[datensicherheit.de, 19.07.2024] „Von Berlin über Australien bis Singapur – ein Programm-Update des IT-Security-Unternehmens CrowdStrike hat an diesem Freitag weltweit Infrastruktureinrichtungen, Unternehmen und Organisationen lahmgelegt“, berichtet Alain Blaes, Gründer und Geschäftsführer der nach eigenen Angaben auf „High Tech“-Themen spezialisierten Münchner Kommunikationsagentur PR-COM, in seiner Stellungnahme zu den globalen IT-Ausfällen vom 19. Juli 2024. Operationen in Kliniken seien verschoben worden, Flughäfen hätten den Betrieb eingestellt, Handelsmärkte und Banken seien nicht mehr erreichbar… Laut Medienberichten gebe es auch zahlreiche Störungen in Deutschland – unter anderen seien die Flughäfen in Berlin, Düsseldorf und Hamburg sowie die Krankenhäuser in Lübeck und Kiel betroffen.

Foto: PR-COM

Alain Blaes empfiehlt Ausfallsicherheit zu priorisieren und Rückfallebenen einzurichten

IT-Neustart war offenbar nicht mehr möglich

Die genaue Kausalkette der Entwicklung werde derzeit rekonstruiert. Als wahrscheinlichste Ursache gelte, dass ein fehlerhaftes Update von „CrowdStrike“ weltweit PCs, Infrastrukturen und Dienste in einen „Recovery Boot“ gezwungen habe. Blaes führt aus: „Ein Neustart, der das Problem nach dem Herunterfahren von Devices behebt, war danach nicht mehr möglich. Die Softwareprobleme hat CrowdStrike gegenüber Kunden in einer Mitteilung bestätigt, so das Magazin ,The Verge’.“

Da die Software von CrowdStrike bei vielen Unternehmen und auch „Cloud“-Anbietern ein essenzieller Bestandteil des Security-Stacks sei, habe sie in der Folge zu massiven Ausfällen beigetragen. „So wurden seit den Morgenstunden bei Diensten wie AWS, Google, Azure viele Störungen gemeldet. Microsoft hat die Probleme in seinem ,Cloud’-Angebot von ,365‘ bestätigt und auf ,X’ erklärt, konkrete Gegenmaßnahmen zur Umleitung des Daten-Traffic ergriffen zu haben.“

Finanzieller Schaden der IT-Störung wird in die Milliarden gehen…

Schon jetzt zeichne sich ab, dass der finanzielle Schaden der Störung in die Milliarden gehen werde: Der Aktienkurs von CrowdStrike sei zweistellig eingebrochen. „Die Folgeschäden werden sich daran bemessen, wie lange die Ausfälle der Systeme andauern werden. Das betrifft auch mögliche Regressforderungen, die sich an CrowdStrike richten werden.“

Blaes kommentiert: „Die Tatsache, dass ein Stück Software die gesamte Weltwirtschaft so massiv lahmlegt, sollte uns zu denken geben!“ Dies sei nun „eine eindrucksvolle Demonstration, was im Falle eines Blackouts – ob zufällig oder intendiert – von Infrastruktur entstehen könnte“. IT-Security müsse deshalb die „Nummer-1-Priorität“ auf der politischen und unternehmerischen Agenda sein. Je vernetzter globale Akteure zusammenarbeiten, desto stärker müsse sichergestellt werden, „dass einzelne Anbieter keine derart existenzielle Marktstellung haben, dass ihr Ausfall für das gesamte System zur existenziellen Frage wird“.

Digitale Gesellschaft: Öffentliche Sicherheit nicht ohne IT-Sicherheit!

Diesen Wandel hin zum „Computing 2.0“ könne man sich als mentale Konsolidierungsphase vorstellen, in der die Ausfallsicherheit priorisiert und Rückfallebenen eingerichtet würden. „Das betrifft gerade auch große Plattform- und ,Cloud’-Anbieter.“ Denn mit steigender Marktmacht nehme auch die Verantwortung zu, einen Beitrag zur öffentlichen Sicherheit zu leisten.

Blaes gibt abschließend zu bedenken: „In einer digitalen Gesellschaft kann öffentliche Sicherheit nicht ohne IT-Sicherheit erreicht werden!“ Auch wenn dieser „Knock-out“ vermutlich nicht zu existenziellen Bedrohungen führen werde, so gebe es keine Garantie für das nächste Mal. „Deshalb braucht es Vorsorge!“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 19.07.2024
Weltweite IT-Ausfälle

DER AKTIONÄR, Jan-Paul Fóri, 19.07.2024
CrowdStrike: Weltweite IT-Probleme wegen Update-Fehler – Aktie fällt zweistellig

SPIEGEL Netzwelt, 19.07.2024
Probleme bei Microsoft und Sicherheitsfirma IT-Störungen sorgen weltweit für Computerausfälle / USA, pazifischer Raum, Europa, Deutschland: Weltweit beeinträchtigen Störungen von IT-Diensten wichtige Infrastruktur. Ein Angriff wird als Ursache aber ausgeschlossen.

