CrowdStrike – das vielsagende Schweigen der EU
Es war wohl die größte und folgenschwerste IT-Panne aller Zeiten. Ein fehlerhaftes Software-Update der US-Firma CrowdStrike hat weltweit weitreichende Störungen ausgelöst. Doch die EU schweigt.
Keine Pressemitteilung, kein “technisches Briefing”, keine Nothilfe für die Wirtschaft. Obwohl der CrowdStrike-Fehler auch Firmen, Flughäfen und Krankenhäuser in Deutschland und der EU lahmlegte, kam aus Brüssel – nichts.
Das ist aus mehreren Gründen bemerkenswert. Zum einen geht es hier um Schäden in Milliardenhöhe. Es stellen sich Fragen nach Haftung und möglicher Entschädigung. Im “digitalen” Binnenmarkt ist dafür die EU zuständig.
Zum anderen hat die EU jahrelang die Zusammenarbeit mit dem US-Konzern Microsoft gefördert und sich selbst davon abhängig gemacht. Daran gab es seit langem Kritik. Sie hat sich als berechtigt erwiesen – ohne Konsequenzen.
Cybersicherheit als Schwerpunkt?
Vor allem aber hat EU-Kommissionspräsidentin von der Leyen gerade ihr Arbeitsprogramm vorgelegt, in dem die IT- und Cybersicherheit ganz weit oben steht. Sie werde sich “auf die Sicherung unserer kritischen Infrastruktur konzentrieren“, verspricht sie.
Doch offenbar ist der Fokus falsch gesetzt. Von der Leyen und ihr Team tun so, als würden Pannen vor allem von ausländischen Akteuren, sprich: Russland, verursacht. Sie will die “Cyberabwehr” fördern und sogar Sanktionen prüfen.
Dabei zeigt CrowdStrike, dass die größte Gefahr nicht von Attacken, sondern vom laufenden Betrieb ausgeht – und aus den USA kommt. Denn dort wurde das fehlerhafte Update eingespielt – weltweit, ohne europäische Sicherungen.
Blackrock und mächtige US-Dienste
Wer ein wenig tiefer schürft, wird sehen, dass dies kein Zufall ist. Hinter Crowdstrike stecken Blackrock und diverse US-Dienste, die “Security”-Firma ist mindestens ebenso umstritten wie die Sicherheit bei Microsoft…
Vor diesem Hintergrund ist ist vielleicht doch nicht so überraschend, dass die EU schweigt. Sie will sich nicht mit den USA und mächtigen Interessen anlegen. Die deutschen Medien wohl auch nicht – sie stellen nicht mal kritische Fragen…
Update hier. Mehr zum “digitalen EUropa” hier
P.S. Der Clou an der Geschichte ist übrigens, dass sich CloudStrike selbst als “the world’s most advanced cloud-native platform to detect and block hacking threats” anpreist. Die US-Firma, die die Welt vor Cyberattacken schützen will, hat sich selbst als Risiko erwiesen, auch für EUropa…
Michael
22. Juli 2024 @ 13:31
Man könnte auch sagen dass systemische Risiken nicht von Russland oder China ausgehen, sondern vom sytemischen Rivalen USA.
Karl
22. Juli 2024 @ 12:13
Korrektur: Thread der ITler (dort weiterscrollen), hier der richtige Link:
https://www.telepolis.de/forum/Telepolis/Kommentare/Nach-weltweitem-Blackout-US-Behoerde-kritisiert-Anbieter-Crowdstrike/Re-Fragt-sich-nur-wen-man-verklagen-soll/posting-44230564/show/
Karl
22. Juli 2024 @ 12:11
Die Ursache war ein Pointerfehler. Pointer werden von einer Software anstelle eines Werts übergeben. Der Pointer zeigt die Adresse im Speicher, in der der Wert gespeichert ist, und diese Adresse war falsch, existierte nicht. Microsoft-nahe Architekturen schmieren dann ab und brauchen den Mensch zur Reanimation.
Menschen aber kosten Lohn und der ist der Hauptfeind aller Unternehmer und ihrer Aktionäre …
Als ich ausgebildet wurde, gab es Software, für die waren Pointer verboten. (Software sicherheitsrelevanter Anwendungen, z. B. C-Programmierung für Signalanlagen): Es musste immer der Wert selber übergeben werden (sozusagen das Original, nicht nur sein Pointer, seine Adresse). Im heutigen Zeitalter der großen Massenspeicher wäre das kein Problem, passt aber nicht mit Microsoft zusammen.
