Crowdstrike: 21 statt 20: Wie eine falsche Zahl zum globalen IT-Crash führte
Wegen eines Fehlers bei Crowdstrike gab es weltweit massive IT-Ausfälle.
Foto: imago imagesEs gibt viele Programmfehler, die es Hackern erlauben, schwere Störungen in fremden Computersystemen auszulösen, Schadprogramme einzuschleusen oder sensible Daten zu stehlen oder zu verschlüsseln. In vielen Fällen sind sie auf die Komplexität moderner Hard- und Software zurückzuführen, auf kaum mehr überschaubaren Computercode oder eine ebenso unübersichtliche Melange von Programmmodulen unterschiedlichster Quellen.
Und dann gibt es Fälle wie Crowdstrike: Fälle, bei denen Unachtsamkeit und mangelndes Risikobewusstsein aufs Unglücklichste zusammenfallen. Der Eindruck jedenfalls drängt sich auf beim Blick in die finale Analyse des schweren IT-Crashs, der am 19 Juli weltweit Notrufe blockierte, Krankenhäuser lahmlegte oder auch den Flugverkehr vielerorts zum Erliegen brachte. Nach ersten Hochrechnungen könnten sich die Schäden weltweit auf rund 1,5 Milliarden Dollar summieren.
Der Bericht, den der IT-Sicherheitsanbieter Crowdstrike am 6. August publizierte, ist zwar gespickt mit komplizierten Fachbegriffen, im Kern aber läuft die Zusammenfassung auf eine erschreckende Banalität heraus, die Ursache für den Programmfehler war, der Abermillionen von Windows-Computern erst zum Absturz brachte und dann einen schnellen Neustart der IT verhinderte.
Bildlich formuliert versuchte die Crowdstrike-Software, die eigentlich Hackerattacken verhindern soll, 21 Datenpakete in einem Regal abzulegen, das nur für 20 Pakete Platz hat. Das Programmmodul, das sich um die Verarbeitung der Pakete kümmern sollte, legte daraufhin eines davon an einer unzulässigen Stelle im Speicher ab – und weil das nach dem Update mit der fehlerhaften Software weltweit auf Abermillionen Rechnern zugleich passierte, nahm das Unglück seinen bekannten Lauf.
Lückenhaft und oberflächlich
Wo Menschen arbeiten, passieren Fehler, auch in der Programmentwicklung. Deshalb gibt es bei Softwareunternehmen rigide Vorgaben für Sicherheitschecks, Qualitätsprüfungen und gestaffelte Update-Prozeduren, bevor eine neue Software-Version für die Installation beim Kunden freigegeben wird. Oder besser, es sollte sie geben.
Im Fall von Crowdstrike jedenfalls waren Kontrollen offensichtlich mindestens lückenhaft bis oberflächlich. Spezifische Tests, die die falsche Zahl von Datenwerten offenbart hätten, fehlten sogar ganz, wie der Sicherheitsdienstleister in der Analyse schreibt. In Zukunft, verspricht das Unternehmen, werde man sorgsamer prüfen. Warum denn nicht gleich so? Schließlich ist der Crash nicht auf irgendeine einzigartige Konstellation bis dato unbekannter Software-Lücken zurückzuführen, sondern schlicht auf unsaubere Arbeit beim Programmieren.
Damit nicht genug: Crowdstrike hat nicht bloß beim Qualitätsmanagement versagt, sondern gleich auch noch beim Ausrollen der fehlerhaften Updates. Statt nämlich die modifizierten Programmversionen in Etappen auf die Systeme der Kunden zu spielen oder diesen zu ermöglichen zumindest den Updateprozess zu unterbrechen, ließ der IT-Anbieter seine toxischen Updates mit der zerstörerischen Wucht einer digitalen Lawine durchs Netz rollen.
Wie „Kanarienvögel“ Software sicherer machen sollen
Crowdstrike, das sich inzwischen nicht bloß mit Klagen von Kunden wie etwa der Fluggesellschaft Delta, sondern auch von Aktionären wegen der mangelhaften Softwarequalität konfrontiert sieht, hat Besserung gelobt. Nicht bloß, dass das Unternehmen seine Programme künftig sorgfältiger prüfen will. In Zukunft soll eine Sicherheitsprozedur mit dem sonderbaren Namen „Canary Testing“ verhindern, dass nochmals fehlerhafte Updates Millionen von Kundenrechnern infizieren.
Der Begriff erinnert an die Kanarienvögel, die früher in Bergwerksschächten so lange in Käfigen zwitscherten, bis sie – beim Austritt gefährlichen Grubengases – tot von der Stange fielen und durch ihr Verstummen die Bergleute vor der Gefahr warnten. Im Fall der Softwaretests sollen künftig zunächst ausgewählte Anwender die neuen Programmversionen installiert bekommen. Und nur, wenn deren Rechner anschließend nicht abstürzen, soll das Update auch an weitere Nutzergruppen verteilt werden.
All das ist keine Neuheit in der Software-Entwicklung. Es sind Standardprozeduren zur Qualitätssicherung, bei denen Kunden davon ausgehen müssen, dass verantwortungsvolle IT-Dienstleister sie längst umgesetzt haben. Der Crash vom 19. Juli macht erschreckend deutlich, dass das selbst bei einem so renommierten Unternehmen wie Crowdstrike offensichtlich nicht der Fall war. Und es weckt damit zumindest Zweifel, wie es um die Sorgfalt bei konkurrierenden Anbietern bestellt ist.
Es hätte weit schlimmer kommen können
Da ist es fast schon tröstlich, dass das schwere IT-Versagen „nur“ auf Fehler eines Herstellers zurückzuführen ist, die sich noch dazu in vergleichsweise kurzer Zeit haben beheben lassen, und nicht auf den Missbrauch einer schweren Softwarelücke durch Hacker, staatsnaher Akteure oder staatlich eingeforderter Hintertüren in IT-Systemen. Denn dann wäre der Schaden noch weit dramatischer ausgefallen.
Bleibt zu hoffen, dass nicht bloß Crowdstrike aus der Blamage lernt, sondern die Branche der IT-Sicherheitsanbieter als Ganzes ihre Schlüsse daraus zieht und ihre Software künftig besser und verlässlicher getestet ins Netz entlässt.
Lesen Sie auch: Wie China und Russland das Internet lahmlegen könnten