Capital: Herr Wagner, viele IT-Experten bewerten den globalen Systemausfall Ende vergangener Woche als einen der größten überhaupt. Flughäfen, Krankenhäuser, Banken und viele andere Unternehmen waren lahmgelegt. Wie sehen Sie das?
STEFAN WAGNER: Ich denke auch, dass es einer der größten Crashs war, die wir bisher gesehen haben. Aber es wird nicht der größte überhaupt gewesen sein. Unsere Systeme werden immer vernetzter und die Gefahr eines Ausfalls besteht immer. Deswegen werden wir in Zukunft sicherlich noch größere Ausfälle erleben.
Der Grund für den Totalausfall soll ein fehlerhaftes Update des IT-Sicherheitsdienstleisters Crowdstrike gewesen sein. Was kann da schieflaufen?
Leider reicht schon ein sehr einfacher Programmierfehler aus. Crowdstrike hat in der Software von Rechnern einen Sensor verbaut, der mögliche Angriffe von außen erkennen soll. Dieser Sensor läuft auf sehr tiefen Ebenen des Betriebssystems. Wenn der Fehler macht, gibt es kaum noch Mechanismen, die den Rest des Systems absichern und es kann zum kompletten Absturz kommen. Bei Crowdstrike war der Fehler offenbar, dass der Sensor auf eine Speicherstelle zugegriffen hat, auf die er nicht zugreifen sollte.
Wie wurde der Fehler behoben?
Auch das ging relativ einfach. Die Betroffenen mussten ihre Rechner neu starten und konnten dann eine Konfigurationsdatei laden, die das Problem behoben hat. Eigentlich war es ein kleiner trivialer Fehler mit riesigen Auswirkungen.
Betroffen waren ja ausschließlich Microsoft-Nutzer. Gewährt der Konzern anderen Anbietern zu weitreichenden Zugriff auf die eigenen Systeme?
Ich würde es nicht auf Microsoft schieben. Vor ein paar Monaten gab es bei Linux einen ähnlichen Vorfall, der nur weniger große Wellen geschlagen hat. Microsoft bleibt nichts anderes übrig als anderen diesen umfassenden Zugriff zu gewähren, weil Softwares wie die von Crowdstrike eben schon auf dieser tiefen Ebene Sicherheitsprobleme erkennen wollen. Wenn man auf dieser Ebene Sicherungen haben will, muss es natürlich möglich sein, sie dort laufen zu lassen. Und wir wünschen uns ja auch verschiedene Anbieter. In diesem Fall hat Crowdstrike einfach schlecht gearbeitet, wahrscheinlich wurden bestimmte Mechanismen umgangen. Das hätte nicht passieren dürfen.
So ein Totalausfall lässt sich also eigentlich verhindern?
Hundertprozentig vermeiden kann man einen Ausfall nicht. Softwaresysteme sind sehr komplex. Aber solche extremen Auswirkungen hätte man verhindern können. Eigentlich gibt es schon sehr viele Sicherungsmechanismen, neue Versionen werden ausführlich getestet – auch weil man sich der gravierenden Auswirkungen bewusst ist. Möglichst viel sollte automatisiert über Skripte laufen und nicht manuell, damit alles nachvollziehbar und wiederholbar ist. Ein etablierter Mechanismus ist zum Beispiel der sogenannte Canary Release.
Kanarienvogel-Freigabe?
Genau. Die Metapher geht auf Kohlenarbeiter zurück, die früher immer Kanarienvögel dabeihatten, weil die sehr sensibel auf einen geringen Sauerstoffgehalt in der Luft reagieren. Wenn die Vögel von der Stange gefallen sind, mussten die Kohlenarbeiter raus, weil die Luft zu schlecht wurde. Das übertragen wir auf die IT-Praxis: Wir schicken eine Software-Änderung nicht sofort an alle raus, sondern machen erst mal einen kleinen Release, bei dem wir nur an wenige Rechner ausspielen. Wenn es einen Fehler gibt, hat zumindest nicht sofort die ganze Welt ein Problem. Nach und nach kann man die Neuerung dann weiter ausrollen. Dieser Prozess ist aufwendiger, aber heutzutage ein gängiges Vorgehen.
Gibt es auch technische Sicherheitsmechanismen?
Der Crowdstrike-Ausfall hatte mit Informationssicherheit im eigentlichen Sinne gar nichts zu tun, das war ein reiner Softwarefehler. Aber Crowdstrike verfolgt natürlich das Ziel Angriffe von außen abzuwehren. Weil die Angreifer immer cleverer werden, müssen auch die Sicherungsmechanismen besser werden – das ist ein stetiger Wettlauf, in dem Systeme immer wieder auf den neuesten Stand gebracht werden müssen. Ein System vollständig abzusichern, wird aus meiner Sicht aber eher schwieriger als einfacher.
Besteht die Gefahr eines solchen Absturzes denn bei jeder Software?
Grundsätzlich ja, aber es gibt in der Regel Sicherheitsmechanismen auf dem Betriebssystem. So bekommt zum Beispiel nicht jede Software vollständige Zugriffsrechte und kann damit nicht sofort das ganze System zerschießen.
Hat dieser Totalausfall auch neue Angriffspunkte für Hacker gezeigt?
Keine, die sie noch nicht kannten, glaube ich. Die Gefahr, vor der Crowdstrike jetzt auch selbst warnt, ist eher, dass sich Angreifer in dem Kontext als Crowdstrike ausgeben und Nutzer zum Download neuer Anwendungen animieren wollen, die unter Umständen schädlich sind.
In Anbetracht der immer vernetzteren Welt: Wie können wir die digitale Infrastruktur besser schützen?
Zunächst sollten wir uns bewusst machen, wie viel Infrastruktur hinter den modernen Systemen steht und Wert darauf legen, dass sie hohe Qualität haben. Zweitens halte ich Diversität für sehr wichtig. Ich habe nichts gegen kommerzielle Dienstleistungen, aber Alternativen wie Open-Source-Projekte sind sehr hilfreich. Auch die sind nicht perfekt, liefern aber am meisten Transparenz und können von unabhängigen Sicherheitsexperten auf Fehler untersucht werden. Die EU hatte lange ein Programm, das solche Projekte unterstützt hat und das jetzt gestrichen werden soll. Dabei sollten Staaten eigentlich mehr Verantwortung übernehmen. Wenn man digitalisieren will, muss man auf zuverlässige Grundlagen setzen.