Jedoch Crowdstrike erklärt ausdrücklich im Kleingedruckten (siehe den Beitrag von Pjotr), dass es für Anlagen besonderer Sicherheit jegliche Haftung ausschließt. Weiteres in einem interessanten Blog, in dem ITler (vom Fach) diskutieren: https://lostineu.eu/crowdstrike-das-suspekte-schweigen-der-eu/
ebo
22. Juli 2024 @ 13:13
Danke für die Erklärung. In meinem Informatik-Studium habe ich es auch noch so gelernt. Damals war es auch noch undenkbar, dass Updates offenbar ungeprüft weltweit “ausgerollt” werden. Letzlich wurden alle grundlegenden Sicherheits-Maßnahmen mißachtet.
Karl
22. Juli 2024 @ 15:10
Das Update war vom Hersteller Crowdstrike noch nicht mal als Update gekennzeichnet, sondern als eine Aktualisierung. Die wird üblicherweise ungeprüft, ohne Test, durchgewunken.
Sofern eine outgesourcte IT überhaupt noch das KnowHow für Risiko-angemessene Prozesse hat und nicht alles automatisch einspielt… Letztlich ist die “KI” nichts anderes als die hemmungslose Automatisierung oder Roboterisierung aller Bereiche.
Mehrere ITler reden von “Schlangenöl”. Frage: Wer braucht Crowdstrike wirklich, wenn die Crowdstrike-Software für die wirklich sicherheitsrelevanten Anwendungen gar nicht zugelassen ist (weil zu nah an Microsoft)? Schlangenöl werden alle Formen der Sicherheitssoftware genannt, deren oft enormes Risiko den Nutzen oft schon deshalb übersteigt, weil ein Nutzen für den Techniker kaum zu erkennen ist. Weil diese Quacksalberei auch für Microsoft nachteilig ist, hat es seinen Defender stark verbessert, sodass andere Virenscanner auf normalen Arbeitsplatzrechnern im Alltag tatsächlich überflüssig geworden sind.
https://www.telepolis.de/forum/Telepolis/Kommentare/Nach-weltweitem-Blackout-US-Behoerde-kritisiert-Anbieter-Crowdstrike/Re-nicht-wundern/posting-44231806/show/
Pjotr
22. Juli 2024 @ 05:43
DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS SIND NICHT FEHLERTOLERANT UND NICHT FÜR DEN EINSATZ IN GEFÄHRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN, DIE EINE AUSFALLSICHERE LEISTUNG ODER EINEN AUSFALLSICHEREN BETRIEB ERFORDERN. WEDER DIE ANGEBOTE NOCH DIE CROWDSTRIKE-TOOLS SIND FÜR DEN BETRIEB VON FLUGZEUGNAVIGATION, NUKLEARANLAGEN, KOMMUNIKATIONSSYSTEMEN, WAFFENSYSTEMEN, DIREKTEN ODER INDIREKTEN LEBENSERHALTENDEN SYSTEMEN, FLUGVERKEHRSKONTROLLE ODER ANWENDUNGEN ODER ANLAGEN BESTIMMT, BEI DENEN EIN AUSFALL ZU TOD, SCHWEREN KÖRPERVERLETZUNGEN ODER SACHSCHÄDEN FÜHREN KÖNNTE.
Quelle und mehr:
https://blog.fefe.de/?ts=98652216
Thomas Damrau
21. Juli 2024 @ 17:29
Was soll die EU auch groß sagen: Wie in vielen anderen Feldern hat sich Europa systematisch in Abhängigkeit von den USA gebracht.
Jeder Hype in der IT-Branche wurde nachgeäfft. Dem US-IT-Oligopol wurde der rote Teppich ausgerollt und jeder Steuervermeidungstrick mit anmutigem Kopfschütteln durchgewinkt.
IT-Politik der EU? Warme Worte – wenig Substanz. Seit den späten 1980er schrumpft die Bedeutung Europas in der IT (da ist auch SAP kein Trost) – und es helfen auch mutige Parolen wie “Ab morgen machen wir auch KI” nicht weiter. Am Ende kommen nur kleine Bausteine heraus, die in einem US-IT-Biotop überleben müssen.
Alternative Anbieter? Höchstens aus China – aber das ist ja pfui.
Und daher hängen wir IT-mäßig am Rockzipfel von Microsoft, Google, Meta, Apple, Amazon, Intel & Co. – so wie auch in den USA nix mehr ohne die Platzhirsche geht.
Merke: Vom großen Bruder USA lernen, heißt Unabhängigkeit verlieren lernen.
exKK
21. Juli 2024 @ 17:52
“Merke: Vom großen Bruder USA lernen, heißt Unabhängigkeit verlieren lernen.”