The Verge, Tom Warren, 19.07.2024
Major Windows BSOD issue takes banks, airlines, and broadcasters offline / A faulty update from cybersecurity provider CrowdStrike is responsible for the global outage

datensicherheit.de, 20.07.2024
Software-Problem vom 19. Juli 2024 als Warnung: Großflächiger Cyber-Angriff könnte Welt ins Chaos stürzen / Im Falle eines böswilligen Cyber-Angriffs wäre laut Dennis Weyel die Situation für die Menschheit noch weitaus ernster

datensicherheit.de, 19.07.2024
IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024 / Grund dafür soll ein Update einer IT-Sicherheitssoftware sein, welches offenbar zahlreiche Rechner lahmgelegt hat

datensicherheit.de, 19.07.2024
Digitale Pandemie: Chris Dimitriadis kommentiert IT-Sicherheitsvorfälle vom 19. Juli 2024 / Unter anderem Fluggesellschaften, Banken, Behörden und Medienorganisationen sind von IT-Ausfällen betroffen

[datensicherheit.de, 10.09.2013] Mitten in den heftigen Debatten rund um die Vorratsdatenspeicherung rief die Münchner PR-Agentur PR-COM im September 2009 das „Projekt Datenschutz“ ins Leben, um die Öffentlichkeit für das Thema zu sensibilisieren. Die Bilanz: Die Anzahl der Datenschutzvorfälle stagniert auf hohem Niveau. Mit dem Projekt sollen vor allem drei Zielgruppen angesprochen werden:

• Unternehmen: Diese sollen ihre eigenen, von allem aber Kundendaten besser schützen;
• Bürger: Sie sollen private Daten und Informationen nicht bedenkenlos weitergeben, vor allem nicht im Internet;
• Der Gesetzgeber: Es soll daran erinnert werden, dass er das hohe Gute der informationellen Selbstbestimmung aktiv schützen muss.

In der Zwischenzeit hat PR-COM mehrere hundert Datenschutzvorfälle in Unternehmen, Institutionen, Parteien und Behörden aufgelistet und beschrieben (1): vom einfachen Verlust einer Liste mit Daten von Psychiatriepatienten (2) über den Klau eines Servers (3) mit sensiblen Bürgerdaten bis zur jüngsten Datenpanne der Telekom, von der 120.000 Mitarbeiter betroffen sind (4).

Trotz der wachsenden Sensibilität für Datenschutz, dem Fortschritt der IT bei der sicheren Aufbewahrung von Informationen und einer Meldepflicht (5) für Unternehmen, ist die Anzahl der Verlustfälle, die in die Öffentlichkeit gelangen, hoch geblieben. In der Regel entstehen sie durch fahrlässigen Umgang mit den Daten, und nicht etwa durch kriminelle Energie von Hackern oder Datendieben.

„Die IT vieler Unternehmen und Behörden ist offenbar nicht ausreichend gegen den Verlust oder die unsachgemäße Behandlung von Daten ausgelegt“, erklärt Alain Blaes, PR-COM-Geschäftsführer und Gründer des Projekts. „Das ist aber kein technisches Problem, denn gute Sicherheitslösungen, die sogar das Ausdrucken von Daten erschweren oder verhindern, gibt es längst.“

„Der Verlust von Daten ist kein Kavaliersdelikt. In den letzten vier Jahren scheinen zumindest Unternehmen ihre Haltung dazu aber nicht sonderlich verändert zu haben“, so Blaes weiter. „Der jüngste NSA-Skandal hat die hohe Bedeutung der informationellen Selbstbestimmung wieder ins Bewusstsein gerufen. Vielleicht ist das ja ein Motivationsschub für Unternehmen, Daten besser zu schützen – oder für den Staat, die Gesetze zu verschärfen.“

Weitere Informationen zum Thema:

(1) http://www.projekt-datenschutz.de
(2) http://www.projekt-datenschutz.de/node/434
(3) http://www.projekt-datenschutz.de/node/591
(4) http://www.projekt-datenschutz.de/node/2905
(5) http://www.gesetze-im-internet.de/bdsg_1990/__42a.html

[datensicherheit.de, 28.08.2013] Die Zahl der in Deutschland öffentlich bekannt gewordenen Datenpannen soll wieder leicht zugenommen haben. Im ersten Halbjahr 2013 verzeichnete das „Projekt Datenschutz“ nach eigenen Angaben 15 Vorfälle.
Damit scheine sich eine leichte Trendwende abzuzeichnen. Seit 2009 sei die Zahl der öffentlich gewordenen Datenschutzpannen kontinuierlich gesunken und habe 2012 mit insgesamt 20 Vorfällen ihren bis dato niedrigsten Stand erreicht. Mit 15 Vorfällen allein im ersten Halbjahr 2013 werde dieser Wert im Gesamtjahr 2013 aller Voraussicht nach wieder übertroffen.
Spitzenreiter im Zeitraum Januar bis Juni 2013 seien laut „Projekt Datenschutz“ dabei wieder die Unternehmen gewesen, die mit insgesamt acht Fällen für mehr als die Hälfte aller Einträge verantwortlich seien. Knapp geschlagen auf Platz zwei lägen Behörden und die öffentliche Verwaltung, die sechs Fälle zur Übersicht von Projekt Datenschutz beigesteuert hätten. Zurückhaltender als sonst seien die politischen Parteien – diese schlügen im ersten Halbjahr 2013 lediglich mit einem Fall zu Buche.
Das wieder steigende Interesse der Öffentlichkeit am Thema Datenschutz sei erfreulich; eventuell spiele hierbei auch der Fall Snowden eine Rolle, sagt Alain Blaes, Geschäftsführer von PR-COM und Initiator von „Projekt Datenschutz“. Dennoch sei die Zahl der öffentlich gewordenen Fälle vermutlich weit von den tatsächlichen Vorfällen entfernt. Die Medien schienen sich nur die spektakulärsten Fälle herauszupicken. Dies sei bedauerlich, denn die Angst vor negativer Presse sei ein starkes Motiv für den richtigen Umgang mit sensiblen Informationen.

Weitere Informationen zum Thema:

„Projekt Datenschutz“
Datenschutzvorfälle in Unternehmen, Organisationen und Behörden und Datenschutz-Aktivitäten der Politik