Nach allem, was man bisher weiß, scheinen an diesem Tag zwei größere Störungen aufgetreten zu sein:
- Microsoft 365 und Windows 365
- CrowdStrike
Die beiden Probleme scheinen unabhängig voneinander gewesen zu sein.
CrowdStrike ist eine US-amerikanische Firma. Nach allem, was man bisher weiß, scheint es nicht Sabotage gewesen zu sein (https://www.crowdstrike.com/blog/technical-details-on-todays-outage/).
Es scheinen auch nur Windows-Systeme betroffen zu sein.
Zentrales Problem ist wohl die Datei „C-00000291*.sys“ gewesen, laut „CrowdStrike“ eine „channel-Datei“ und kein Systemtreiber (trotz der Endung .sys, die früher für Treiberdateien verwendet wurde).
Hier wäre schon ein erster kleiner Kritikpunkt. Warum verwendet man nicht eine Endung wie z.B. „.chn“ für „Channel-Dateien“. Dies sollte eigentlich durch eine Qualitätsüberprüfung unterbunden werden.
Sehr viele wurden durch diese Endung in die Irre geführt.
Viele schrieben auch von einer „Microsoft“- oder „Windows“-Problematik. Man kann darüber streiten, ob ein einzelner fehlerhafter Treiber (jetzt ist hier die übergeordnete „CrowdStrike“-„Falcon“-Programmierung gemeint) ein ganzes System komplett zum Absturz bringen kann. Sinnvoller wäre vielleicht eine Wartezeit von einer Minute. Im Grunde sollte ein Kernel fehlerhafte Programme abfangen können. Hier scheint es aber so zu sein, daß der komplette Rechner zum Absturz gebracht wird. Dann wird wieder versucht neu zu starten, was wieder fehlschlägt. Also eine Art „ständige Neustart Schleife“ mit „Blue Screen of Death“ (BSOD, reboot loop).
Hinweis, bei einem ähnlichen Fehlerbild in der Vergangenheit: Bei manchen Windows-Systemen war vor dem Neustart die Fehlermeldung so kurz sichtbar, daß man den Bildschirm abfilmen mußte und dann Schritt für Schritt die Einzelbilder durchgehen mußte,
Um den Fehler zu beheben, muß Windows
- im abgesicherten Modus gestartet werden und diese Datei gelöscht werden (im Windows-Verzeichnis, \System32\drivers\CrowdStrike\)
- oder nach einer weiteren These der Rechner mehrmals gebootet werden (bis zu 15 Mal)
Zusätzliche Problematik mit „BitLocker“: Es wird wohl der Wiederherstellungsschlüssel benötigt, um das System überhaupt starten zu können.
Weitere Hinweise:
- Laut „CrowdStrike“ scheint diese Datei für die Abwehr einer bestimmten Bedrohung zuständig zu sein:
„Channel File 291 controls how Falcon evaluates named pipe1 execution on Windows systems.“.
2. Dr. Hinner EDV darf – wenn ich das aktuelle deutsche Recht richtig verstehe – nicht diese Datei disassemblieren, um den Fehler genau zu lokalisieren. Hier sollte der deutsche Gesetzgeber dringend nachschärfen.
3. Nach aktuellen Kenntnisstand sollte kein Kunde von Dr. Hinner EDV von dieser Problematik betroffen gewesen sein. Seit Jahren empfiehlt Dr. Hinner, Drittanbieter bei wichtigen geschäftskritischen Systemen zu vermeiden. Die Abwehr und die Sicherheitsfürsorge müssen an anderen Ebenen ansetzen.
4. Wie ist es mit der Haftungsfrage? Wenn „CrowdStrike“ in weltweitem Maßstab für die Schäden aufkommen müßte, könnte dies die Firma wohl nicht leisten. Auch für die Versicherung oder für die Rückversicherung wird es schwierig. Der CIO, der in seiner Firma den Einsatz dieser „CrowdStrike“-Software angeordnet oder zugelassen hat, wird wohl auch nicht haften. Der Mitarbeiter in der IT oder der IT-Dienstleister, der diese Software wartet, kann wohl auch nicht zur Haftung gebeten werden, denn dann würde niemand mehr derartige Software installieren. Ein weites Feld, das erforscht werden müßte. Im Grunde wären hier die Hochschulen gefragt.
Erster Nachtrag: Offenbar war es einerseits doch so, daß ein zentraler Kernel-Treiber von „CrowdStrike“ bei Microsoft eingereicht, geprüft und „digital signiert“ wurde. Andererseits scheint es aber so zu sein, daß dieser Treiber „ausführbare Elemente“ nachladen kann. Es stellt sich hier natürlich sofort die Frage, welchen Sinn die Prüfung und Signierung eines Treibers hat, dessen Programmierung noch entscheidend modifiziert und erweitert werden kann. Diese ist eigentlich – wenn ich es begutachten müßte – nicht mehr gegeben. Wenn diese Erkenntnisse so zutreffend sind, bleibt fraglich, wie derartige Programme bei Systemen der „kritischen Infrastruktur“ (z.B. Krankenhäuser, Flugverkehr) zugelassen werden konnten.
Dr. Hinner Technik würde hier eher abraten und nur auf ausdrücklichen Kundenwunsch dies durchführen.
Zweiter Nachtrag (7.8.2024): Offenbar ist es so gewesen, daß der Kernel-Treiber 20 Elemente „erwartete“, aber 21 übermittelt worden waren. Dadurch sei der Zugriff auf eine ungültige Speicheradresse zustande gekommen.
Hinweis: Dr. Hinner Technik hat dieses Problem mangels Budget bisher nicht selbst analysiert – bleibt aber nach der bisher bekannt gewordenen Sachlage bei der Einschätzung, daß im Grunde ein derartiger Treiber nicht von Microsoft hätte signiert werden dürfen, wenn zur Laufzeit ohne Einflußmöglichkeit des Benutzers oder zumindest des Administrators Elemente nachgeladen werden können.