Abhängigkeiten sind nur böse, wenn sie nicht solche von den USA sind. EUropa liegt nicht mehr nur an einer US-Kette, inzwischen ist daraus eine Zwangsjacke geworden…
ebo
21. Juli 2024 @ 18:10
Alles richtig. Ich verstehe nur nicht, warum die Wirtschaft da mitspielt. Hat niemand den Mut, gegen CrowdStrike zu klagen oder die EU zur Kasse zu bitten? Von der Leyen tut immer so, als sei sie für alles verantwortlich, sie schwadroniert vom “digitalen Binnenmarkt” und der “Cyber Security” – doch wenn es schief geht, hat sie damit nichts zu tun.
Thomas Damrau
21. Juli 2024 @ 18:56
@ebo
Ich habe nicht nur die EU als politische Institution, sondern die EU als Wirtschaftsraum gemeint:
I) Digitalisierung = Zukunft
II) Digitalisierung = US-Konzerne
Folglich
Zukunft = US-Konzerne
Erwarten Sie ernsthaft, dass die Lufthansa Microsoft verklagt? Vor welchem Gericht? EuGH? Vor irgendeinen irischem Gericht, das möglicherweise zuständig ist (ich kenne mich da nicht so aus …)?
Irland verdient sich durch Niederlassungen der US-Konzerne auf der Insel eine goldene Nase durch Beihilfe zur Steuerverkürzung — warum die netten Gäste mit den tiefen Taschen verärgern.
Die EU-Kommission verklagen? Weswegen? Wegen Verbreitung von leeren Phrasen? Da hätten die Gerichte viel zu tun …
Und was wäre für die Lufthansa die Alternative zu Microsoft?
Fragen über Fragen …
exKK
21. Juli 2024 @ 19:46
Wenn alle Geschädigten gegen CrowdStrike klagen würden, wäre die Firma weg vom Fenster, bevor das erste Urteil vorläge.
Und warum die EU? Wenn, dann die US-Regierung, die offenbar solche laschen Sicherheitsstandards per Gesetz zulässt.
Es scheint ja völlig legal, solche Updates ohne hinreichend vorherige Tests oder einer Zertifizierung (wie sonst bei jedem Sch*** üblich) jedem erdenklichen Kunden aufspielen zu dürfen. Da kann man nur hoffen, die US-Atomwaffensteuerung wird nicht von CrowdStrike betreut…
ebo
21. Juli 2024 @ 20:12
Normalerweise müsste diese Firma morgen dicht gemacht werden. Und die EU müsste Microsoft zur Verantwortung ziehen. Bei Cyberattacken soll es Sanktionen geben, die Nato droht sogar mit dem Bündnisfall. Und wenn der BER lahmgelegt wird, fühlt sich keiner zuständig?
exKK
21. Juli 2024 @ 21:55
“Und wenn der BER lahmgelegt wird, fühlt sich keiner zuständig?”
Der BER war durch die Bauverzögerungen so derart lange lahmgelegt, dass ausgerechnet der nun wirklich nicht das beste Beispiel ist 😉
Helmut Höft
22. Juli 2024 @ 18:48
Nichts für ungut: “Normalerweise müsste diese Firma morgen dicht gemacht werden.” Wie heißt das doch gleich? “Müsste, müsste Fahradkette!” oder so? 😉
Es klingt ja in allen Kommentaren – nicht nur hier – an, dass a) Fehler bei den Anwender gemacht wurden (Einsatz ungeeigneter Software, Akzeptanz einer Garantieerklärung die Garantieleistung nach menschlichek Ermessen garantiert ausschließt) und b) die Frage nach welchem Recht und bei welchem Gerichtssitz Kläger mit Zündplättchenpistolen auf schwerbewaffnete Gegner schießen dürfen.
Bogie
21. Juli 2024 @ 16:35
Wie bei North Stream: Wenn wir es den Russen (oder hilfsweise den Chinesen) nicht in die Schuhe schieben können, ist uns (der EU-Administration, der Bundesregierung und den mit Ihnen verbundenen Medien) scheissegal wer es war und warum es passierte.
Denn wir und unsere Freunde in Amerika sind nunmal die in jeder Hinsicht Guten (eigentlich sogar die sehr Guten)
Ute Plass
21. Juli 2024 @ 16:05
Schon der Turmbau zu Babel zeigt, wohin der (Technik)Überlegenheitswahn führt.
“Recht auf analoges Leben”
https://norberthaering.de/news/petition-digitalcourage/