrieb:
Und wer sagt dir das es MS (allein) war?
Niemand, aber M$ behauptet, die EU wäre schuld. Hätten sie mal lieber gesagt, Crowdstrike wäre schuld, dann wäre die Adressierung gelungen.
 
  • Gefällt mir
Reaktionen: Termy
Scirca schrieb:
Gibt es einen Notfall Plan für solche Ereignisse, mir bluten die Augen. Selbst wenn ja was dann. Soll man sich dann an diesen Plan halten, was soll den da groß drin stehen außer an die Anweißungen vom Hersteller halten. Alles andere wäre eh absurd. Das würden auch so alle zuständigen ITler machen. Sonst kriegst du die Systeme nicht wieder zum laufen.
Sorry, aber das ist Unsinn. Als Kritis Unternehmen musst du dir Gedanken machen, was passiert, wenn deine IT ausfällt. Wenn die Software auf irgendeiner Leitstelle von einem Energieversorger läuft und dann die Leitstelle ausfällt, soll der sich zurücklehnen? Nein, er muss eine Alternative aus dem Hut ziehen und dafür einen Notfallplan haben. Die Frage ist vollkommen gerechtfertigt!
 
  • Gefällt mir
Reaktionen: Crowbar und rooney723
9t3ndo schrieb:
Naja aber dann könnte man auch jeden Autohersteller verklagen, weil ich ohne Führerschein einsteigen und losfahren kann, weil er kein/unzureichendes Prüfsystem verbaut hat. 🤷
Genauso dürften Baumärkte keine Kettensägen ohne eingehendes psychologisches Gutachten verkaufen. Derjenige könnte ja damit nicht nur Bäume klein machen. Und in dem Beispiel wäre dann der Hersteller und nicht der Baumarkt schuld....
Der richtige Vergleich wäre, dass man in die Motorsoftware als Fahrer eingreifen kann, weil der Hersteller keine ausreichende Absicherung implementiert hat. Und bei einem Unfall hat dann der Fahrer, aber auch der Hersteller Schuld, wenn andere zu Schaden kommen.
 
  • Gefällt mir
Reaktionen: 9t3ndo
Zurück
Oben