Softwarequalität und Cybersicherheit
Autor: Ronald Derler
Softwarequalität und Cybersicherheit
Es haben mich viele Menschen gefragt, was ich von dem CrowdStrike Vorfall halte. Darum fasse ich hier meine Gedanken zusammen:
Nun, erstmal wurde das Unternehmen seinem Namen gerecht. Nicht, dass da jetzt jemand eine Verschwörung wittert, aber eine gewisse Ironie hat es trotzdem.
Technisch gesehen ist etwas relativ Simples passiert. Ein Programm, dass eigentlich Schadsoftware auf Computersystemen erkennen soll, bekam ein Update. Regelmäßige und zeitnahe Updates sind für solche Programme essenziell, um auch die neuesten Cybersicherheits-Risiken zu erkennen. In diesem Fall hat einfach das Qualitätsmanagement versagt und ein fehlerhaftes Update wurde ausgerollt. Da Microsoft der Firma Crowdstrike (ungewöhnlich) tiefen Eingriff in das Betriebssystem Windows ermöglicht, hat ein kleiner Fehler zu einem Totalausfall der Systeme geführt. Das ist erstmal für alle Betroffenen ärgerlich, aber ein relativ schnell lösbares Problem im Vergleich zu einem tatsächlichen Cyberangriff.
Was ist nun so besonders daran?
Die Software wurde von sehr vielen, vorallem großen Unternehmen eingesetzt. Laut Webseite hat CrowdStrike 29.000 Kunden weltweit, die ihre Software nutzen. Durch die kurzen Update-Slots hat es die meisten davon gleichzeitig erwischt und damit ist ein global relevanter Vorfall entstanden, der entsprechende mediale Aufmerksamkeit hervorgerufen hatte.
Qualitätsmängel in Software gehören aber mittlerweile zum Alltag. In den letzten zwei Jahrzehnten hat sich die Geschwindigkeit in der Softwareentwicklung rasant verändert - zu Lasten der Qualität. „Technische Schulden“ nennen das Informatiker. Es handelt sich dabei um, oft bewusst in Kauf genommene, oft gar nicht erkannte Mängel, um schnell zu einem Ergebnis zu kommen, in der Hoffnung, diese Mängel in einem späteren Update auszuräumen. In der Realität bleiben dafür aber oft keine Zeit und kein Budget übrig und damit hinkt die Qualität weiter hinter üblichen Normen hinterher.
Diese Mängel eröffnen dann potenziell gefährliche Probleme. Wenn dann, wie im gestrigen Fall ein Update einen Bug (so nennen Programmierer ihre Fehlerchen) enthält und auf der anderen Seite das Betriebssystem keinen Sicherheitsmechanismen enthält, um solche Ausnahmen abzufangen, kommt es zu oben beschriebenen Szenario.
Welche Konsequenzen wird der Vorfall haben?
Die Aktie von CrowdStrike ist erst mal eingebrochen, wird sich aber schnell erholen. Das Unternehmen bietet, trotz dieser Panne viele gute Services und diese sind aufgrund der angespannten Cybersicherheits-Lage begehrter denn je.
Microsoft wird sich, wie immer, keiner Schuld bewusst sein. Microsoft hatte in den letzten Monaten diverse große Probleme beim Thema Informationssicherheit und Datenschutz. Aber Microsoft sieht sich als „to big to fail“ und nutzt das offenbar schamlos aus.
Die betroffenen Betriebe, werden schnellstmöglich ihre Systeme in den Griff bekommen, den operativen Betrieb wieder aufnehmen und stabilisieren und dann vielleicht ihre Updatestrategie überdenken.
Und der Rest der Welt?
Allen Menschen auf der Welt sollte spätestens seit gestern klar sein, dass die klitzekleinste Unachtsamkeit zum Totalausfall der IT und OT (Steuerungssysteme) führen kann. In einer Welt, in der IT und OT nicht aus dem Alltag wegzudenken sind, treiben solche Vorfälle Unternehmen in die Insolvenz, legen die Versorgung kritischer Infrastruktur lahm und können bei anhaltenden Störungen zu politischen Unruhen und Aufständen sorgen. Es geht also um mehr, als IT-Probleme, es geht um die Sicherheit und Freiheit unserer Gesellschaft.
Das müssen wir uns vor Augen halten und deswegen ist es so wichtig, die Cybersicherheit (ja, dazu gehören auch Softwarequalität und durchdachte Update-Prozesse), insbesondere in der kritischen Infrastruktur schnellstmöglich auf ein angemessenes Niveau zu heben.
Das ist meine tägliche Motivation und dafür treten meine Kolleginnen und Kollegen beim Kompetenzzentrum Digitale Wasserwirtschaft und im Lagezentrum CyberSec@Wasser jeden Tag ihren Dienst an.