CrowdStrike Falcon 

CrowdStrike ist ein führendes globales Sicherheitsunternehmen und Hersteller einer der weltweit meistverkauften Plattformen zum Schutz vor Malware.  Die CrowdStrike Falcon-Plattform wurde speziell entwickelt, um Sicherheitsverletzungen durch eine einheitliche Reihe von Technologien zu stoppen, die in der Cloud über den CrowdStrike Security Cloud Service bereitgestellt werden. Diese Plattform umfasst unter anderem ein hochmodernes Antivirusprogramm (NGAV) mit maschineller Lerntechnologie zur Erkennung und Verhinderung von Cyberangriffen. CrowdStrike besteht aus mehreren Produktmodulen, die verschiedene Aspekte abdecken, wie z. B. Threat Intelligence, Erkennung, automatischer Schutz und Abhilfe usw. Der Einfachheit halber wird es jedoch auf Windows-Systemen über einen einzigen Agenten bereitgestellt, der als CrowdStrike Falcon Sensor bekannt ist. 

Am 19. Juli 2024 um 04:09 UTC veröffentlichte CrowdStrike im Rahmen des Routinebetriebs ein Konfigurationsupdate von CrowdStrike Falcon Sensor für Windows-Systeme. Die Aktualisierung der Sensorkonfiguration ist Teil der Schutzmechanismen der Falcon-Plattform. Dieses Konfigurationsupdate löste einen Logikfehler aus, der auf den betroffenen Windows-Systemen zu einem Systemabsturz und einem blauen Bildschirm (BSoD) führte. 

Siehe den vorläufigen Bericht über den Vorfall hier: Falcon Content Update Preliminary Post Incident Report | CrowdStrike

Eine ausführliche Analyse ist hier zu finden: Windows Security best practices for integrating and managing security tools

BSoD 

Der Begriff "Blue Screen of Death" bzw. BSoD ist ein geläufiger Begriff, der sich auf den blauen Bildschirm bezieht, der bei einem katastrophalen Ausfall des Windows-Betriebssystems erscheint. Diese Fehler können durch eine Vielzahl von Hardware- und Softwareproblemen verursacht werden. Der blaue Bildschirm erscheint, wenn das Windows-System Hilfe benötigt, um sich von einem Fehler zu erholen, von dem es sich nicht selbst befreien konnte. Wenn wir diesen blauen Bildschirm sehen, läuft das Windows-System nicht, und daher sind alle üblichen Mittel der Fernwiederherstellung auf der Grundlage von Windows-Anwendungen nutzlos. Obwohl Microsoft Anweisungen zur Verfügung stellt, wie ein Benutzer seinen Computer in den Zustand vor dem Auftreten des Fehlers zurückversetzen kann, liegt dies in einer Unternehmensumgebung normalerweise in der Verantwortung der Systemabteilung, die physisch auf den Computer zugreifen muss, um ihn im abgesicherten Modus zu initialisieren und dann den Fehler zu diagnostizieren und das Windows-System zu reparieren. Logischerweise ist dieses Verfahren nur dann sinnvoll, wenn ein einzelner Computer oder nur wenige Computer gleichzeitig ausgefallen sind. 

Disaster Recovery 

Das Konzept der Disaster Recovery („Katastrophen-Wiederherstellung“)  bezieht sich auf den Prozess zur Wiederherstellung nach einer massiven Störung (einer Katastrophe) und umfasst in der Regel Protokolle zur Wiederherstellung der Funktionalität und der Daten der betroffenen Systeme in kürzester Zeit. Zu den von Wiederherstellungsplänen abgedeckten Eventualitäten gehören in der Regel Naturereignisse wie Brände oder Erdbeben, zufällige Ereignisse wie der Ausfall der Stromversorgung oder provozierte Ereignisse wie Cyberangriffe. 

Die Folgen einer Unterbrechung der kritischen Systeme eines Unternehmens können von verschiedenen Faktoren abhängen, umfassen jedoch immer wirtschaftliche Verluste, die sich aus der vollständigen oder teilweisen Inaktivität des Unternehmens für einen bestimmten Zeitraum und/oder der Unmöglichkeit, geschäftskritische Daten wiederherzustellen, ergeben. 

In der durch den CrowdStrike-Vorfall verursachten Situation waren die meisten Wiederherstellungsprotokolle nicht in der Lage, die Wiederherstellung von Tausenden von betroffenen Windows-Systemen angemessen zu verwalten, da das gleichzeitige Auftreten dieser BSoDs kein üblicher Umstand ist. Je nach der IT-Architektur des jeweiligen Unternehmens reichte das Ausmaß der Geschäftsunterbrechung von einer Unannehmlichkeit bis hin zu einem katastrophalen Ereignis. 

Das Werkzeug, das den am meisten betroffenen Unternehmen fehlte, war eine Plattform für die entfernte und massive Wiederherstellung von Windows-Computern im BSoD-Zustand, wie die Lösung resQitvon GMV. Diese Lösung wird häufig eingesetzt, um die Effizienz von Routinewiederherstellungen ausgefallener Windows-Systeme zu verbessern, indem ein Remote-Mechanismus aktiviert wird, der in den heutigen verteilten und Telearbeitsumgebungen oft wichtig ist. Bei einem massiven Vorfall wie dem CrowdStrike-Fall kann diese Plattform jedoch Hunderttausende oder sogar Millionen von Euro einsparen, indem sie ein Wiederherstellungsszenario in kürzester Zeit ermöglicht, das ohne ein solches Tool nicht durchführbar wäre.