Die Maßnahmen des BSI nach den massiven IT-Ausfällen

Am 19. Juli hatte ein fehlerhaftes Update für weitreichende Systemausfälle in vielen Unternehmen unterschiedlichster Größe gesorgt (siehe auch Weltweite IT-Ausfälle zeigen Fragilität einer Softwarewelt). Microsoft gab an der Folge, dass durch das problematische Crowdstrike-Update rund 8,5 Millionen Windows-Geräte betroffen gewesen seien. Crowdstrike hat am 24. Juli veröffentlicht, dass 97 Prozent der betroffenen Sensoren wieder online seien.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab an, dass es eine tiefgründige technische Aufarbeitung der genauen Ursache erwarte. Zudem will man mit Crowdstrike Maßnahmen vereinbaren, durch die die Betriebsstabilität von Kunden Systemen nach bei der Installation notwendiger Updates sichergestellt werde. Bereits umgesetzte Maßnahmen werden vom BSI auf Wirksamkeit geprüft. Bei der strategischen und operativen Aufarbeitung des Sicherheitsvorfalls stehe das BSI im laufenden Kontakt mit Crowdstrike und Microsoft.

Als kurzfristige Maßnahmen bis zum 15.08.2024 nennt das BSI eine Analyse der Betroffenheit vom Sicherheitsvorfall in Deutschland. Eine laufende Verfolgung der Wiederherstellungsquote der betroffenen Systeme. Sowie eine Zusammenführung bereits erfolgter kurzfristiger Warnungen mit erwarteten CVEs zum Vorfalle auf Basis des etablierten CVD-Prozesses.

Die mittelfristigen Maßnahmen sollen bis zum 30.09.2024 umgesetzt werden. Hier nennt das BSI beispielsweise die Auswertung des folgenden ausführlichen Analyseberichts (Root Cause Analysis). Darüber hinaus soll das aktuelle und weiterentwickelte Testkonzept durch das BSI überprüft werden. Dies geschieht in Abstimmung mit weiteren internationalen Partnerbehörden. Dazu gehört auch eine Diskussion mit Crowdstrike zu erforderlichen Anpassungen. Darüber hinaus sollen die zukünftigen Maßnahmen zur Sicherstellung eines zügigen Rollouts der Logiken/Signaturen unter strikter Gewährleistung der Betriebsstabilität der Systeme der Anwenderunternehmen geklärt werden. Zudem soll die Wirksamkeit des von Crowdstrike bereits angekündigten gestaffelten und überwachten Ausrollprozesses von Updates bei Kunden mit erweiterten Telemetrieanalysen durch Crowdstrike zu Erkennung von Störungen überprüft werden. Die Unternehmen, die Crowdstrike-Produkte einsetzen, sollen hinsichtlich der grundsätzlichen Betriebsrisiken sensibilisiert werden. Außer soll die Schaffung ausreichender betrieblicher Redundanzen für kritische Einsatzszenarien sichergestellt werden.

Als langfristige Maßnahmen bis zum 31.12.2024 nennt das BSI beispielweise die Diskussion von konkreten Möglichkeiten zur Evaluierung des Softwareentwicklungsprozesses durch unabhängige Dritte. Dies soll in Anlehnung an BSI TR-03185 (Technische Richtlinie) auf Basis von erfolgten Ankündigungen von Crowdstrike erfolgen. Das BSI, Crowdstrike und Microsoft sollen gemeinsam daran arbeiten, dass auch bei schwerwiegenden Fehlern des Tools das Starten des Systems, mindestens in einem eingeschränkten Modus, möglich sein soll. Zudem sollen Gespräche mit allen relevanten Interessensgruppen zu Architektur von EDR-Tools erfolgen, um deren Resilienz zu erhöhen.

Crowdstrike habe mittlerweile weitergehende Informationen veröffentlicht, die sich auch mit der Umsetzung der beschriebenen Maßnahmen beschäftigen.