Weltweiter IT-Ausfall: Betrieb wird wieder aufgenommen
Das Update eines Programms hat weltweit Windows-Computer zum Absturz gebracht. CrowdStrike hat den Fehler gefunden und behoben.
Der Flughafen Berlin-Brandenburg liegt lahm: „Aufgrund einer technischen Störung kommt es zu Verzögerungen“, heißt es in einem Banner, das auf der Webseite läuft. Es ist nur einer der zahlreichen Betroffenen einer weltweiten IT-Störung: Banken, Geschäfte, Unternehmen kämpfen mit Ausfällen. In Hamburg und Düsseldorf heben ebenfalls keine Flugzeuge ab. Sogar ein Krankenhaus muss alle geplanten Operationen absagen. Die Störungen sind am frühen Freitagmorgen losgegangen, zunächst gab es einen Workaround. Inzwischen soll der Fehler behoben sein. Die Probleme dauern jedoch noch an. Der BER etwa gibt an, den Betrieb langsam wieder hochfahren zu wollen.
Hintergrund ist ein fehlerhaftes CrowdStrike-Update, das Windows-Computer zum Absturz bringt. Konkret sitzt der Fehler im Falcon Sensor – ein System, das Aktivitäten in Echtzeit überwacht und Angriffe blockieren soll. Das nennt sich „Endpoint Detection and Response“. Viele große Unternehmen integrieren den „Agent“ auf ihren Endgeräten. Endkunden nutzen solche Systeme in der Regel nicht. Dennoch treffen sie freilich die Probleme, die bei den Dienstleistern, Unternehmen und Behörden durch den Einsatz entstehen.
Die Firma CrowdStrike hatte zunächst am Morgen bestätigt, dass sie an dem Problem arbeitet. Es sei nicht nötig, ein „Support Ticket“ zu lösen, schrieb die Firma. Am Mittag meldete CEO George Kurtz bei X, dass man den Fehler ausfindig habe machen können. Kunden sollten auf der Supportseite ein neues Update herunterladen. Kurtz versichert in dem Beitrag auch, dass für die Probleme kein Angriff verantwortlich sei. Es handele sich nicht um einen Sicherheitsvorfall. Auf Nachfrage von heise online erklärt eine Sprecherin von CrowdStrike zudem: „Wir empfehlen unseren Unternehmen sicherzustellen, dass sie über die offiziellen Kanäle mit Vertretern von CrowdStrike kommunizieren. Unser Team ist vollständig im Einsatz, um die Sicherheit und Stabilität der CrowdStrike-Kunden zu gewährleisten.“
Workaround als erste Hilfe
Betroffene Geräte zeigen einen Bluescreen of Death (BSOD). Auch nach dem automatischen Neustart folgt eine Fehlermeldung. Das heißt, die Geräte befinden sich in einer Art Endlosschleife, die durchbrochen werden muss. Dieses Problem erschwert auch den Zugang zum neuen, fehlerfreien Update.
CrowdStrike hatte bereits nach kurzer Zeit einen Workaround gefunden. Man konnte in den abgesicherten Modus starten und den Ordner c:\windows\system32\drivers\crowdstrike ansteuern, dort die Datei „C-00000291*.sys“ auswählen und löschen. Danach den Rechner neu starten. Wer diesen Workaround nutzt, muss aber damit rechnen, dass dieser Eingriff zumindest einen Teil der Schutzfunktionen der Sicherheitssoftware lahmlegt.
Betroffen sind nur Geräte, die am Freitagmorgen das fehlerhafte Update bezogen haben. Laut CrowdStrike sind alle Systeme sicher, die erst ab 7:27 Uhr eingeschaltet wurden. Systeme mit Linux und macOS sind ebenfalls nicht betroffen. Da es sich bei Crowdstrike um ein Enterprise-Tool handelt, treten bei Privatnutzern in der Regel keine Probleme auf.